多許可證折扣報價

更改區域

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 汉语 漢語 한국어
威脅數據庫 惡意軟體 米米卡茨

米米卡茨

惡意軟體GoldSparrow
翻譯為:

儘管Mimikatz可以通過破壞Windows操作系統中確定的功能來使攻擊者訪問計算機,但它沒有被歸類為高風險工具。當計算機受到Mimikatz攻擊時,其控制器可以將DLL注入隨機進程,導出安全證書,從Windows恢復純文本密碼,禁用某些登錄名和安全服務,擦除某些特權並逃避一些組策略設置。

如果您懷疑Mimikatz可能感染了您的計算機,則有一種簡單的檢查方法:使用專用的掃描儀,因為它可以檢測並刪除Mimikatz。但是,如果您沒有受到感染,並希望採取措施避免感染,則可以實施一些策略,例如檢查來自未知發件人的電子郵件的來源和可靠性,在共享文件時要謹慎,不要共享給其他人。有關即時通訊工具的大量信息,這些信息可以防止無數問題,包括被更嚴重的威脅所感染。

分析报告

一般信息

Family Name: Trojan.Mimikatz
Signature status: No Signature

Known Samples

MD5: 11ecb568da9cd1ff8d060914e85ff4bf
SHA1: 8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4
SHA256: B2F9055DFD172B1C11BA01C121D3C37F27B3E48827D4562659796F8D4DFD4DF6
文件大小: 1.19 MB, 1185280 bytes
MD5: 252525c8d6539a3aa97123afc2ddc687
SHA1: 1bf04ed6dc09a32a7861263e4fa24770681d1b4a
SHA256: 6E38131457328C9A93FF10DC0209718E4EFCA909621773301B52E83DBD1469A6
文件大小: 235.52 KB, 235520 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have resources
  • File doesn't have security information
  • File has exports table
  • File is .NET application
  • File is 32-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

Windows PE Version Information

姓名 价值
Assembly Version 1.0.0.0
File Description SharpKatz
File Version 1.0.0.0
Internal Name SharpKatz.exe
Legal Copyright Copyright © 2020
Original Filename SharpKatz.exe
Product Name SharpKatz
Product Version 1.0.0.0

File Traits

  • .NET
  • Agile.net
  • CreateThread
  • CryptUnprotectData
  • dll
  • Fody
  • HighEntropy
  • ntdll
  • VirtualQueryEx
  • WriteProcessMemory
Show More
  • x86

Block Information

Total Blocks: 257
Potentially Malicious Blocks: 189
Whitelisted Blocks: 64
Unknown Blocks: 4

Visual Map

0 0 0 0 x 0 0 0 x x x x x x x x 0 x x x x x x 0 x 0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x ? 0 x x x x x x x x x x 0 x x x x x x x 0 x x x x x 0 x x x x x x x 0 0 0 0 0 0 0 0 0 0 0 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x 0 0 x x x x x x x x x x x x x x x x x x x x x x x x x x 0 0 x x x x x x x x x x x x x x x x x x ? x x x x x x x x x ? x x x x x x x x x x x x x x x x x 0 0 x x x x x x x x x x x x x x x x x x x x x x x x x x 0 0 ? x x x x 0 0 x x x x x 0 x 0 x x 0 0 0 0 0 0 0 0 0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • MSIL.SharpKatz.B
  • MSIL.SharpKatz.E

Windows API Usage

Category API
Syscall Use
  • ntdll.dll!NtAdjustPrivilegesToken
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPortEx
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelTimer2
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
Show More
  • ntdll.dll!NtClose
  • ntdll.dll!NtCompareSigningLevels
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCachedSigningLevel
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationFile
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • ntdll.dll!NtWriteVirtualMemory
  • UNKNOWN
  • win32u.dll!NtUserGetKeyboardLayout
  • win32u.dll!NtUserGetThreadState
Process Shell Execute
  • CreateProcess
Anti Debug
  • NtQuerySystemInformation
User Data Access
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Other Suspicious
  • AdjustTokenPrivileges

Shell Command Execution

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4_0001185280.,LiQMAxHB

熱門

CVE-2025-68668 n8n 漏洞

漏洞
網路安全研究人員揭露了廣受歡迎的開源工作流程自動化平台 n8n 中一個嚴重的新漏洞。該漏洞可能允許經過身份驗證的攻擊者在底層伺服器上執行任意作業系統命令,從而導致系統完全被攻破。 此漏洞編號為 CVE-2025-68668,CVSS 評分為 9.9,屬於嚴重程度。它已被歸類為保護機制失效。 哪些人面臨風險?為什麼這很重要? 此漏洞影響 n8n 版本 1.0.0 至 2.0.0(但不包括 2.0.0)。任何擁有建立或修改工作流程權限的已認證使用者都可以利用此漏洞執行與 n8n 進程相同的系統級命令。 這個漏洞源自於 Python 程式碼節點中依賴 Pyodide 的沙箱繞過機制。攻擊者可以利用該元件繞過預期的執行環境,直接與宿主作業系統互動。 n8n 版本 2.0.0 已完全修復了該問題。 技術解析:Python 沙箱逃逸...

MgBot 後門

後門, 進階持續性威脅 (APT)
一項精心策劃的、與中國結盟的高級持續性威脅 (APT) 行動,被指與一項長期網路間諜活動有關。該活動濫用域名系統 (DNS) 基礎設施,植入了 MgBot 後門程式。該活動的目標用戶是土耳其、中國和印度的精心挑選的受害者,活動時間從 2022 年 11 月持續到 2024 年 11 月。 行動背後的對手 該活動與名為「Evasive Panda」的威脅組織有關,該組織也曾使用過「Bronze...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
45,530
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
34,536
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...