魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2022-03-28 17:10:55 | 2022-03-28 17:11:32 | 37 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-2 | win7-sp1-x64-shaapp02-2 | KVM | 2022-03-28 17:10:57 | 2022-03-28 17:11:37 |
| 魔盾分数 |
|---|
1.4正常的 |
文件详细信息
| 文件名 | 任务编辑助手.exe |
|---|---|
| 文件大小 | 18479616 字节 |
| 文件类型 | PE32+ executable (GUI) x86-64, for MS Windows |
| CRC32 | B014D3FB |
| MD5 | 49c33f05ded25eaa6103ed7ee697ec23 |
| SHA1 | 51fd4eec10760df0a24d632d9c035fad05b9e3a9 |
| SHA256 | f655a73cec4016d905607e1f2aa4cc870ae7448da81efe127a39f4a1d954d17b |
| SHA512 | 63ea4821a64c4c84b4a3157cc6e23f2b9b927d7f811dbcf2743ac6dcc4a0551b918f5dc9a83b3dd06d933c2b350f837c808bb8e75e0a1fea17cba49de48b03dd |
| Ssdeep | 393216:c8Tlzn2Zy+sVDPi/vX0XJ0ZIs0SSwXwcVGNo4azngIlb:ckdnlRV2Hv/JSwpsNo4Unl |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.99, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x0118e600, virtual_size: 0x0118e47c
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', 'virtual_address': '0x00021000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x00fe1f69', 'characteristics_raw': '0x60000060'}
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.58.85.150 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x140000000 |
|---|---|
| 入口地址 | 0x141021c3d |
| 声明校验值 | 0x00000000 |
| 最低操作系统版本要求 | 6.0 |
| 编译时间 | 2021-12-30 17:55:50 |
| 载入哈希 | 07168011380d3eef460a5bd29d50345d |
| 导出DLL库名称 | \x37\x39\x31 |
版本信息
| LegalCopyright: | \u0412\u0435\u0440\u043d\u044b\u0439 & Kizuna-IO(C) 2021 |
| InternalName: | Heist Editor.exe |
| FileVersion: | 2.0.0.1 |
| CompanyName: | Los Santos International Financial Investment Company |
| ProductName: | Heist Editor |
| ProductVersion: | 2.0.0.1 |
| FileDescription: | Heist Editor |
| OriginalFilename: | Heist Editor.exe |
| Translation: | 0x0009 0x04b0 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x000155dc | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .rdata | 0x00017000 | 0x000078f4 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .data | 0x0001f000 | 0x00000c78 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .pdata | 0x00020000 | 0x00000dbc | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .vmp0 | 0x00021000 | 0x00fe1f69 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .vmp1 | 0x01003000 | 0x0118e47c | 0x0118e600 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 7.99 |
| .rsrc | 0x02192000 | 0x00010ed7 | 0x00011000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 5.60 |
导入
库 MSVCP140.dll:
• 0x141060000 - ?_Xlength_error@std@@YAXPEBD@Z
库 mfc140.dll:
• 0x141060010 - None
库 KERNEL32.dll:
• 0x141060020 - Sleep
库 USER32.dll:
• 0x141060030 - FindWindowA
库 GDI32.dll:
• 0x141060040 - CreatePatternBrush
库 COMCTL32.dll:
• 0x141060050 - InitCommonControlsEx
库 VCRUNTIME140_1.dll:
• 0x141060060 - __CxxFrameHandler4
库 VCRUNTIME140.dll:
• 0x141060070 - __C_specific_handler
库 api-ms-win-crt-string-l1-1-0.dll:
• 0x141060080 - _stricmp
库 api-ms-win-crt-runtime-l1-1-0.dll:
• 0x141060090 - _get_narrow_winmain_command_line
库 api-ms-win-crt-heap-l1-1-0.dll:
• 0x1410600a0 - _callnewh
库 api-ms-win-crt-convert-l1-1-0.dll:
• 0x1410600b0 - atoi
库 api-ms-win-crt-math-l1-1-0.dll:
• 0x1410600c0 - __setusermatherr
库 api-ms-win-crt-stdio-l1-1-0.dll:
• 0x1410600d0 - _set_fmode
库 api-ms-win-crt-locale-l1-1-0.dll:
• 0x1410600e0 - _setmbcp
库 WTSAPI32.dll:
• 0x1410600f0 - WTSSendMessageW
库 KERNEL32.dll:
• 0x141060100 - GetSystemTimeAsFileTime
库 USER32.dll:
• 0x141060110 - GetUserObjectInformationW
库 KERNEL32.dll:
• 0x141060120 - LocalAlloc
• 0x141060128 - LocalFree
• 0x141060130 - GetModuleFileNameW
• 0x141060138 - GetProcessAffinityMask
• 0x141060140 - SetProcessAffinityMask
• 0x141060148 - SetThreadAffinityMask
• 0x141060150 - Sleep
• 0x141060158 - ExitProcess
• 0x141060160 - FreeLibrary
• 0x141060168 - LoadLibraryA
• 0x141060170 - GetModuleHandleA
• 0x141060178 - GetProcAddress
库 USER32.dll:
• 0x141060188 - GetProcessWindowStation
• 0x141060190 - GetUserObjectInformationW
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息