Elevate exe (Elevate) Johannes Passing 文件恶意软件分析

Elevate.exe (Elevate) 文件分析

更新于 1 month ago

检查者 Malware Check

elevate.exe

哈希类型	值	操作
MD5	792b92c8ad13c46f27c7ced0810694df
SHA1	d8d449b92de20a57df722df46435ba4553ecc802
SHA256	9b1fbf0c11c520ae714af8aa9af12cfd48503eedecd7398d8992ee94d1b4dc37
SHA512	6c247254dc18ed81213a978cce2e321d6692848c64307097d2c43432a42f4f4f6d3cf22fb92610dfa8b7b16a5f1d94e9017cf64f88f2d08e79c0fe71a9121e40
ImpHash	c3afe98a750f2d4f1ed5d2ac323cb5e0

哈希类型

值

操作

MD5

792b92c8ad13c46f27c7ced0810694df

SHA1

d8d449b92de20a57df722df46435ba4553ecc802

SHA256

9b1fbf0c11c520ae714af8aa9af12cfd48503eedecd7398d8992ee94d1b4dc37

SHA512

6c247254dc18ed81213a978cce2e321d6692848c64307097d2c43432a42f4f4f6d3cf22fb92610dfa8b7b16a5f1d94e9017cf64f88f2d08e79c0fe71a9121e40

ImpHash

c3afe98a750f2d4f1ed5d2ac323cb5e0

PE 分析

基本信息

▼

映像基址	`0x00400000`
入口点	`0x00401a6c`
编译时间	2016-04-08 14:35:16
校验和	0x00000000 (实际: 0x000225bc)
操作系统版本	6.0
PEiD 签名	`PE32 executable (console) Intel 80386, for MS Windows`
PDB 路径	`C:\Dev\elevate\bin\x86\Release\Elevate.pdb`
数字签名	No valid SignedData structure was found.
导入	3 库 KERNEL32, SHELL32, ADVAPI32
导出	0 函数
资源	2 资源
节	6 节

版本信息

▼

Comments	Tool for elevating applications on the command line
CompanyName	Johannes Passing
FileDescription	Elevate
FileVersion	1, 0, 0, 2894
InternalName	Elevate
LegalCopyright	Copyright (C) 2007
OriginalFilename	Elevate.exe
ProductName	Elevate Application
ProductVersion	1, 0, 0, 2894
Translation	0x0000 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00001000`	70,360 bytes	70,656 bytes	6.63 (压缩)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`B315DFD60854D5F878A5864CF84DAF18`
`.rdata`	`0x00013000`	27,546 bytes	27,648 bytes	5.23 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`2FC0B8B284EBF33502A48D51F0DD4216`
`.data`	`0x0001a000`	4,888 bytes	2,048 bytes	2.16 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`61EFA4DF62B787A9A9E2043E2910BFFF`
`.gfids`	`0x0001c000`	180 bytes	512 bytes	1.42 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`8050B6C65F9B63B0CA68D6BC2D6713A6`
`.rsrc`	`0x0001d000`	1,400 bytes	1,536 bytes	3.88 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`5E08BFA1BEEDC62473A77CE77CE3C93D`
`.reloc`	`0x0001e000`	3,924 bytes	4,096 bytes	6.44 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`023AFC67B20434EA151D2C2864F6AC6D`

熵分析警报

1 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 2 (1,237 字节)

资源类型	数量	总大小	百分比
RT_VERSION	1	856 字节	69.2%
RT_MANIFEST	1	381 字节	30.8%

证书链分析

▼

证书 Information

产品	Elevate Application
描述	Elevate
文件版本	1, 0, 0, 2894
原始名称	Elevate.exe
内部名称	Elevate
版权	Copyright (C) 2007

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

No valid SignedData structure was found.

建议: 验证文件来源并确保它来自可信的发布者.

发表评论

文件名	elevate.exe
文件类型	PE32 executable (console) Intel 80386, for MS Windows
扫描器版本	1.0.229.174
数据库版本	2025-11-20 01:00:20 UTC

Elevate.exe (Elevate) 文件分析

技术分析

干净文件

扫描另一个文件

文件识别