魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2024-04-18 12:12:16 | 2024-04-18 12:12:40 | 24 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp03-2 | win7-sp1-x64-shaapp03-2 | KVM | 2024-04-18 12:12:18 | 2024-04-18 12:12:42 |
| 魔盾分数 |
|---|
0.05正常的 |
文件详细信息
| 文件名 | TTEDriver.sys |
|---|---|
| 文件大小 | 22168 字节 |
| 文件类型 | PE32 executable (native) Intel 80386, for MS Windows |
| CRC32 | 8CAE749B |
| MD5 | a3fed7ccb68a06f3c5a276054958c3dd |
| SHA1 | 0f3dcb987312c309012c518a729d09f90458a44e |
| SHA256 | b8b05fb73f4d0407ae73ccc082361e1fc0415c52c5f9327a4b62b0041717b269 |
| SHA512 | 6501f26f67a34a1edc32651091350f8cad82df01e87e11042c2fdeeb0186e766143968814a3eba31998acd8e19d0402a080af714c38f56f28b74065e27356ade |
| Ssdeep | 384:GE73v/6sRxAMqW5TeTBG5s4NgrrsQnRPYjE8pMU:PfXErrsQnm48p9 |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
专有的Yara检测结果 - 普通
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.219.206.42 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x00401140 |
| 声明校验值 | 0x0000cb52 |
| 实际校验值 | 0x0000cb52 |
| 最低操作系统版本要求 | 10.0 |
| PDB路径 | C:\Users\WLX\Desktop\tte-windriver\TTE Driver\Debug\TTEDriver.pdb |
| 编译时间 | 2024-04-17 15:55:55 |
| 载入哈希 | d2526a50340acedbc38a7725aded18f7 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00003cf8 | 0x00003e00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.05 |
| .rdata | 0x00005000 | 0x000003f0 | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ | 4.02 |
| .data | 0x00006000 | 0x00000cb8 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.59 |
| INIT | 0x00007000 | 0x000002a0 | 0x00000400 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 3.88 |
| .reloc | 0x00008000 | 0x00000250 | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 4.32 |
覆盖
| 偏移量: | 0x00005000 |
| 大小: | 0x00000698 |
导入
库 ntoskrnl.exe:
• 0x40501c - KeTickCount
• 0x405020 - KeSetEvent
• 0x405024 - KeClearEvent
• 0x405028 - KeWaitForSingleObject
• 0x40502c - memset
• 0x405030 - ExFreePoolWithTag
• 0x405034 - MmMapIoSpace
• 0x405038 - MmUnmapIoSpace
• 0x40503c - KeBugCheckEx
• 0x405040 - _allmul
• 0x405044 - ExAllocatePoolWithTag
• 0x405048 - KeQueryTimeIncrement
• 0x40504c - RtlCopyUnicodeString
• 0x405050 - KeDelayExecutionThread
• 0x405054 - KeInitializeEvent
• 0x405058 - memcpy
• 0x40505c - DbgPrint
库 HAL.dll:
• 0x405000 - KeGetCurrentIrql
库 WDFLDR.SYS:
• 0x405008 - WdfVersionUnbind
• 0x40500c - WdfVersionBind
• 0x405010 - WdfVersionUnbindClass
• 0x405014 - WdfVersionBindClass
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息