魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2024-04-18 12:12:04 | 2024-04-18 12:12:28 | 24 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp03-1 | win7-sp1-x64-shaapp03-1 | KVM | 2024-04-18 12:12:05 | 2024-04-18 12:12:30 |
| 魔盾分数 |
|---|
0.05正常的 |
文件详细信息
| 文件名 | TTEDriver.sys |
|---|---|
| 文件大小 | 27344 字节 |
| 文件类型 | PE32+ executable (native) x86-64, for MS Windows |
| CRC32 | C08778F5 |
| MD5 | 2514eb41e03c5ac4a17cbc94c4ee2e79 |
| SHA1 | c818bb1d78760b137dc1cda99550abf428f0de60 |
| SHA256 | 847eac0148d5a3fa820ff2e186b71d348dd79fff4276999881a930310ebb4ea1 |
| SHA512 | 3702c703664609f3b67d684c87e8293f67c7487061fdd5368de1c0296cfe994f7a23c137abd2cb35ee673030fd9f7b9232f451da5e0562870866608c6639c692 |
| Ssdeep | 384:QcFL0aUMPu/QyV7RJh83VD+tBGx3K2GDHoEyrtoIGMU:QcErhg+tBaLGDHartof |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
专有的Yara检测结果 - 普通
运行截图
网络分析
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
静态分析
PE 信息
| 初始地址 | 0x140000000 |
|---|---|
| 入口地址 | 0x1400011a0 |
| 声明校验值 | 0x0000c3b2 |
| 实际校验值 | 0x0000c3b2 |
| 最低操作系统版本要求 | 10.0 |
| PDB路径 | C:\Users\WLX\Desktop\tte-windriver\TTE Driver\x64\Debug\TTEDriver.pdb |
| 编译时间 | 2024-04-17 15:55:33 |
| 载入哈希 | a4de2ef37750400241da72f0f0cd222a |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00004a20 | 0x00004c00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 5.61 |
| .rdata | 0x00006000 | 0x000006c0 | 0x00000800 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ | 3.64 |
| .data | 0x00007000 | 0x00001358 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.79 |
| .pdata | 0x00009000 | 0x000003b4 | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ | 3.80 |
| INIT | 0x0000a000 | 0x000002a4 | 0x00000400 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 3.75 |
| .reloc | 0x0000b000 | 0x00000028 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 0.44 |
覆盖
| 偏移量: | 0x00006400 |
| 大小: | 0x000006d0 |
导入
库 ntoskrnl.exe:
• 0x140006028 - KeSetEvent
• 0x140006030 - KeClearEvent
• 0x140006038 - KeWaitForSingleObject
• 0x140006040 - ExAllocatePoolWithTag
• 0x140006048 - MmMapIoSpace
• 0x140006050 - MmUnmapIoSpace
• 0x140006058 - KeBugCheckEx
• 0x140006060 - KeQueryTimeIncrement
• 0x140006068 - RtlCopyUnicodeString
• 0x140006070 - KeDelayExecutionThread
• 0x140006078 - KeInitializeEvent
• 0x140006080 - ExFreePoolWithTag
• 0x140006088 - DbgPrint
库 WDFLDR.SYS:
• 0x140006000 - WdfVersionBind
• 0x140006008 - WdfVersionUnbind
• 0x140006010 - WdfVersionUnbindClass
• 0x140006018 - WdfVersionBindClass
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息