魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2024-03-27 14:00:02 | 2024-03-27 14:00:35 | 33 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2024-03-27 14:00:03 | 2024-03-27 14:00:37 |
| 魔盾分数 |
|---|
5.25可疑的 |
文件详细信息
| 文件名 | Project1.exe |
|---|---|
| 文件大小 | 12288 字节 |
| 文件类型 | PE32 executable (console) Intel 80386, for MS Windows |
| CRC32 | 63AA314A |
| MD5 | b07e6912b33f9b751663005e508fa891 |
| SHA1 | 57120c08a7dd929d43f801242cc4b02de051c304 |
| SHA256 | 5dacbaa92c684d293b7c00d42f62bb7331c23a292ebd34b7a2295c0725d9a06b |
| SHA512 | e2175d771b0ddaa14e7322a1a2bc1ece8013188442db186210ec0a1a125c3c856353437b327fceebea693ac86bb666c9a9b6e9952d61c2e570bea02fc28e026e |
| Ssdeep | 192:EGOk/7Sn2DHqi3mA/jOGU/SIOSygCTL7E5pz6UJoZZ8o:EGOizHv3mOjXtJgi7jz8 |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
专有的Yara规则检测结果 - 高危
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 104.123.154.26 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x0040181a |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x0000b8e1 |
| 最低操作系统版本要求 | 6.0 |
| PDB路径 | C:\Users\Sam\Desktop\CCCCC\Project1\Release\Project1.pdb |
| 编译时间 | 2024-03-27 13:59:14 |
| 载入哈希 | 73185738d15f3944026d0aa739888d0d |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00001241 | 0x00001400 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 5.83 |
| .rdata | 0x00003000 | 0x00000e16 | 0x00001000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 4.42 |
| .data | 0x00004000 | 0x00000390 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.28 |
| .rsrc | 0x00005000 | 0x000001e0 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 4.70 |
| .reloc | 0x00006000 | 0x0000020c | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 4.06 |
导入
库 KERNEL32.dll:
• 0x403000 - Sleep
• 0x403004 - GetLastError
• 0x403008 - CreateThread
• 0x40300c - ExitProcess
• 0x403010 - IsDebuggerPresent
• 0x403014 - InitializeSListHead
• 0x403018 - GetSystemTimeAsFileTime
• 0x40301c - GetCurrentThreadId
• 0x403020 - GetCurrentProcessId
• 0x403024 - QueryPerformanceCounter
• 0x403028 - IsProcessorFeaturePresent
• 0x40302c - TerminateProcess
• 0x403030 - GetCurrentProcess
• 0x403034 - SetUnhandledExceptionFilter
• 0x403038 - UnhandledExceptionFilter
• 0x40303c - GetModuleHandleW
库 USER32.dll:
• 0x403044 - DispatchMessageW
• 0x403048 - GetMessageW
• 0x40304c - TranslateMessage
• 0x403050 - MessageBoxA
• 0x403054 - GetAsyncKeyState
• 0x403058 - PostMessageA
• 0x40305c - FindWindowExA
库 VCRUNTIME140.dll:
• 0x403064 - _except_handler4_common
• 0x403068 - memset
• 0x40306c - __current_exception
• 0x403070 - __current_exception_context
库 api-ms-win-crt-time-l1-1-0.dll:
• 0x4030f8 - clock
库 api-ms-win-crt-stdio-l1-1-0.dll:
• 0x4030e4 - __p__commode
• 0x4030e8 - __acrt_iob_func
• 0x4030ec - __stdio_common_vfprintf
• 0x4030f0 - _set_fmode
库 api-ms-win-crt-runtime-l1-1-0.dll:
• 0x403090 - _get_initial_narrow_environment
• 0x403094 - _c_exit
• 0x403098 - _initterm_e
• 0x40309c - _initialize_narrow_environment
• 0x4030a0 - _exit
• 0x4030a4 - _cexit
• 0x4030a8 - _crt_atexit
• 0x4030ac - _controlfp_s
• 0x4030b0 - terminate
• 0x4030b4 - _configure_narrow_argv
• 0x4030b8 - __p___argv
• 0x4030bc - _set_app_type
• 0x4030c0 - _register_onexit_function
• 0x4030c4 - _initterm
• 0x4030c8 - _initialize_onexit_table
• 0x4030cc - _seh_filter_exe
• 0x4030d0 - system
• 0x4030d4 - exit
• 0x4030d8 - _register_thread_local_exe_atexit_callback
• 0x4030dc - __p___argc
库 api-ms-win-crt-math-l1-1-0.dll:
• 0x403088 - __setusermatherr
库 api-ms-win-crt-locale-l1-1-0.dll:
• 0x403080 - _configthreadlocale
库 api-ms-win-crt-heap-l1-1-0.dll:
• 0x403078 - _set_new_mode
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息