魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2021-09-22 02:01:10 | 2021-09-22 02:01:12 | 2 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2021-09-22 02:01:12 | 2021-09-22 02:01:12 |
| 魔盾分数 |
|---|
0.4正常的 |
文件详细信息
| 文件名 | S2t271roUf.exe |
|---|---|
| 文件大小 | 3688456 字节 |
| 文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
| CRC32 | 126067CB |
| MD5 | a726f8ec77e0fab71fd35bbcea88a965 |
| SHA1 | abed20d452569a617268c7ef517387ae45a36221 |
| SHA256 | 316052d749091264d7f14187c3e5ce8a9639bcbf012284c8db3b809786431e22 |
| SHA512 | 87158b776267970bc434d33ee569d0f6adb06a6e743ff0a6e0a5fadd2d71fa3b9b4bf8c1fcab8a631ae3e140288fe712fe9cb4e1dcb6e30a68d3bb076bd0d5b4 |
| Ssdeep | 98304:IocJpQUAYX253kyb56ApAfaUxa/DqBB5zWZ:g0KC3tEAOa/DU56Z |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .text, entropy: 8.00, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x0004ce00, virtual_size: 0x000b6000
section: name: .rdata, entropy: 8.00, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00320600, virtual_size: 0x00573000
section: name: .data, entropy: 7.98, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00006c00, virtual_size: 0x00069000
运行截图
网络分析
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x00aa3001 |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x00392d49 |
| 最低操作系统版本要求 | 4.0 |
| 编译时间 | 2021-09-20 01:32:45 |
| 载入哈希 | 75c24e60de984fd1e632cea8a1f36f44 |
版本信息
| LegalCopyright: | \u8fdb\u7a0b\u542f\u52a8\u5668 \u7248\u6743\u6240\u6709 |
| FileVersion: | 1.0.0.0 |
| CompanyName: | \u8fdb\u7a0b\u542f\u52a8\u5668 |
| Comments: | \u8fdb\u7a0b\u542f\u52a8\u5668 |
| ProductName: | \u8fdb\u7a0b\u542f\u52a8\u5668 |
| ProductVersion: | 1.0.0.0 |
| FileDescription: | \u8fdb\u7a0b\u542f\u52a8\u5668 |
| Translation: | 0x0804 0x04b0 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x000b6000 | 0x0004ce00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 8.00 |
| .rdata | 0x000b7000 | 0x00573000 | 0x00320600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 8.00 |
| .data | 0x0062a000 | 0x00069000 | 0x00006c00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 7.98 |
| .rsrc | 0x00693000 | 0x00010000 | 0x00000c00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 5.00 |
| .aspack | 0x006a3000 | 0x00010000 | 0x0000f800 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 4.92 |
| .adata | 0x006b3000 | 0x00001000 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
覆盖
| 偏移量: | 0x00384800 |
| 大小: | 0x00000008 |
资源
| 名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
|---|---|---|---|---|---|---|
| RT_DIALOG | 0x006a1bc8 | 0x000000ea | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_GROUP_CURSOR | 0x006a1cdc | 0x00000022 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_GROUP_CURSOR | 0x006a1cdc | 0x00000022 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_GROUP_CURSOR | 0x006a1cdc | 0x00000022 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
导入
库 kernel32.dll:
• 0xaa3fb8 - GetProcAddress
• 0xaa3fbc - GetModuleHandleA
• 0xaa3fc0 - LoadLibraryA
库 winmm.dll:
• 0xaa41ce - midiStreamOut
库 ws2_32.dll:
• 0xaa41d6 - WSAAsyncSelect
库 rasapi32.dll:
• 0xaa41de - RasHangUpA
库 user32.dll:
• 0xaa41e6 - ChildWindowFromPointEx
库 gdi32.dll:
• 0xaa41ee - ExtSelectClipRgn
库 winspool.drv:
• 0xaa41f6 - OpenPrinterA
库 advapi32.dll:
• 0xaa41fe - RegOpenKeyExA
库 shell32.dll:
• 0xaa4206 - Shell_NotifyIconA
库 ole32.dll:
• 0xaa420e - OleRun
库 oleaut32.dll:
• 0xaa4216 - UnRegisterTypeLib
库 comctl32.dll:
• 0xaa421e - None
库 wininet.dll:
• 0xaa4226 - InternetCanonicalizeUrlA
库 comdlg32.dll:
• 0xaa422e - ChooseColorA
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息