VirSCAN VirSCAN

1, Sie können jede Datei UPLOADEN, aber beachten Sie das 20 MB Limit pro Datei.
2, VirSCAN unterstützt ZIP und RAR mit weniger als 20 Dateien im Archiv
3, VirSCAN unterstützt die Standard Passwörter 'infected' und 'virus' bei Archiven.

Sprache
Server Auslastung
Server Load

Dateiinformationen
Sicherheitsbewertung:50
Verhaltensliste
Grundlegende Informationen
MD5:f0b9dca0cc2aeeb848b217eeaa40260f
Dateityp:zip
Produktionsfirma:
Version:
Shell- oder Compiler-Informationen:
Subdateiinformationen:Procmon.exe / b3d97241dd4c25deabcdd42ccb39fb89 / EXE
Schlüsselverhalten
Verhaltensbeschreibung:常规加载驱动
Details:\??\C:\Windows\system32\Drivers\PROCMON24.SYS
Verhaltensbeschreibung:查找PE资源信息
Details:(FindResourceExExW) hModule = 0x00000000, ResName: RCDRIVERNT, ResType: BINRES
Verhaltensbeschreibung:直接调用系统关键API
Details:Index = 0x0000009B, Name: NtLoadDriver, Instruction Address = 0x000CF17F
Verhaltensbeschreibung:直接获取CPU时钟
Details:EAX = 0xeed00125, EDX = 0x0000039c
EAX = 0x18fcd4bf, EDX = 0x0000039d
Dateiverhalten
Verhaltensbeschreibung:创建文件
Details:C:\Windows\System32\drivers\PROCMON24.SYS
Verhaltensbeschreibung:修改文件内容
Details:C:\Windows\System32\drivers\PROCMON24.SYS ---> Offset = 0
C:\Windows\System32\drivers\PROCMON24.SYS ---> Offset = 69632
Verhaltensbeschreibung:创建可执行文件
Details:C:\Windows\System32\drivers\PROCMON24.SYS
Verhaltensbeschreibung:删除文件
Details:C:\Windows\System32\drivers\PROCMON24.SYS
Registrierungsverhalten
Verhaltensbeschreibung:修改注册表
Details:\REGISTRY\USER\S-*\Software\Sysinternals\Process Monitor\EulaAccepted
\REGISTRY\USER\S-*_CLASSES\.PML\
\REGISTRY\USER\S-*_CLASSES\ProcMon.Logfile.1\
\REGISTRY\USER\S-*_CLASSES\ProcMon.Logfile.1\shell\open\command\
\REGISTRY\USER\S-*_CLASSES\ProcMon.Logfile.1\DefaultIcon\
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\GlobalAssocChangedCounter
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Type
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\ErrorControl
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\SupportedFeatures
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Instances\DefaultInstance
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Instances\Process Monitor 24 Instance\Altitude
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Instances\Process Monitor 24 Instance\Flags
\REGISTRY\USER\S-*\Software\Sysinternals\Process Monitor\MainWindow
\REGISTRY\USER\S-*\Software\Sysinternals\Process Monitor\Columns
\REGISTRY\USER\S-*\Software\Sysinternals\Process Monitor\ColumnCount
Verhaltensbeschreibung:删除注册表键值
Details:\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Type
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\ErrorControl
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Start
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\ImagePath
Verhaltensbeschreibung:修改注册表_服务项
Details:\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\Start
\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PROCMON24\ImagePath
Anderes Verhalten
Verhaltensbeschreibung:直接调用系统关键API
Details:Index = 0x0000009B, Name: NtLoadDriver, Instruction Address = 0x000CF17F
Verhaltensbeschreibung:检测自身是否被调试
Details:IsDebuggerPresent
Verhaltensbeschreibung:隐藏指定窗口
Details:[Window,Class] = [Process Monitor - Sysinternals: www.sysinternals.com,PROCMON_WINDOW_CLASS]
Verhaltensbeschreibung:常规加载驱动
Details:\??\C:\Windows\system32\Drivers\PROCMON24.SYS
Verhaltensbeschreibung:打开互斥体
Details:Local\MSCTF.Asm.MutexDefault1
Verhaltensbeschreibung:查找指定窗口
Details:NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Verhaltensbeschreibung:打开事件
Details:HookSwitchHookEnabledEvent
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
Verhaltensbeschreibung:调整进程token权限
Details:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
Verhaltensbeschreibung:窗口信息
Details:Pid = 2428, Hwnd=0x100162, Text = You can also use the /accepteula command-line switch to accept the EULA., ClassName = Static.
Pid = 2428, Hwnd=0x210158, Text = &Agree, ClassName = Button.
Pid = 2428, Hwnd=0x100228, Text = &Decline, ClassName = Button.
Pid = 2428, Hwnd=0x100284, Text = &Print, ClassName = Button.
Pid = 2428, Hwnd=0xe02a6, Text = SYSINTERNALS SOFTWARE LICENSE TERMS These license terms are an agreement between Sysinternals (a wholly owned subsidiary of Micro, ClassName = RICHEDIT.
Pid = 2428, Hwnd=0x1301a0, Text = Process Monitor 许可协议, ClassName = #32770.
Pid = 2428, Hwnd=0x90216, Text = 确定, ClassName = Button.
Pid = 2428, Hwnd=0xf02dc, Text = 无法加载 Process Monitor 设备驱动程序, ClassName = Static.
Pid = 2428, Hwnd=0xb021c, Text = Process Monitor, ClassName = #32770.
Pid = 2428, Hwnd=0xf02a6, Text = Process Monitor - Sysinternals: www.sysinternals.com, ClassName = PROCMON_WINDOW_CLASS.
Pid = 2428, Hwnd=0x110228, Text = 无事件 (已禁用捕获), ClassName = msctls_statusbar32.
Verhaltensbeschreibung:查找PE资源信息
Details:(FindResourceExExW) hModule = 0x00000000, ResName: RCDRIVERNT, ResType: BINRES
Verhaltensbeschreibung:可执行文件签名信息
Details:C:\Windows\System32\drivers\PROCMON24.SYS(签名验证: 通过)
Verhaltensbeschreibung:可执行文件MD5
Details:C:\Windows\System32\drivers\PROCMON24.SYS ---> 8233f556b2aa8e6fd541254d56c2b5c8
Verhaltensbeschreibung:直接获取CPU时钟
Details:EAX = 0xeed00125, EDX = 0x0000039c
EAX = 0x18fcd4bf, EDX = 0x0000039d
Screenshot ausführen
VirSCAN

Über VirSCAN | Datenschutz | Kontakt | Freundliche Verbindung | VirSCAN unterstützen
Übersetzt von Chris (Austria)
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号