魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2021-09-22 17:04:55 | 2021-09-22 17:04:56 | 1 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2021-09-22 17:04:56 | 2021-09-22 17:04:56 |
| 魔盾分数 |
|---|
0.05正常的 |
文件详细信息
| 文件名 | wincore2.exe |
|---|---|
| 文件大小 | 7168 字节 |
| 文件类型 | PE32+ executable (GUI) x86-64, for MS Windows |
| CRC32 | B01DAAC6 |
| MD5 | 30b7e65380a141a621b9ad11959c34f7 |
| SHA1 | 8cef3cb67f45d837b0dff414b1447a4079499753 |
| SHA256 | 26b57edae3cf998247a68a14ffe6cdb73780bdf0afe6d1523cbff35554f3fdb6 |
| SHA512 | 86bdb5bd4ee6e1c65727d69adbf4625ad8fc181cf0533e0fba1b32e7cf236f122ef9ac2431ead8fc7ea7223cefc87ab7c9e512eab5f26bc9dbe08cb475edc2e1 |
| Ssdeep | 24:eFGStrJ9u0/6a4nZdkBQAVfkyKZqHeNDMSCvOXpmB:is0HMkBQLyhSD9C2kB |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
魔盾安全Yara检测结果 - 普通
运行截图
网络分析
静态分析
PE 信息
| 初始地址 | 0x140000000 |
|---|---|
| 入口地址 | 0x140004000 |
| 声明校验值 | 0x0000cb4c |
| 实际校验值 | 0x0000cd04 |
| 最低操作系统版本要求 | 4.0 |
| 编译时间 | 2010-04-15 06:06:53 |
| 载入哈希 | b4c6fff030479aa3b12625be67bf4914 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x0000104e | 0x00001200 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.17 |
| .rdata | 0x00003000 | 0x00000084 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.96 |
| .yohu | 0x00004000 | 0x00000278 | 0x00000400 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 4.31 |
导入
库 KERNEL32.dll:
• 0x140003000 - VirtualAlloc
• 0x140003008 - ExitProcess
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息