Spoolsv exe (Spooler SubSystem App) Microsoft Corporation 文件恶意软件分析

Spoolsv.exe (Spooler SubSystem App) 文件分析

更新于 1 month ago

检查者 Malware Check

spoolsv.exe

哈希类型	值	操作
MD5	5a121306ecc0ec9f4cdd7ddf00bc8575
SHA1	dc9745cffc4a571181577e4bba890303cb9ba538
SHA256	699a1956cf55d5f588ffd1df4950073e543867366d0c0c1feee4dd6436c50f2f
SHA512	7a185c84aff8955d9700a6683ae768f52bd3f0f18d22fa8f46390aea72794b4720481619145e6cf96cc7984053d28b4b08365b1af5117024eeff264475b19364
ImpHash	9c2ce7e74236320624a84646afa51db8

哈希类型

值

操作

MD5

5a121306ecc0ec9f4cdd7ddf00bc8575

SHA1

dc9745cffc4a571181577e4bba890303cb9ba538

SHA256

699a1956cf55d5f588ffd1df4950073e543867366d0c0c1feee4dd6436c50f2f

SHA512

7a185c84aff8955d9700a6683ae768f52bd3f0f18d22fa8f46390aea72794b4720481619145e6cf96cc7984053d28b4b08365b1af5117024eeff264475b19364

ImpHash

9c2ce7e74236320624a84646afa51db8

PE 分析

基本信息

▼

图标	哈希: 0b11798f2585222f1f59cdcbac681ee3 模糊: 90c34561fc380f0e17dda65a9a6414fb dHash: 48c4c1c08ecf6c00
映像基址	`0x140000000`
入口点	`0x14000e1a0`
编译时间	2070-12-08 23:59:13
校验和	0x000e63ef (实际: 0x000e63ef)
操作系统版本	10.0
PEiD 签名	`PE32+ executable (GUI) x86-64, for MS Windows`
PDB 路径	`spoolsv.pdb`
数字签名	No valid SignedData structure was found.
导入	38 库
导出	225 函数
资源	17 资源
节	7 节

版本信息

▼

CompanyName	Microsoft Corporation
FileDescription	Spooler SubSystem App
FileVersion	10.0.22621.6133 (WinBuild.160101.0800)
InternalName	spoolsv.exe
LegalCopyright	© Microsoft Corporation. All rights reserved.
OriginalFilename	spoolsv.exe
ProductName	Microsoft® Windows® Operating System
ProductVersion	10.0.22621.6133
Translation	0x0409 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00001000`	569,513 bytes	573,440 bytes	6.32 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`4322711B399725887301612DC42FB80E`
`.rdata`	`0x0008d000`	240,158 bytes	241,664 bytes	4.06 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`0C5B9F20E1E448D6B7A99BB840F4BAAD`
`.data`	`0x000c8000`	10,840 bytes	4,096 bytes	2.61 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`C3CA300EDF89240BFA666672EDA724FC`
`.pdata`	`0x000cb000`	25,932 bytes	28,672 bytes	5.40 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`A1D61292CD9701034A39F586FC8295CA`
`.didat`	`0x000d2000`	416 bytes	4,096 bytes	0.39 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`403BB8349E9F65155B5C59ECCD77EDD8`
`.rsrc`	`0x000d3000`	58,096 bytes	61,440 bytes	6.14 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`F2B18CD5C596BB5F1E0ED1DBE5BADC08`
`.reloc`	`0x000e2000`	11,440 bytes	12,288 bytes	5.34 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`EF34CAA8A853EF21DD210DC5F79CDBF2`

资源分析

▼

资源总数: 17 (57,126 字节)

资源类型	数量	总大小	百分比
MUI	1	208 字节	0.4%
RT_ICON	13	55,112 字节	96.5%
RT_GROUP_ICON	1	188 字节	0.3%
RT_VERSION	1	920 字节	1.6%
RT_MANIFEST	1	698 字节	1.2%

证书链分析

▼

证书 Information

产品	Microsoft® Windows® Operating System
描述	Spooler SubSystem App
文件版本	10.0.22621.6133 (WinBuild.160101.0800)
原始名称	spoolsv.exe
内部名称	spoolsv.exe
版权	© Microsoft Corporation. All rights reserved.

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

No valid SignedData structure was found.

建议: 验证文件来源并确保它来自可信的发布者.

发表评论

文件名	spoolsv.exe
文件类型	PE32+ executable (GUI) x86-64, for MS Windows
扫描器版本	1.0.229.174
数据库版本	2025-11-16 07:00:22 UTC

Spoolsv.exe (Spooler SubSystem App) 文件分析

技术分析

干净文件

扫描另一个文件

文件识别