比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2024-04-26 15:50:44 2024-04-26 15:51:35 51 秒

魔盾分数

5.6125

可疑的

文件详细信息

文件名 privateaccess-win.exe
文件大小 10985808 字节
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
MD5 c84f26ff62f804dab598e9358408d57a
SHA1 83685217c4fcf2d6976253fe7237beee47fa3a57
SHA256 9d1492f0112c1eff9df61576715aea2d7119ce2df2581a3f304a916519fab085
SHA512 83b58b1d94d6048e10f1102e83b982b9c89a3042ef29dd6b3c9c70f84c931685119301f18c7f2199504d5e149a77e42c1cac9bd7fc5a17b431a29d463b4ccd57
CRC32 F9A95A56
Ssdeep 196608:9q60lI5TXCd4HZQsA7iMwlUq7XQ51dO42JFY8F+mOVKf9Dwg8Ys5OYbvn6Bjm:k60q5DCd4HZQsAQbOi42tV9U15O06Ba
Yara 登录查看Yara规则
找不到该样本 提交漏报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x140000000
入口地址 0x14000ad80
声明校验值 0x00a81f1e
实际校验值 0x00a81f1e
最低操作系统版本要求 6.0
PDB路径 D:\a\EncryptStick\EncryptStick\EncryptStick\PrivateAccessWinWrapper\x64\Release\PrivateAccess_win.pdb
编译时间 2024-03-01 10:21:08
载入哈希 496ddb5e55a6af1aeb86b6c766036521
图标
图标精确哈希值 0c2f9354121946c126ab1dffe6ea9f6f
图标相似性哈希值 49d4cf1ac48e10ff80e12a7f89becec4

版本信息

LegalCopyright
FileVersion
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

微软证书验证 (Sign Tool)

SHA1 时间戳 有效性 错误
None Fri Mar 01 10:21:09 2024
WinVerifyTrust returned error 0x800B010A
证书链 Certificate Chain 1
发行给 USERTrust RSA Certification Authority
发行人 AAA Certificate Services
有效期 Mon Jan 01 075959 2029
SHA1 哈希 d89e3bd43d5d909b47a18977aa9d5ce36cee184c
证书链 Certificate Chain 2
发行给 Sectigo RSA Code Signing CA 2
发行人 USERTrust RSA Certification Authority
有效期 Sun May 25 075959 2036
SHA1 哈希 d772da0874059418fcdaace3f4ff2ac964a852ff
证书链 Certificate Chain 3
发行给 Western Digital Technologies, Inc.
发行人 Sectigo RSA Code Signing CA 2
有效期 Sat Feb 15 075959 2025
SHA1 哈希 fa0c43847ac417e99dab450679e019322a5d63ce
证书链 Timestamp Chain 1
发行给 USERTrust RSA Certification Authority
发行人 AAA Certificate Services
有效期 Mon Jan 01 075959 2029
SHA1 哈希 d89e3bd43d5d909b47a18977aa9d5ce36cee184c
证书链 Timestamp Chain 2
发行给 Sectigo RSA Time Stamping CA
发行人 USERTrust RSA Certification Authority
有效期 Tue Jan 19 075959 2038
SHA1 哈希 02d65b95e28370c1570095fa88f923dd937fad8f
证书链 Timestamp Chain 3
发行给 Sectigo RSA Time Stamping Signer #4
发行人 Sectigo RSA Time Stamping CA
有效期 Thu Aug 03 075959 2034
SHA1 哈希 ae62af750a0cbd47d6461f7568e2bc8ce7ca4f94

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00027128 0x00027200 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.47
.rdata 0x00029000 0x000130f8 0x00013200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.09
.data 0x0003d000 0x00002e4c 0x00001600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 2.90
.pdata 0x00040000 0x00002574 0x00002600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.36
_RDATA 0x00043000 0x000000f4 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 2.01
.rsrc 0x00044000 0x00a387f8 0x00a38800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 7.87
.reloc 0x00a7d000 0x0000099c 0x00000a00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 5.36

覆盖

偏移量 0x00a77800
大小 0x00002950

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x00a6b990 0x00010828 LANG_ENGLISH SUBLANG_ENGLISH_US 2.60 data
RT_ICON 0x00a6b990 0x00010828 LANG_ENGLISH SUBLANG_ENGLISH_US 2.60 data
RT_ICON 0x00a6b990 0x00010828 LANG_ENGLISH SUBLANG_ENGLISH_US 2.60 data
RT_ICON 0x00a6b990 0x00010828 LANG_ENGLISH SUBLANG_ENGLISH_US 2.60 data
RT_MENU 0x00a7c1f8 0x0000004a LANG_ENGLISH SUBLANG_ENGLISH_US 2.71 data
RT_DIALOG 0x00a7c258 0x00000158 LANG_ENGLISH SUBLANG_ENGLISH_US 3.26 data
RT_STRING 0x00a7c610 0x00000064 LANG_ENGLISH SUBLANG_ENGLISH_US 2.56 data
RT_ACCELERATOR 0x00a7c248 0x00000010 LANG_ENGLISH SUBLANG_ENGLISH_US 1.80 data
RT_RCDATA 0x00a2a100 0x0003c158 LANG_ENGLISH SUBLANG_ENGLISH_US 5.70 PE32+ executable (GUI) x86-64, for MS Windows
RT_RCDATA 0x00a2a100 0x0003c158 LANG_ENGLISH SUBLANG_ENGLISH_US 5.70 PE32+ executable (GUI) x86-64, for MS Windows
RT_GROUP_ICON 0x00a7c1b8 0x0000003e LANG_ENGLISH SUBLANG_ENGLISH_US 2.66 MS Windows icon resource - 4 icons, 16x16
RT_VERSION 0x00a7c3b0 0x0000025c LANG_ENGLISH SUBLANG_ENGLISH_US 3.36 data
RT_MANIFEST 0x00a7c678 0x0000017d LANG_ENGLISH SUBLANG_ENGLISH_US 4.91 XML 1.0 document text

导入

库: KERNEL32.dll:
0x140029000 SizeofResource
0x140029008 HeapFree
0x140029018 FindResourceA
0x140029020 HeapSize
0x140029028 GetLastError
0x140029030 LockResource
0x140029038 HeapReAlloc
0x140029040 RaiseException
0x140029048 FindResourceExW
0x140029050 LoadResource
0x140029058 FindResourceW
0x140029060 HeapAlloc
0x140029068 SetFileAttributesA
0x140029070 DecodePointer
0x140029078 HeapDestroy
0x140029080 DeleteCriticalSection
0x140029088 GetProcessHeap
0x140029090 WideCharToMultiByte
0x140029098 WriteConsoleW
0x1400290a0 SetStdHandle
0x1400290a8 FreeEnvironmentStringsW
0x1400290b0 GetEnvironmentStringsW
0x1400290b8 LocalFree
0x1400290c0 FormatMessageA
0x1400290c8 CreateDirectoryW
0x1400290d0 CreateFileW
0x1400290d8 FindClose
0x1400290e0 FindFirstFileExW
0x1400290e8 FindNextFileW
0x1400290f0 GetFileAttributesExW
0x1400290f8 SetEndOfFile
0x140029108 SetFilePointerEx
0x140029110 AreFileApisANSI
0x140029118 CloseHandle
0x140029128 MultiByteToWideChar
0x140029130 EnterCriticalSection
0x140029138 LeaveCriticalSection
0x140029140 EncodePointer
0x140029148 LCMapStringEx
0x140029150 GetStringTypeW
0x140029158 GetCPInfo
0x140029160 IsDebuggerPresent
0x140029168 OutputDebugStringW
0x140029178 SetEvent
0x140029180 ResetEvent
0x140029188 WaitForSingleObjectEx
0x140029190 CreateEventW
0x140029198 GetModuleHandleW
0x1400291a0 GetProcAddress
0x1400291a8 RtlCaptureContext
0x1400291b0 RtlLookupFunctionEntry
0x1400291b8 RtlVirtualUnwind
0x1400291c0 UnhandledExceptionFilter
0x1400291d0 GetCurrentProcess
0x1400291d8 TerminateProcess
0x1400291e8 GetStartupInfoW
0x1400291f0 QueryPerformanceCounter
0x1400291f8 GetCurrentProcessId
0x140029200 GetCurrentThreadId
0x140029208 GetSystemTimeAsFileTime
0x140029210 InitializeSListHead
0x140029218 RtlUnwindEx
0x140029220 RtlPcToFileHeader
0x140029228 SetLastError
0x140029230 TlsAlloc
0x140029238 TlsGetValue
0x140029240 TlsSetValue
0x140029248 TlsFree
0x140029250 FreeLibrary
0x140029258 LoadLibraryExW
0x140029260 ExitProcess
0x140029268 GetModuleHandleExW
0x140029270 GetModuleFileNameW
0x140029278 GetStdHandle
0x140029280 WriteFile
0x140029288 GetFileSizeEx
0x140029290 GetFileType
0x140029298 FlushFileBuffers
0x1400292a0 GetConsoleOutputCP
0x1400292a8 GetConsoleMode
0x1400292b0 FlsAlloc
0x1400292b8 FlsGetValue
0x1400292c0 FlsSetValue
0x1400292c8 FlsFree
0x1400292d0 LCMapStringW
0x1400292d8 GetLocaleInfoW
0x1400292e0 IsValidLocale
0x1400292e8 GetUserDefaultLCID
0x1400292f0 EnumSystemLocalesW
0x1400292f8 ReadFile
0x140029300 ReadConsoleW
0x140029308 IsValidCodePage
0x140029310 GetACP
0x140029318 GetOEMCP
0x140029320 GetCommandLineA
0x140029328 GetCommandLineW
0x140029330 RtlUnwind
库: SHELL32.dll:
0x140029340 ShellExecuteA
.text
`.rdata
@.data
.pdata
@_RDATA
@.rsrc
@.reloc
没有防病毒引擎扫描信息!

进程树

privateaccess-win.exe, PID: 2636, 上一级进程 PID: 2268
PrivateAccessMonitor.exe, PID: 2856, 上一级进程 PID: 2636
PrivateAccess_win.exe, PID: 2824, 上一级进程 PID: 2636
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49158 23.223.199.177 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49158 23.223.199.177 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 23.284 seconds )

  • 11.172 Suricata
  • 8.445 Static
  • 2.19 TargetInfo
  • 0.953 NetworkAnalysis
  • 0.312 peid
  • 0.162 BehaviorAnalysis
  • 0.026 config_decoder
  • 0.012 Strings
  • 0.01 AnalysisInfo
  • 0.002 Memory

Signatures ( 1.436 seconds )

  • 1.311 proprietary_url_bl
  • 0.013 antiav_detectreg
  • 0.012 stealth_file
  • 0.008 api_spamming
  • 0.008 proprietary_domain_bl
  • 0.006 stealth_decoy_document
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 geodo_banking_trojan
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 injection_createremotethread
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.003 network_http
  • 0.002 tinba_behavior
  • 0.002 antiemu_wine_func
  • 0.002 mimics_filetime
  • 0.002 reads_self
  • 0.002 antivm_generic_disk
  • 0.002 infostealer_browser_password
  • 0.002 kovter_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.001 bootkit
  • 0.001 rat_nanocore
  • 0.001 injection_explorer
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 injection_runpe
  • 0.001 virus
  • 0.001 stealth_timeout
  • 0.001 hancitor_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.001 proprietary_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.535 seconds )

  • 0.476 ReportHTMLSummary
  • 0.059 Malheur
Task ID 744342
Mongo ID 662b5d4f7e769a5b6bbf3142
Cuckoo release 1.4-Maldun