════════════════════════════════════════
LlmAntivirus — 威胁详情报告
════════════════════════════════════════
导出时间: 2026-03-29 14:06:02
── 文件信息 ──
文件名: msedge_elf.dll
路径: C:\Users\hfgh\Desktop\新建文件夹 (5)\msedge_elf.dll
SHA-256: 5dfc3d773d65b742d356e5a0e387ba5a7b891112289bb2402372ec7472fd2eff
大小: 1.4 MB
类型: DLL x64
编译: 2025-10-22 21:05:34
风险: Critical
评分: 2.2
处置: Block
扫描: 2026-03-29 14:05:44
── 检测引擎评分 ──
熵分析: 0.0 API组合: 0.0 字符串: 11.0 文件异常: 0.0
── 统一AI引擎诊断 ──
NN裁决: malicious 置信度: 74% 活跃专家: 8/12
ONNX状态: 已加载=已加载 本次融合=已参与 说明=ONNX 已参与本次扫描融合
打包加壳 92%
代码注入 89%
C2远控 54%
勒索软件 88%
窃密木马 57%
脚本恶意 0%
文档利用 0%
无文件攻击 73%
数据擦除 89%
加载投放 86%
挖矿木马 92%
供应链 79%
威胁类别: 打包加壳(0.92), 代码注入(0.89), C2远控(0.54), 勒索软件(0.88), 窃密木马(0.57), 无文件攻击(0.73), 数据擦除(0.89), 加载投放(0.86), 挖矿木马(0.92), 供应链攻击(0.79)
── 可疑字符串 (2条) ──
[crypto_wallet_btc] 14ArrayTypeMismatchException
[process_kill] TerminateProcess
── LLM 深度分析 ──
裁决: 风险: critical 置信度: 77%
推理:
检测到可疑特征,疑似 Cobalt Strike。
可疑位置:
知识图谱匹配: Cobalt Strike (匹配度=32.0)
知识图谱匹配: 反分析/反调试 (匹配度=73.0)
知识图谱匹配: 进程镂空链 (匹配度=39.5)
知识图谱匹配: Virtualization/Sandbox Evasion (匹配度=39.0)
知识图谱匹配: Debugger Evasion (匹配度=37.0)
综合评估: 风险 98%, 安全 0%, 置信度 90%
[NN] malicious(conf=0.740) top=特征64,提权API,反调试,无签名PE,无调试PE 专家诊断=[打包加壳(0.92), 代码注入(0.89), C2远控(0.54), 勒索软件(0.88), 窃密木马(0.57), 无文件攻击(0.73), 数据擦除(0.89), 加载投放(0.86), 挖矿木马(0.92), 供应链攻击(0.79)] 活跃专家=8/5
[元认知] 发现紧急学习优先级: novel_threat
── 智能分析报告 ──
摘要: 远控木马: 远控木马: Cobalt Strike
行为意图: 未发现明确的因果关联模式
Kill Chain:
不确定性: 78.1% 分析时间: 108 ms
── 独创检测技术 (综合: 98.0) ──
游程:45.0 入口:45.0 代码密度:10.0 控制流:15.0 编码:100.0
资源:0.0 时间戳:0.0 导入:0.0 OEP:0.0 操作码:90.0
[字节游程]
平均游程长度异常短: 1.13 (典型加密特征)
短游程(≤3)比例过高: 99.2%
[入口点]
入口点靠近节区末尾: 96% 位置
入口点包含疑似加密循环
[代码密度]
发现 1 个异常节区
[控制流]
连续跳转较多: 6
[字符串编码]
发现大量Base64编码字符串: 303
发现超长Base64字符串: 496 字符
发现超长十六进制字符串: 200 字符
发现 292 个XOR加密模式
发现 669 个疑似混淆字符串
ASCII/Unicode比例异常: ASCII=10845, Unicode=642
[操作码]
发现多个加密操作码模式: 595
发现反调试操作码模式: 10
发现shellcode操作码模式: 57
操作码熵异常高: 6.76
════════════════════════════════════════
Generated by LlmAntivirus Unified AI Engine
|
发表于 
