魔盾安全分析报告

分析类型	开始时间	结束时间	持续时间	分析引擎版本
FILE	2021-06-18 21:39:21	2021-06-18 21:39:36	15 秒	1.4-Maldun

虚拟机机器名	标签	虚拟机管理	开机时间	关机时间
win7-sp1-x64-shaapp03-1	win7-sp1-x64-shaapp03-1	KVM	2021-06-18 21:39:21	2021-06-18 21:39:37

魔盾分数
0.05 正常的

文件详细信息

文件名	ComputerZ_x64.sys
文件大小	50328 字节
文件类型	PE32+ executable (native) x86-64, for MS Windows
CRC32	B6718A9F
MD5	6ba221afb17342a3c81245a4958516a2
SHA1	7c996d9ef7e47a3b197ff69798333dc29a04cc8a
SHA256	37d999df20c1a0b8ffaef9484c213a97b9987ed308b4ba07316a6013fbd31c60
SHA512	31bc500ce58a3774ffc47a5a84ce4a1c6195aed5f9078a116b6ef590f37c2242655b2ecce4e292b523f2aebb5dd60180b437fa1ab38f3a35f8878619ec8220d4
Ssdeep	768:MJuWHyDeopkvFj4w3t3sbYCDJaojOfM/MeKgrpPjqsoEQwUeT:M4HsJ4At3sxD8jE0expPjq/AtT
PEiD	无匹配
Yara	with_urls (Detected the presence of an or several urls) IsPE64 (Detected a 64bit PE sample) HasOverlay (Detected Overlay signature) HasDigitalSignature (Detected Digital Signature) HasDebugData (Detected Debug Data) HasRichSignature (Detected Rich Signature)
VirusTotal	VirusTotal查询失败

特征

样本的签名证书合法

魔盾安全Yara检测结果 - 普通

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址	0x00010000
入口地址	0x00018064
声明校验值	0x0000ed2d
实际校验值	0x0000ed2d
最低操作系统版本要求	6.1
PDB路径	d:\build\core_lib\hardware_sys\amd64\ComputerZ.pdb
编译时间	2020-12-17 18:08:51
载入哈希	1427c5f0f4fb100e26a3911f8209504b

版本信息

LegalCopyright:	\xe7\xe6\xe6\xe6 (C) 2010-2020 www.ludashi.com
InternalName:	ComputerZ.Sys
FileVersion:	1.1020.1030.1217
CompanyName:	ludashi.com
LegalTrademarks:	\xe9\xe5\xe5
Comments:	http://www.ludashi.com
ProductName:	\xe9\xe5\xe5
ProductVersion:	1.1020.1030.1217
FileDescription:	Ludashi System Driver
OriginalFilename:	ComputerZ.Sys
Translation:	0x0804 0x04b0

PE数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x00003fae	0x00004000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	6.34
.rdata	0x00005000	0x00000424	0x00000600	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ	3.55
.data	0x00006000	0x000001ec	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.30
.pdata	0x00007000	0x00000234	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ	2.59
INIT	0x00008000	0x000004b0	0x00000600	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.33
.rsrc	0x00009000	0x000003e0	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ	3.45

覆盖

偏移量:	0x00005c00
大小:	0x00006898

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_VERSION	0x00009060	0x00000380	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	3.69	8086 relocatable (Microsoft)

导入

库 ntoskrnl.exe:

• 0x15020 - IofCompleteRequest

• 0x15028 - IoCreateSymbolicLink

• 0x15030 - IoCreateDevice

• 0x15038 - _wcsicmp

• 0x15040 - IoGetDeviceAttachmentBaseRef

• 0x15048 - PsGetVersion

• 0x15050 - ObfDereferenceObject

• 0x15058 - IoGetDeviceProperty

• 0x15060 - RtlAnsiStringToUnicodeString

• 0x15068 - RtlInitAnsiString

• 0x15070 - RtlFreeUnicodeString

• 0x15078 - IoGetDeviceObjectPointer

• 0x15080 - RtlGetVersion

• 0x15088 - IoBuildDeviceIoControlRequest

• 0x15090 - KeInitializeEvent

• 0x15098 - KeWaitForSingleObject

• 0x150a0 - IofCallDriver

• 0x150a8 - MmUnmapIoSpace

• 0x150b0 - MmMapIoSpace

• 0x150b8 - SeTokenIsAdmin

• 0x150c0 - SeReleaseSubjectContext

• 0x150c8 - KeDelayExecutionThread

• 0x150d0 - SeCaptureSubjectContext

• 0x150d8 - KeBugCheckEx

• 0x150e0 - IoDeleteDevice

• 0x150e8 - RtlInitUnicodeString

• 0x150f0 - MmIsAddressValid

• 0x150f8 - IoDeleteSymbolicLink

• 0x15100 - __C_specific_handler

库 HAL.dll:

• 0x15000 - HalGetBusDataByOffset

• 0x15008 - HalSetBusDataByOffset

• 0x15010 - KeStallExecutionProcessor

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息

执行的命令 无信息

创建的服务 无信息

启动的服务 无信息

进程

无信息

访问的文件 无信息

读取的文件 无信息

修改的文件 无信息

删除的文件 无信息

注册表键 无信息

读取的注册表键 无信息

修改的注册表键 无信息

删除的注册表键 无信息

API解析 无信息