Pecmd exe (WinPE Commander (Modified By DSystem mdyblog blog 163 com)) DSystem 文件恶意软件分析

Pecmd.exe (WinPE Commander (Modified By DSystem mdyblog.blog.163.com)) 文件分析

更新于 2 months ago

检查者 Malware Check

Pecmd.exe

哈希类型	值	操作
MD5	d723624db4fb00b6997170b6c6fce11b
SHA1	8485e52fea0d91201bfbb15abd865aa8961594b8
SHA256	397af00cc0a3be9f1211d9c2b6f209994bca67fb1b21b278c289a3b3cf7d8c9c
SHA512	f393a5e3edf5f85b7c3865d9c598fa190c93b30cf972b399481bc42cda3839d9349e4694d846aa2888cebb9c3b6fc8143523da6abc1c88377238804369b92127
ImpHash	78f5d2496c6ca00e24073872a5c8c786

哈希类型

值

操作

MD5

d723624db4fb00b6997170b6c6fce11b

SHA1

8485e52fea0d91201bfbb15abd865aa8961594b8

SHA256

397af00cc0a3be9f1211d9c2b6f209994bca67fb1b21b278c289a3b3cf7d8c9c

SHA512

f393a5e3edf5f85b7c3865d9c598fa190c93b30cf972b399481bc42cda3839d9349e4694d846aa2888cebb9c3b6fc8143523da6abc1c88377238804369b92127

ImpHash

78f5d2496c6ca00e24073872a5c8c786

PE 分析

基本信息

▼

图标	哈希: 3ec46ea24d64f828e2adfb112be4f93e 模糊: 5ab8e62a8f2ca120a4bb31d14017e614 dHash: e8f0e865333392cc
映像基址	`0x140000000`
入口点	`0x14013144d`
编译时间	2013-03-25 13:08:48
校验和	0x00000000 (实际: 0x0006c683)
操作系统版本	5.2
PEiD 签名	`MS-DOS executable PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows, MZ for MS-DOS`
数字签名	No valid SignedData structure was found.
导入	14 库
导出	7 函数
资源	32 资源
节	3 节

版本信息

▼

FileVersion	2012.1.75.3 X86U
FileDescription	WinPE Commander (Modified By DSystem mdyblog.blog.163.com)
ProductName	PECMD
ProductVersion	2012.1.75.3
CompanyName	DSystem
LegalCopyright	CopyLeft (L) 2012-2012 DSystem All rights reserved.
Comments	Modified By DSystem mdyblog.blog.163.com 茂名市第二中学老九
OriginalFilename	PECMD.EXE
Translation	0x0400 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.MPRESS1`	`0x00001000`	1,245,184 bytes	375,296 bytes	8.00 (打包/加密)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`E2006290EC145DD5456471F0ADCE2F3A`
`.MPRESS2`	`0x00131000`	3,911 bytes	4,096 bytes	5.86 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`2EED2537498A46F64D12810B8E8BB70C`
`.rsrc`	`0x00132000`	53,248 bytes	52,736 bytes	7.14 (压缩)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`B01ED3D9D64135B25E73F67F748F94EC`

熵分析警报

1 检测到高熵（≥7.5）的节 - 可能存在打包/加密

1 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 32 (50,692 字节)

资源类型	数量	总大小	百分比
INDATA	2	28,001 字节	55.2%
SCRIPT	1	1 字节	0%
RT_ICON	6	14,896 字节	29.4%
RT_MENU	1	2,536 字节	5%
RT_DIALOG	10	2,198 字节	4.3%
RT_STRING	4	1,384 字节	2.7%
RT_GROUP_ICON	5	114 字节	0.2%
RT_VERSION	1	932 字节	1.8%
RT_MANIFEST	2	630 字节	1.2%

证书链分析

▼

证书 Information

产品	PECMD
描述	WinPE Commander (Modified By DSystem mdyblog.blog.163.com)
文件版本	2012.1.75.3 X86U
原始名称	PECMD.EXE
版权	CopyLeft (L) 2012-2012 DSystem All rights reserved.

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

No valid SignedData structure was found.

建议: 验证文件来源并确保它来自可信的发布者.

发表评论

文件名	Pecmd.exe
文件类型	MS-DOS executable PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows, MZ for MS-DOS
扫描器版本	1.0.228.174
数据库版本	2025-11-08 07:00:24 UTC

Pecmd.exe (WinPE Commander (Modified By DSystem mdyblog.blog.163.com)) 文件分析

技术分析

干净文件

扫描另一个文件

文件识别