魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2022-01-29 21:29:55 | 2022-01-29 21:29:57 | 2 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2022-01-29 21:29:57 | 2022-01-29 21:29:57 |
| 魔盾分数 |
|---|
1.2正常的 |
文件详细信息
| 文件名 | Hackeplex.cc Injector.exe |
|---|---|
| 文件大小 | 5668864 字节 |
| 文件类型 | PE32+ executable (GUI) x86-64, for MS Windows |
| CRC32 | 4D38ED64 |
| MD5 | cb6443ca04373e5231aaa1e04411f949 |
| SHA1 | c503f2d487d3bcb5b76336571b88ab45bec8e720 |
| SHA256 | 40e37cff29ae4b6aaa40f69591342fc548a2a3033ce348b45c8ad7b2f571eec8 |
| SHA512 | 91c5032c3c26cc5ea08e34878a2ed2ac0a93938a22c3881f4d2fc3ade45b8dcb82b79abbab63a3cb419389e8f75bafc8be3b3cbaf8802328e02ace239d877f60 |
| Ssdeep | 98304:QKRxFRrUKvrdkVaNOVNq6e+ddr2lCNE+XF48KM1jF7+Oh23SbwdEazAdt:lxBvrdkV8OK6DdrKQRHKsEibwPAT |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: , entropy: 7.99, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x00100800, virtual_size: 0x00102000
section: name: , entropy: 7.93, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ, raw_size: 0x0000be00, virtual_size: 0x0000bc04
section: name: .rsrc, entropy: 7.81, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ, raw_size: 0x0000be00, virtual_size: 0x0000be00
section: name: .boot, entropy: 7.96, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x0044f600, virtual_size: 0x0044f600
异常的二进制特征
anomaly: Found duplicated section names
运行截图
网络分析
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x00c8a058 |
| 声明校验值 | 0x0056ef6f |
| 实际校验值 | 0x0056ef6f |
| 最低操作系统版本要求 | 4.0 |
| 编译时间 | 2091-10-27 05:13:29 |
| 载入哈希 | a56f115ee5ef2625bd949acaeec66b76 |
版本信息
| Translation: | 0x0000 0x04b0 |
| LegalCopyright: | Copyright \xa9 2021 by \u2c67\u20b3\u20b5\u20ad\u0246\u20b1\u2c60\u0246\u04fe.\u20b5\u20b5#6113 |
| Assembly Version: | 1.0.0.0 |
| InternalName: | Hackeplex.cc Injector.exe |
| FileVersion: | 1.0.0 |
| CompanyName: | |
| LegalTrademarks: | |
| Comments: | |
| ProductName: | Hackeplex.cc |
| ProductVersion: | 1.0.0 |
| FileDescription: | Hackeplex.cc |
| OriginalFilename: | Hackeplex.cc Injector.exe |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| 0x00002000 | 0x00102000 | 0x00100800 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 7.99 | |
| 0x00104000 | 0x0000bc04 | 0x0000be00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 7.93 | |
| .idata | 0x00110000 | 0x00002000 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.60 |
| .rsrc | 0x00112000 | 0x0000be00 | 0x0000be00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 7.81 |
| .themida | 0x0011e000 | 0x0076c000 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .boot | 0x0088a000 | 0x0044f600 | 0x0044f600 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 7.96 |
导入
库 kernel32.dll:
• 0x510048 - GetModuleHandleA
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息