Lab12-02-03-恶意样本分析-简单的键盘记录程序分析

最新推荐文章于 2022-03-15 14:13:01 发布

原创

最新推荐文章于 2022-03-15 14:13:01 发布 · 485 阅读

0 ·

CC 4.0 BY-SA版权

本文详细分析了一个简单的键盘记录程序，该程序通过创建svchost进程隐藏自身，加密的payload存储在资源文件中，使用异或加密保护字符串。程序首先获取svchost路径，读取加密payload，解密后在新进程中执行，实现键盘记录功能。通过Hook技术监控键盘事件，记录信息保存于特定路径下。

简单的键盘记录程序分析

**样本来自《恶意样本分析》Lab12-2.exe **
Lab12-03.exe和dump出来得payload.exe是同一个

程序不是很复杂很适合用来练手，对于新手很友好🤡

程序的目的是什么

这是一个键盘记录的恶意程序。

程序是如何隐藏自身的

程序创建了一个svchost的进程来运行

恶意代码的payload放在那里

加密保存在资源文件内

程序是如何被保护的

将实际的Payload保存在资源内，通过异或加密保存

字符串是如何把被保护的

字符串在资源文件的payload内，被异或加密保存。

分析

分析母体逻辑

运行程序后，发现闪了一下就没了，查看ProceExp内的进程信息没看到运行的进程名，在winlogon外多了一个svchost进程值得被关注

在这里插入图片描述

看到这个进程是一个合法的进程就更加奇怪了，因为svchost进程是在winlogon下的service进程下的一个子进程，但是独立出来确实很可疑，猜测程序应该创建了一个独立的svchost进程来隐藏实际的功能，避免被定位和分析。

将程序拖入到ida内分析，来到入口处后看到程序先获取了当前运行程序的句柄，接着获取了svchost的在系统下的路径

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

LoopherBear

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

恶意代码分析之简单键盘记录器

include_voidmain的博客

03-21

567

0x01 前言该样本来源https://any.run/，本编文章主要记录分析过程，思想方法，如有错误不足，欢迎指出。 0x02 基本信息 NAMELab03-03.exeMD5e2bf42217a67e46433da8b6f4507219eSHA1daf263702f11dc0430d30f9bf443e7885cf91fcb系统平台Windows开发语言C++ 表1-1 样本信息测试环境WinXP Windows 7测试工具IDA、OD、PEID等表1-2 测试环境及工具 1.1查壳图1-1

Lab12-01-恶意样本分析-简单进程注入分析

LoopherBear的博客

05-21

632

简单进程注入分析样本来自《恶意样本分析》Lab12-1.exe Lab12-01.dll 运行程序后，发生了什么？观察程序运行信息，会弹出一个对话框提示Press Ok to reboot，点击确认后会再次弹出，可以肯定程序是应该有一个循环，每次弹出对话快之后就等待，如果对话框没被关闭，会重复弹出，如果关闭了，则会在定时器触发后再次弹框。哪个进程被注入了这个在运行时没有准确定位到，对比了可以的程序并没有发现，需要实际逆向分析程序。分析后可知，explore.exe被注入加载dll 如何关闭弹窗需

参与评论您还未登录，请先登录后发表或查看评论

一个反键盘记录工具的分析

08-22

1562

除了nProtect，国外还有一些反键盘记录工具，比如下面这个还不错：http://www.anti-keyloggers.com/是个通用型的，与QQ的nProtect专门用于保护密码不同。而且反破解做的不错（对我这种破解外行而言，呵呵）。它的原理我简单的说一下，就是替换键盘类驱动的KeyboardClassServiceCallback，然后把得到的ScanCode传递到用户态

恶意代码分析实战—实验12-2

qq_43481350的博客

09-07

730

实验环境实验环境：windows xp 实验工具：IDAPro WinHex Resource Hacker 实验过程首先采用IDA加载实验文件Lab12-02.exe文件，查看导入函数窗口（imports）：可以看到导入函数中包含有创建进程等函数还会利用setThreadContext修改进程的上下文；还存在对内存读写操作的API函数；对资源也会有操作。点击createProcess函数进入被调用的界面：圈出来的参数为4，代表此进程被创建但是不被执行，除非主进程调用这个函数的时候才会被启动。

一个恶意样本的分析

信息安全

08-09

4669

1.1样本信息1．样本概况病毒名称：bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...

恶意代码分析实战——Lab03-03.exe基础动态分析篇

妙蛙种子吃了都会妙妙秒的妙脆角的博客

11-05

2266

恶意代码分析实战——Lab03-03.exe基础动态分析篇一、实验目的综合运用多种工具，通过基础动态分析，了解Lab03-03.exe实现的基本功能二、实验环境 winxp虚拟机 kali虚拟机三、实验过程 1、MD5值 2、peid分析 ...

新手的恶意代码分析记录（一）_Lab01-01

qq_42689353的博客

08-18

1766

一、基本信息样本基本信息：样本名称：Lab01-01.dll 样本大小：163840 bytes MD5：290934C61DE9176AD682FFDD65F0A669 样本名称：Lab01-01.exe 样本大小：16384 bytes MD5：5A016FACBCB77E2009A01EA5C67B39AF209C3FCB 使用cff_Explorer 查看样本基本信息使用查壳工具die查看，可以看出来，两个程序并没有加壳，并且是使用VC6.0编写的。查看 Lab01-01.dll 程

恶意代码分析实战——Lab03-01.exe基础动态分析篇

妙蛙种子吃了都会妙妙秒的妙脆角的博客

11-02

4826

恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的综合运用各种分析工具，分析Lab03-01.exe的基本信息，并推测其功能。 2.实验环境（硬件、软件） VMware虚拟机（winxp）：硬件：处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件：32位操作系统 kali虚拟机 3.实验步骤（详细描述操作过程，关键分析需要附截图）（1）静态分析 ①MD5值 ②peid分析可以看到Lab03-01.exe已被加壳处理 ③

病毒分析教程第七话--进程注入分析（中）

安全杂货铺

02-18

713

进程注入分析（中）教程参考自《恶意代码分析实战》程序来自：http://www.nostarch.com/malware.htm Lab 12-2 & Lab 12-3 本节实验使用样本Lab12-02.exe。这个程序的目的是什么？从资源节加载恶意payload，然后注入到svchost.exe进程中运行。启动器恶意代码是如何隐藏执行的？使用PE注入的方式将恶意PE注入到...

恶意代码分析实战 --- 第十二章隐藏的恶意代码启动

abelxu

06-09

873

一、常用的隐藏技术启动器进程注入进程替换 Hook注入 Detours APC注入二、Lab12-1 1.行为分析执行之后的效果是每隔一段时间会弹窗。查看process momitor。可以发现psapi.dll被createFileMapping进内存，可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化：通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam

恶意代码分析实战 Lab12

baidu_41108490的博客

05-30

1689

1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...

恶意代码分析实战12-03

Yale的博客

09-20

518

本次实验我们将会分析lab12-03.exe文件。先来看看要求解答的问题 Q1.这个恶意负载的目的是什么? Q2.恶意负载是如何注入自身的? Q3.这个程序还创建了哪些其他文件? 首先使用IDA载入文件在imports窗口中看到了SetWindowsHookExA，这个函数可以用于应用程序挂钩或者监控windows内部事件切换到view-a 在040105b处调用了SetWindowsHookExA 第一个参数idHook的值是0Dh，通过MSDN可知对应的是WH_KEYBOARD_LL，可知安装这

python 监听键盘输入并收集数据进行分析

Demonslzh的博客

03-15

1万+

文章目录1、键盘监听库pynput2、进行键盘输入的数据保存3、从键盘监听中我们能看出什么3.1 疯狂的ctrl=读代码ing3.2 看起来有意义的字符串并以Key.enter结尾≈输入某个app密码ing3.3 拼音（自行识别）3.4 代码关键字判断用户在写什么语言的代码4、完整代码获取 1、键盘监听库pynput 使用pynput可以很方便地实现对键盘输入的监听，我们先看一个最简单的实现键盘监听的demo from pynput import keyboard def on_press(key):

lab02---综合RTL设计__Synthesizing a RTL Design

qq_42017043的博客

08-05

479

七月时候去了南京参加xilinx暑期学校，认识了很多可爱的伙伴，真诚不掺假的交流令我产生一种想法：技术的提升除了实践也要积极输出。接下来会不定时按照暑期学校的‘课程与实验安排’更新尽量详细的实验流程，具体操作在每次实验的.md文档中，不再赘述。目标 objectives 使用提供的XDC文件约束电路时序优化设计使用提供的基本时序约束综合设计分析综合后的设计的输出改变综合的设置并且...

工具开发｜键盘记录工具原理及代码实现

weixin_42282189的博客

11-26

1603

作者： Beard林免责声明：本文仅供学习研究，严禁从事非法活动，任何后果由使用者本人负责。 0x01 对于键盘记录简述 键盘记录一般用在后渗透中，以此方法寻求扩大战果。有些c2工具集成了这个功能，github上也有一些独立的工具，因为开发的语言不一样，大小也不一样，实用性也各不相同。 0x02 拆分键盘记录 键盘记录工具其实就是设置了一个钩子来获取按键的输入，流程如下： 1.工具创建进程 2.调用windows API 3.利用API钩子获取按键输入 4.将获取数据保存用python实现以上要.

GitLab 12 跨版本 13 升级

折腾技术

08-04

6551

本文使用「署名 4.0 国际 (CC BY 4.0)」许可协议，欢迎转载、或重新修改使用，但需要注明来源。署名 4.0 国际 (CC BY 4.0) 本文作者: 苏洋创建时间: 2020年08月04日统计字数: 4450字阅读时间: 9分钟阅读本文链接: https://soulteary.com/2020/08/04/gitlab-version-12-cross-version-13-upgrade.html GitLab 12 跨版本 13 升级本以为《GitLab 简明维护指南（v2

恶意代码分析实战11-3

Yale的博客

05-28

1008

本次实验我们将会分析lab11-03.exe文件。先来看看要求解答的问题 Q1.使用基础的静态分析过程，你可以发现什么有趣的线索? Q2. 当运行这个恶意代码时，发生了什么? Q3. Lab11-03.exe 如何安装Lab11-03.dll使其长期驻留? Q4.这个恶意代码感染Windows系统的哪个文件? Q5. Lab11-03.dll 做了什么? 先来看lab11-03.exe，在字符串窗口看到inet_epar32.dll和net start cisvc。 Net start命令用于在wind

恶意代码分析实战 Lab 3-3 习题笔记

isinstance的博客

09-05

3295

问题1.当你使用Process Explorer工具进行监视的时候，你注意到了什么？解答：这种没有明确目的的题目，我们先开始运行很多次之后会发现，Lab03-03.exe会启动svchost.exe，每点一次启动一个 svchost.exe然后仔细观察（把系统cpu和内存调小点，这样运行起来就会慢一点）会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出

深入理解黑客攻击-键盘记录器

linxizi0622的博客

11-09

3429

老师是这样讲的在计算机早期，计算机是没有鼠标的，键盘才是标配，可以没有鼠标，但是不能没有键盘所以，当键盘插进电脑上的时候，电脑应该是没有硬件提示的所以，一般在网吧里面，我们在插键盘的usb插孔里面，插入一个键盘记录器这样，当使用键盘打字的时候，我们的键盘记录器就可以将输入的字符串记录下来并将这些字符串上传至服务器，通过对这些字符串进行分析，就能