魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2021-07-25 17:06:15 | 2021-07-25 17:06:44 | 29 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp03-1 | win7-sp1-x64-shaapp03-1 | KVM | 2021-07-25 17:06:16 | 2021-07-25 17:06:46 |
| 魔盾分数 |
|---|
0.4正常的 |
文件详细信息
| 文件名 | 星辰虚拟硬件修改大师.exe |
|---|---|
| 文件大小 | 6501888 字节 |
| 文件类型 | PE32+ executable (GUI) x86-64, for MS Windows |
| CRC32 | 7FEEBA01 |
| MD5 | bb9dd31bd36d1306c818a02a29124186 |
| SHA1 | 101f6988a53c7dc6b1f65e11ca559c04b7c9476c |
| SHA256 | f299cb9b7c35e45f30ebabad382bb80a7e9cad66f833eaf19e7e18aaa6e72593 |
| SHA512 | b26c3923da5f401d45412e399847b0cf6240c2bfb5d3143445250f78dd4c77328bbb8198113a14e2935e2c9d469a9645e65771778c0851e7ddc2bf0561535f52 |
| Ssdeep | 98304:4g3LCT/rfxQ9FlruJ25hV77al5Ozbrj4jF3ze90K6o2VdIU3SgFououo:B3L2zfxQ9QcnV4dei1IU3Swououo |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .fu1, entropy: 7.92, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x005ee200, virtual_size: 0x005ee06c
运行截图
网络分析
访问主机记录
| 直接访问 | IP地址 | 国家名 |
|---|---|---|
| 否 | 23.61.195.19 | United States |
域名解析
| 域名 | 响应 |
|---|---|
| acroipm.adobe.com |
A 23.61.195.33
CNAME a1983.dscd.akamai.net CNAME acroipm.adobe.com.edgesuite.net A 23.61.195.19 |
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.61.195.19 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x140000000 |
|---|---|
| 入口地址 | 0x1404cc88c |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x0063c5ca |
| 最低操作系统版本要求 | 6.0 |
| 编译时间 | 2021-07-25 16:54:53 |
| 载入哈希 | d767b1969e9df3067811e7b73df68479 |
| 图标 |  |
| 图标精确哈希值 | 50316ec9ff116210eca48adc2cc13ce8 |
| 图标相似性哈希值 | a4aaa5be46229bfa2861baf07fea320d |
版本信息
| LegalCopyright: | Copyright (C) 2021-2055 |
| InternalName: | \xe6\xe8\xe8\xe6\xe7\xe4\xe4\xe6\xe5\xe5.exe |
| FileVersion: | 1.0.0.1 |
| CompanyName: | \xe6\xe8\xe8\xe6\xe7\xe4\xe6\xe9\xe7\xe6\xe5\xe5 |
| ProductName: | \xe6\xe8\xe8\xe6\xe7\xe4\xe4\xe6\xe5\xe5 |
| ProductVersion: | 1.0.0.1 |
| FileDescription: | \xe8\xe6\xe7\xe4 |
| OriginalFilename: | \xe6\xe8\xe8\xe6\xe7\xe4\xe4\xe6\xe5\xe5.exe |
| Translation: | 0x0804 0x04b0 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00013f83 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .rdata | 0x00015000 | 0x0000cffa | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .data | 0x00022000 | 0x00000c78 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .pdata | 0x00023000 | 0x00001c80 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .fu0 | 0x00025000 | 0x00405e91 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .fu1 | 0x0042b000 | 0x005ee06c | 0x005ee200 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 7.92 |
| .reloc | 0x00a1a000 | 0x000000e8 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 2.21 |
| .rsrc | 0x00a1b000 | 0x00044c53 | 0x00044e00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 4.90 |
资源
| 名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
|---|---|---|---|---|---|---|
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_ICON | 0x00a5f0c8 | 0x00000468 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.45 | GLS_BINARY_LSB_FIRST |
| RT_GROUP_ICON | 0x00a5f660 | 0x00000092 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.11 | MS Windows icon resource - 10 icons, 48x48, 16 colors |
| RT_GROUP_ICON | 0x00a5f660 | 0x00000092 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.11 | MS Windows icon resource - 10 icons, 48x48, 16 colors |
| RT_GROUP_ICON | 0x00a5f660 | 0x00000092 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.11 | MS Windows icon resource - 10 icons, 48x48, 16 colors |
| RT_VERSION | 0x00a5f6f8 | 0x000002c4 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.90 | data |
| RT_MANIFEST | 0x00a5f9c0 | 0x00000293 | LANG_ENGLISH | SUBLANG_ENGLISH_US | 5.03 | XML 1.0 document text |
导入
库 KERNEL32.dll:
• 0x140466000 - GetCurrentProcessId
库 USER32.dll:
• 0x140466010 - GetMessageA
库 GDI32.dll:
• 0x140466020 - CreateSolidBrush
库 COMDLG32.dll:
• 0x140466030 - GetSaveFileNameW
库 ADVAPI32.dll:
• 0x140466040 - QueryServiceStatus
库 MSVCP140.dll:
• 0x140466050 - ??1_Lockit@std@@QEAA@XZ
库 WININET.dll:
• 0x140466060 - InternetOpenA
库 VCRUNTIME140_1.dll:
• 0x140466070 - __CxxFrameHandler4
库 VCRUNTIME140.dll:
• 0x140466080 - memchr
库 api-ms-win-crt-runtime-l1-1-0.dll:
• 0x140466090 - _set_app_type
库 api-ms-win-crt-stdio-l1-1-0.dll:
• 0x1404660a0 - ungetc
库 api-ms-win-crt-heap-l1-1-0.dll:
• 0x1404660b0 - malloc
库 api-ms-win-crt-string-l1-1-0.dll:
• 0x1404660c0 - wcscpy
库 api-ms-win-crt-filesystem-l1-1-0.dll:
• 0x1404660d0 - _unlock_file
库 api-ms-win-crt-math-l1-1-0.dll:
• 0x1404660e0 - __setusermatherr
库 api-ms-win-crt-locale-l1-1-0.dll:
• 0x1404660f0 - _configthreadlocale
库 WTSAPI32.dll:
• 0x140466100 - WTSSendMessageW
库 KERNEL32.dll:
• 0x140466110 - GetSystemTimeAsFileTime
库 USER32.dll:
• 0x140466120 - GetUserObjectInformationW
库 KERNEL32.dll:
• 0x140466130 - LocalAlloc
• 0x140466138 - LocalFree
• 0x140466140 - GetModuleFileNameW
• 0x140466148 - GetProcessAffinityMask
• 0x140466150 - SetProcessAffinityMask
• 0x140466158 - SetThreadAffinityMask
• 0x140466160 - Sleep
• 0x140466168 - ExitProcess
• 0x140466170 - FreeLibrary
• 0x140466178 - LoadLibraryA
• 0x140466180 - GetModuleHandleA
• 0x140466188 - GetProcAddress
库 USER32.dll:
• 0x140466198 - GetProcessWindowStation
• 0x1404661a0 - GetUserObjectInformationW
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息