魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2019-09-16 18:02:57 2019-09-16 18:03:28 31 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-hpdapp01-1 win7-sp1-x64-hpdapp01-1 KVM 2019-09-16 18:03:00 2019-09-16 18:03:29
魔盾分数

1.4

正常的

文件详细信息

文件名 JCR2.0.exe
文件大小 20344 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows, UPX compressed
CRC32 3E3DCA41
MD5 1f8847f6a86ea904ede5950b2a47ea19
SHA1 e94da64be1ae10a14683de96b2442f8dc4e8f2d3
SHA256 f51111a700682e3dee3917869968713eaca40e63b422581d1c39bb4ff38cd5b3
SHA512 eabf9144ca9ef8a60d02eb3c5c896f3cd16d20ee7dfca0396c436704a05595b0cac6b5798f0bbabb3cb477e008aa470972c50b6988649180006a5a0ac6821459
Ssdeep 384:bJ7o81p+Ru+9vVvcqGnmoL8XdCf3APT3GgojLOaNJawcudoD7UJ0KI7C9r:F7PuI+vvtIf3APzALfnbcuyD7Uiu
PEiD 无匹配
Yara
  • with_urls (Detected the presence of an or several urls)
  • UPX (Detected UPX. Commonly used by RAT!)
  • UPXv20MarkusLaszloReiser ()
  • UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser ()
  • UPX293300LZMAMarkusOberhumerLaszloMolnarJohnReiser ()
  • UPX20030XMarkusOberhumerLaszloMolnarJohnReiser ()
  • IsPE32 (Detected 32bit PE signature)
  • IsConsole (Detected Console program signature)
  • IsPacked (Detected Entropy signature)
  • HasOverlay (Detected Overlay signature)
  • HasDigitalSignature (Detected Digital Signature)
  • HasRichSignature (Detected Rich Signature)
VirusTotal 无此文件扫描结果

特征

魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: UPX1, entropy: 7.84, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00003800, virtual_size: 0x00004000
可执行文件被使用UPX压缩
section: name: UPX0, entropy: 0.00, characteristics: IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00000000, virtual_size: 0x00017000

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x0041ac00
声明校验值 0x0000c520
实际校验值 0x0000c520
最低操作系统版本要求 4.0
编译时间 2019-09-16 18:00:35
载入哈希 cc2cd7c519f974a7e24c78ebd4d6400c

版本信息

LegalCopyright: JC \u7f16\u8bd1\u5668
FileVersion: 1.0.0.0
CompanyName: JC \u7f16\u8bd1\u5668
Comments: JC \u7f16\u8bd1\u5668
ProductName: JC \u7f16\u8bd1\u5668
ProductVersion: 1.0.0.0
FileDescription: JC \u7f16\u8bd1\u5668
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x00017000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x00018000 0x00004000 0x00003800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.84
.rsrc 0x0001c000 0x00001000 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 3.61

导入

库 KERNEL32.DLL:
0x41c2f4 - LoadLibraryA
0x41c2f8 - GetProcAddress
0x41c2fc - VirtualProtect
0x41c300 - VirtualAlloc
0x41c304 - VirtualFree
0x41c308 - ExitProcess
库 MSVCRT.dll:
0x41c310 - modf
库 SHLWAPI.dll:
0x41c318 - PathFindFileNameA
库 USER32.dll:
0x41c320 - wsprintfA

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

JCR2.0.exe PID: 2484, 上一级进程 PID: 2332

访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键 无信息
删除的注册表键 无信息
API解析
  • kernel32.dll.ReadFile
  • kernel32.dll.GetExitCodeProcess
  • kernel32.dll.GetProcessHeap
  • kernel32.dll.GetModuleHandleA
  • kernel32.dll.ExitProcess
  • kernel32.dll.HeapAlloc
  • kernel32.dll.HeapReAlloc
  • kernel32.dll.HeapFree
  • kernel32.dll.IsBadReadPtr
  • kernel32.dll.GetCommandLineA
  • kernel32.dll.WriteFile
  • kernel32.dll.PeekNamedPipe
  • kernel32.dll.ReadConsoleA
  • kernel32.dll.CloseHandle
  • kernel32.dll.WaitForSingleObject
  • kernel32.dll.GetStartupInfoA
  • kernel32.dll.GetVersionExA
  • kernel32.dll.GetModuleFileNameA
  • kernel32.dll.FreeLibrary
  • kernel32.dll.GetProcAddress
  • kernel32.dll.LoadLibraryA
  • kernel32.dll.CreateProcessA
  • kernel32.dll.GetTickCount
  • kernel32.dll.GetStdHandle
  • kernel32.dll.CreatePipe
  • msvcrt.dll.modf
  • msvcrt.dll.system
  • msvcrt.dll.sprintf
  • msvcrt.dll.malloc
  • msvcrt.dll.memmove
  • msvcrt.dll.strchr
  • msvcrt.dll._ftol
  • msvcrt.dll.strrchr
  • msvcrt.dll.free
  • msvcrt.dll.??3@YAXPAX@Z
  • msvcrt.dll._getch
  • msvcrt.dll.atoi
  • shlwapi.dll.PathFindExtensionA
  • shlwapi.dll.PathFindFileNameA
  • user32.dll.DispatchMessageA
  • user32.dll.wsprintfA
  • user32.dll.MessageBoxA
  • user32.dll.TranslateMessage
  • user32.dll.GetMessageA
  • user32.dll.PeekMessageA