ZeroKnox Removal exe Trojan Malgent 文件恶意软件分析: 65952dad9d22372da381af824cde8e51

ZeroKnox Removal.exe Trojan Malgent 分析

更新于 1 year ago

检查者 Malware Check

ZeroKnox Removal.exe

哈希类型	值	操作
MD5	65952dad9d22372da381af824cde8e51
SHA1	b4c1ceafa4a9d257ac690dd8acffd8a08199d740
SHA256	0b054b0b5777f67322fb5e9b6ed0fd42b3d42bbf81115663f00bf00328dc2dcc
SHA512	096effb721dab9180540082838e50d2ea3513de3f33d28497db13a7b8bc323aa2e32bf8ae38f28eef48e3341b8efa6d686f0fd83bdaeb44fdc3c5c5ddfb084e1
ImpHash	f34d5f2d4577ed6d9ceec516c1f5a744

哈希类型

值

操作

MD5

65952dad9d22372da381af824cde8e51

SHA1

b4c1ceafa4a9d257ac690dd8acffd8a08199d740

SHA256

0b054b0b5777f67322fb5e9b6ed0fd42b3d42bbf81115663f00bf00328dc2dcc

SHA512

096effb721dab9180540082838e50d2ea3513de3f33d28497db13a7b8bc323aa2e32bf8ae38f28eef48e3341b8efa6d686f0fd83bdaeb44fdc3c5c5ddfb084e1

ImpHash

f34d5f2d4577ed6d9ceec516c1f5a744

PE 分析

基本信息

▼

图标	哈希: b0a1afc8fd1418e36ec8e1d90fb6fe71 模糊: d22afd1b9f2ce96978701d372ceb88f6 dHash: 4d8e1f17bb0e4d2c
映像基址	`0x00400000`
入口点	`0x02d6e00a`
编译时间	2099-10-03 07:50:56
校验和	0x00000000 (实际: 0x0297167e)
操作系统版本	4.0
PEiD 签名	`PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows`
数字签名	The PE file does not contain a certificate table.
导入	1 库 mscoree
导出	0 函数
资源	3 资源
节	5 节

版本信息

▼

Translation	0x0000 0x04b0
Comments
CompanyName
FileDescription	ZeroKnox Removal
FileVersion	1.0.0.0
InternalName	ZeroKnox Removal.exe
LegalCopyright	Copyright © 2023
LegalTrademarks
OriginalFilename	ZeroKnox Removal.exe
ProductName	ZeroKnox Removal
ProductVersion	1.0.0.0
Assembly Version	1.0.0.0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`9J4%kR8`	`0x00002000`	245,824 bytes	246,272 bytes	8.00 (打包/加密)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`207BAAFFFA0878C4688D622F4E19878B`
`.text`	`0x00040000`	42,894,171 bytes	42,894,336 bytes	7.90 (打包/加密)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`C5A5F3545AFBBD7C9919B63C45B8CFA2`
`.rsrc`	`0x0292a000`	271,488 bytes	271,872 bytes	3.83 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`7879315EB71C6B1730EAE69BA121E300`
`<yzCYrcK`	`0x0296e000`	16 bytes	512 bytes	0.16 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`DF056D1F78EFE4A1836FEEB9575F7462`
`.reloc`	`0x02970000`	12 bytes	512 bytes	0.12 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`8C7EFFDF531A1732650CE05852246332`

熵分析警报

2 检测到高熵（≥7.5）的节 - 可能存在打包/加密

资源分析

▼

资源总数: 3 (271,256 字节)

资源类型	数量	总大小	百分比
RT_ICON	1	270,376 字节	99.7%
RT_GROUP_ICON	1	20 字节	0%
RT_VERSION	1	860 字节	0.3%

证书链分析

▼

无数字签名

此文件未进行数字签名。

安全影响:

无法验证发布者的身份
运行此文件时安全风险增加
可能在某些系统上触发安全警告

⚠ 此文件缺少数字签名或证书链无法验证。
执行来自未知来源的未签名文件时请谨慎。

证书验证状态

The PE file does not contain a certificate table.

建议: 验证文件来源并确保它来自可信的发布者.

发表评论

文件名	ZeroKnox Removal.exe
文件类型	PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
扫描器版本	1.0.178.174
数据库版本	2024-05-31 01:00:22 UTC

ZeroKnox Removal.exe Trojan Malgent 分析

技术分析

Trojan.Win32.Malgent.ca

扫描另一个文件

文件识别