魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2021-07-04 19:22:06 2021-07-04 19:22:07 1 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2021-07-04 19:22:07 2021-07-04 19:22:07
魔盾分数

1.4

正常的

文件详细信息

文件名 战地5小懒猪高科技.exe
文件大小 15613952 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
CRC32 3BF0BC07
MD5 d8bb72d414c4e302cc4778d6c7189cac
SHA1 05bec3170fbf7ffe6abb709f3e519fd839b34972
SHA256 0c840eca4875daed39fa0f2c362fd765b0b82f00fa584a31d96469c98b56f313
SHA512 e1a3cff1fe589683ae3ce0f2cf80253a474d5f9c41db03a6f1aa1510cfbe63edbf6b3b2232f2ca09edd01da8a4e26261a9a0fe640a812efeaf50adee98e39f06
Ssdeep 393216:xXMU5YVammNOkfD/T+XU3pVTLTOveRvZwTmRC9:GU5lIQ24VTu+vZwaRC9
PEiD 无匹配
Yara
  • win_registry (Detected system registries modification function)
  • IsPE32 (Detected a 32bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • IsPacked (Detected Entropy signature)
VirusTotal VirusTotal查询失败

特征

魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.99, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x00ec8000, virtual_size: 0x00ec7f70
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', 'virtual_address': '0x0142f000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x00456087', 'characteristics_raw': '0x60000060'}

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x029fbfcc
声明校验值 0x00000000
实际校验值 0x00ee96d5
最低操作系统版本要求 5.0
编译时间 2021-06-10 14:53:50
载入哈希 ef6d688929b9276da4f21265fa1ad7ba
导出DLL库名称 \x37\x39\x31

版本信息

LegalCopyright:
FileVersion: 1.0.0.0
CompanyName:
Comments: \u672c\u7a0b\u5e8f\u4f7f\u7528\u6613\u8bed\u8a00\u7f16\u5199(http://www.dywt.com.cn)
ProductName:
ProductVersion: 1.0.0.0
FileDescription:
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0030617a 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x00308000 0x010417c4 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x0134a000 0x000e426a 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.vmp0 0x0142f000 0x00456087 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.vmp1 0x01886000 0x00ec7f70 0x00ec8000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.99
.rsrc 0x0274e000 0x0001e872 0x0001b000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.19

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0276aa24 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_MENU 0x0276ab74 0x00000284 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_MENU 0x0276ab74 0x00000284 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0276bdbc 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x0276c804 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x0276c850 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x0276c850 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x0276c850 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None

导入

库 user32.dll:
0x28c3000 - PeekMessageA
库 kernel32.dll:
0x28c3008 - GetVersion
0x28c300c - GetVersionExA
库 gdi32.dll:
0x28c3014 - SetBkColor
库 ole32.dll:
0x28c301c - CreateStreamOnHGlobal
库 gdiplus.dll:
0x28c3024 - GdipDisposeImage
库 imm32.dll:
0x28c302c - ImmGetContext
库 shell32.dll:
0x28c3034 - SHAppBarMessage
库 winspool.drv:
0x28c303c - DocumentPropertiesA
库 advapi32.dll:
0x28c3044 - RegCloseKey
库 comctl32.dll:
0x28c304c - None
库 shlwapi.dll:
0x28c3054 - PathFileExistsA
库 winmm.dll:
0x28c305c - PlaySoundA
库 winmm.dll:
0x28c3064 - waveOutRestart
库 WS2_32.dll:
0x28c306c - htons
库 VERSION.dll:
0x28c3074 - VerLanguageNameA
库 kernel32.dll:
0x28c307c - GetVersion
0x28c3080 - GetVersionExA
库 user32.dll:
0x28c3088 - GetWindowTextLengthA
库 gdi32.dll:
0x28c3090 - ExtSelectClipRgn
库 winspool.drv:
0x28c3098 - DocumentPropertiesA
库 advapi32.dll:
0x28c30a0 - RegQueryValueExA
库 shell32.dll:
0x28c30a8 - SHEmptyRecycleBinA
库 OLEAUT32.dll:
0x28c30b0 - SysStringLen
库 comctl32.dll:
0x28c30b8 - None
库 oledlg.dll:
0x28c30c0 - None
库 WININET.dll:
0x28c30c8 - FindNextUrlCacheEntryA
库 comdlg32.dll:
0x28c30d0 - GetOpenFileNameA
库 WTSAPI32.dll:
0x28c30d8 - WTSSendMessageW
库 kernel32.dll:
0x28c30e0 - VirtualQuery
库 user32.dll:
0x28c30e8 - GetProcessWindowStation
库 kernel32.dll:
0x28c30f0 - LocalAlloc
0x28c30f4 - LocalFree
0x28c30f8 - GetModuleFileNameW
0x28c30fc - GetProcessAffinityMask
0x28c3100 - SetProcessAffinityMask
0x28c3104 - SetThreadAffinityMask
0x28c3108 - Sleep
0x28c310c - ExitProcess
0x28c3110 - FreeLibrary
0x28c3114 - LoadLibraryA
0x28c3118 - GetModuleHandleA
0x28c311c - GetProcAddress
库 user32.dll:
0x28c3124 - GetProcessWindowStation
0x28c3128 - GetUserObjectInformationW

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

无信息
访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息