Rundll32 exe (Windows host process (Rundll32)) Microsoft Corporation 文件恶意软件分析

Rundll32.exe (Windows host process (Rundll32)) 文件分析

更新于 1 month ago

检查者 Malaware Check

rundll32.exe

哈希类型	值	操作
MD5	d28778d07c8f7ca59b7569e4eda54512
SHA1	34661f530c6bc94aa1f307df30f75733e5d87382
SHA256	770832da77324f205306b4d89c02ba2b98dce87207a82d4bf9b1d076608862d6
SHA512	4a37921b19bdf38e739c5dbd14298f08c55dcce441315c4c6624421177c39b89cbe8af40f0cb9f91def912a7e6a0e3a3c000ff9d5cac438782a4e767b7f4cc8b
ImpHash	f207a867d6098266ee63a3ca677eb0ff

哈希类型

值

操作

MD5

d28778d07c8f7ca59b7569e4eda54512

SHA1

34661f530c6bc94aa1f307df30f75733e5d87382

SHA256

770832da77324f205306b4d89c02ba2b98dce87207a82d4bf9b1d076608862d6

SHA512

4a37921b19bdf38e739c5dbd14298f08c55dcce441315c4c6624421177c39b89cbe8af40f0cb9f91def912a7e6a0e3a3c000ff9d5cac438782a4e767b7f4cc8b

ImpHash

f207a867d6098266ee63a3ca677eb0ff

PE 分析

基本信息

▼

图标	哈希: a4fa0e5d3cd5cf96252a7b54ef1d2645 模糊: 8e44d3fab7c48012e90ed1686f656033 dHash: fcf4dcdcdcdcdcd4
映像基址	`0x140000000`
入口点	`0x14000a0d0`
编译时间	2105-03-17 21:25:00
校验和	0x0001fde4 (实际: 0x0001fde4)
操作系统版本	10.0
PEiD 签名	`PE32+ executable (GUI) x86-64, for MS Windows`
PDB 路径	`rundll32.pdb`
数字签名	No valid SignedData structure was found.
导入	35 库
导出	0 函数
资源	13 资源
节	7 节

版本信息

▼

CompanyName	Microsoft Corporation
FileDescription	Windows host process (Rundll32)
FileVersion	10.0.19041.4648 (WinBuild.160101.0800)
InternalName	rundll
LegalCopyright	© Microsoft Corporation. All rights reserved.
OriginalFilename	RUNDLL32.EXE
ProductName	Microsoft® Windows® Operating System
ProductVersion	10.0.19041.4648
Translation	0x0409 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00001000`	41,540 bytes	41,984 bytes	6.07 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`30D36524BFFF1C78984E0AF224BB27E7`
`.rdata`	`0x0000c000`	15,454 bytes	15,872 bytes	4.64 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`B05EB63A24DBCCD5DC7F90EB2394A44D`
`.data`	`0x00010000`	2,696 bytes	512 bytes	0.51 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`074B15538404927E3DA6BCC6E862E893`
`.pdata`	`0x00011000`	2,076 bytes	2,560 bytes	3.80 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`E44C06B5E1C7FEE9340432B04D26B688`
`.didat`	`0x00012000`	264 bytes	512 bytes	1.39 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`13AF5C906CC0FF379388839F78765B5C`
`.rsrc`	`0x00013000`	26,480 bytes	26,624 bytes	5.71 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`D5E299D8DBD2EBC20932AADA05396163`
`.reloc`	`0x0001a000`	280 bytes	512 bytes	3.14 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`0CDB8E11785D4123A68E261929D391E0`

资源分析

▼

资源总数: 13 (25,699 字节)

资源类型	数量	总大小	百分比
MUI	1	208 字节	0.8%
RT_ICON	8	23,424 字节	91.1%
RT_GROUP_ICON	1	118 字节	0.5%
RT_VERSION	1	936 字节	3.6%
RT_MANIFEST	2	1,013 字节	3.9%

证书链分析

▼

证书 Information

产品	Microsoft® Windows® Operating System
描述	Windows host process (Rundll32)
文件版本	10.0.19041.4648 (WinBuild.160101.0800)
原始名称	RUNDLL32.EXE
内部名称	rundll
版权	© Microsoft Corporation. All rights reserved.

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

No valid SignedData structure was found.

建议: 验证文件来源并确保它来自可信的发布者.

发表评论

文件名	rundll32.exe
文件类型	PE32+ executable (GUI) x86-64, for MS Windows
扫描器版本	1.0.213.174
数据库版本	2025-04-11 17:00:18 UTC

Rundll32.exe (Windows host process (Rundll32)) 文件分析

技术分析

干净文件

扫描另一个文件

文件识别