grok 驱动级键盘按键记录器分析

原创 于 2025-04-09 18:26:35 发布 · 257 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#键盘记录 #病毒分析

       grok是一个驱动模块,其主要功能就行进行键盘按键及剪切板数据的记录,也就是一个键盘记录器。实现原理是通过对shadow-ssdt的相关函数进行hook,和r3对GetUserMessage进行hook的原理差不多。

关键部分如下:

查找csrss.exe进程是否已经启动,如果没有启动,则创建线程等待其启动。如果已经启动,就进入下一步准备进行hook操作。

        前面检查csrss.exe进程是因为后面解析shadow-ssdt数据需要gui进程环境,需要附加到csrss.exe进程,然后才方便解析shadow-ssdt。之后,根据自定义的序号获取函数地址,其内部实现如下:

      系统版本相关的shadow-ssdt函数序号,根据系统版本赋值,解析过程就不展开。

保存hook后的逻辑处理函数地址,一个是消息截取,一个是剪切板截取。

  实际执行hook操作的函数,大致是inlinehook的流程。确认需要hook函数的地址,然后保存函数体前几个被覆盖的字节码,填入劫持的跳转shllcode地址。

关闭内存写保护,然后进行内存修改,安装跳转函数

                         劫持NtUserPeekMessage函数的shellcode

按键类型的消息过滤

                           剪切板的数据获取通过NtCreateLocalMemHandle。

获取一些辅助信息,使得按键数据更立体完善

  最后,这是个古早的样本了。shadow-ssdt hook 在较新的win10/win11上是无法进行的,因为pg对shadow-ssdt 数据进行了保护。

下载马斯克Grok-1模型的实战代码
herosunly的博客
03-19 9万+
本文主要介绍了下载马斯克Grok-1模型的实战代码,希望能对学习大模型的同学们有所帮助。 文章目录 1. 前言 2. 下载方式一 3. 下载方式二
grok:JPEG 2000编解码器
02-11
Grok是高性能的JPEG 2000编解码器。 库功能包括: 快速随机访问子图像解码,在可用时使用TLM和PLT标记 对ICC颜色配置文件的完全编码/解码支持 对XML , IPTC , XMP和EXIF元数据的完全编码/解码支持 对mono , ...
【DeepSeek应用】100个 DeepSeek 官方推荐的工具箱
youcans的博客
03-18 5661
DeepSeek官方工具箱(Awesome DeepSeek Integration)是 DeepSeek 官方收集和整理的各种实用工具列表的清单。 本项目由 DeepSeek 官方团队负责维护,里面提供了超过 100 种经过官方认证的插件工具,并且提供了详细的使用教程,包括集成案例,例如:应用程序、ai Agent 框架、RAG 框架、浏览器插件、VS Code 插件等。
Scott Hanselman的2006 Windows最终开发者和高用户工具列表
cunfuxiao7305的博客
09-29 2292
enjoyed this post, or this blog, please 喜欢这篇文章或博客,请make a secure tax-deductable donation to the American Diabetes Association. Please read 向美国糖尿病协会(American Diabetes Association)进行安全的免税捐赠。 请阅读my perso...
51c大模型~合集84
whaosoft~aiotの开发板商城
12-07 1639
我自己的原文哦~ https://blog.51cto.com/whaosoft/12738214阿里妈妈首提AIGB并实现大规模商业化落地,将在NeurIPS 2024正式开源Benchmark背景:在线广告场景中的自动出价广告业务是互联网公司营收的一项重要来源。仅在 2023 年,在线广告市场的规模就达到了 6268 亿美元。在线广告往往是通过流量拍卖的方式进行广告投放。广告主需要设定合理的出价从而竞得流量。近年来,自动出价(Auto-Bidding)技术已成为推动广告市场持续增长的关键因素。相比于传
基于STC89C52单片机的俄罗斯方块设计(含文档、源码与proteus仿真,以及系统详细介绍)
爱喝奶茶的喵喵的博客
07-08 1219
Tc2.0中有两种显示模式,一种是我们所熟知的字符模式,另一种是图形模式。在字符模式下只能显式字符,如ASCII字符。一般是显示25行,每行80个字符。程序缺省的是字符模式。在字符模式下不能显式图形和进行绘图操作。要想进行图形显示和绘图操作,必须切换到图形模式下。Tc2.0中用initgraph()函数可以切换到图形模式,用closegraph()可以从图形模式切换回字符模式。initgraph()和closegraph()都是图形。
一文总结马斯克最新八小时访谈:Neuralink、xAI 及人类未来​
Aweii__的博客
08-07 1372
如果我有Neuralink,我能一分钟看完六千字”上周六,知名科技博客Lex Fridman邀请到了埃隆·马斯克(Elon Musk )以及Neuralink团队的其他成员进行了深入讨论,时间达到了惊人的八个半个小时,谈话内容涉及 Neuralink扩展人类思维的能力、对闻名的思考、火星殖民为人类创造一个后备、以及人工智能与机器人的结合等话题。对话里马斯克和Lex Fridman畅谈了他对未来科技和AI应用的设想,技术性超强,内容覆盖面超广,探讨内容从深度到高度都是难得一见。
一文总结马斯克最新八小时访谈:Neuralink、xAI及人类未来​
人工智能学家
08-06 360
来源:大数据文摘授权转载自AI科技评论整理:刘洁编辑:岑峰上周六,知名科技博客Lex Fridman邀请到了埃隆·马斯克(Elon Musk )以及Neuralink团队的其他成员进行了深入讨论,时间达到了惊人的八个半个小时,谈话内容涉及 Neuralink扩展人类思维的能力、对闻名的思考、火星殖民为人类创造一个后备、以及人工智能与机器人的结合等话题。对话里马斯克和Lex Fridman畅谈了他对...
案例
xiaodoudou的专栏
11-25 2129
一 贪吃蛇游戏#define N 200#include #include #include #define LEFT 0x4b00#define RIGHT 0x4d00#define DOWN 0x5000#define UP 0x4800#define ESC 0x011bint i,key;int score=0;/*得分*/int game
vsftpd-grok-patterns:用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式
07-06
用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式 用法 安装logstash 将50-filter-vsftpd.conf添加到/etc/logstash/conf.d 将vsftpd.grok添加到/etc/logstash/patterns.d 重启logstash 包含的 Logstash ...
grok:基于GitJavaScript程序包管理器
02-03
Grok是一款基于Git的JavaScript程序包管理器,它旨在为JavaScript开发者提供更加高效、灵活的包管理和开发体验。本文将深入探讨Grok的工作原理、功能特性以及如何利用它来优化你的JavaScript项目。 首先,理解Grokk...
基于FPGA的OFDM调制解调Verilog实现及其应用:涵盖IFFTFFT、Testbench及操作录像
07-29
基于FPGA的OFDM调制解调技术的Verilog实现,重点讲解了IFFT和FFT的实现方法,以及Testbench的设计。OFDM作为一种多载波调制技术,能够有效抵抗多径衰落和频率选择性衰落,广泛应用于无线通信和数字电视领域。文中还提供了详细的程序操作录像,帮助用户更好地理解和操作FPGA工程。具体实现过程中,使用Vivado 2019.2及以上版本作为开发工具,确保工程路径为英文路径,并提供完整的操作指南。 适合人群:具备一定FPGA开发经验的研发人员和技术爱好者。 使用场景及目标:适用于希望深入了解OFDM调制解调技术并掌握其实现细节的研究人员和工程师。通过学习本文,读者可以掌握基于FPGA的OFDM调制解调系统的开发流程,包括IFFT和FFT的实现、Testbench设计及实际操作。 其他说明:本文不仅提供了理论知识,还附带了实际的操作录像,使读者能够在实践中加深理解。建议读者跟随录像逐步操作,以便更好地掌握相关技能。
基于BP神经网络与PID控制的Simulink仿真及无刷直流电机控制研究
07-29
基于BP神经网络与PID控制相结合的Simulink仿真方法及其在无刷直流电机控制中的应用。文中首先阐述了BP神经网络的强大非线性映射能力和PID控制的经典反馈机制,解释了两者的结合如何优化PID控制器参数,从而提高控制系统的性能。随后,文章展示了如何使用MATLAB的S函数实现BP神经网络的前向传播过程,并将其集成到Simulink环境中构建完整的控制系统仿真模型。通过具体案例——无刷直流电机控制,演示了系统的设计思路、搭建步骤及其实验结果。实验结果显示,相比传统的PID控制,BP神经网络PID控制在应对复杂工况和参数不确定性方面表现出更快的响应速度和更稳定的性能。 适合人群:自动化专业学生、控制工程领域的研究人员和技术爱好者。 使用场景及目标:适用于希望深入了解BP神经网络与PID控制结合的应用场景,特别是那些需要优化控制系统性能的研究项目。目标是帮助读者掌握Simulink仿真平台的操作技巧,理解BP神经网络的工作原理及其在实际控制任务中的应用。 其他说明:附带详细的说明文档和本科论文,便于初学者快速上手并理解整个系统的原理和实现细节。
基于plc的恒压供水控制系统.doc
最新发布
07-30
基于plc的恒压供水控制系统.doc
西门子Smart PLC 485通讯轮询库程序详解及其应用 PLC 终极版
07-29
内容概要:本文介绍了西门子Smart PLC 485通讯轮询库程序的功能和使用方法。首先简述了轮询库程序的作用,即实现对多个设备的轮询操作,从而集中控制和监测设备状态。接下来详细讲述了代码编写步骤,包括初始化485通讯参数以及轮询设备列表和逻辑处理的具体流程。此外,还深入解析了485通讯中引脚的意义,并强调了代码优化与调试的重要性。最后,提供了一份详细的PDF讲解资料,涵盖代码示例、参数设置、引脚意义等方面的内容,便于使用者快速上手。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是那些对西门子Smart PLC有一定了解的人群。 使用场景及目标:适用于需要利用西门子Smart PLC进行多设备通信和监控的项目。主要目标是让使用者掌握485通讯轮询库程序的编写技巧,提升系统集成能力和故障排查能力。 其他说明:随附的PDF资料为用户提供了一个全面的学习工具,有助于加深对485通讯机制的理解。
langchain4j-community-dashscope-1.0.0-beta2.jar中文文档.zip
07-29
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
langchain4j-spring-boot-starter-0.16.0.jar中文文档.zip
07-29
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
皮克斯电影公司-从《玩具总动员》( 1995年)到《Inside Out 2 》( 2024年)所有皮克斯电影的数据.zip
07-29
皮克斯电影公司-从《玩具总动员》( 1995年)到《Inside Out 2 》( 2024年)所有皮克斯电影的数据.zip
基于绿证-阶梯式碳交易交互的源荷互补调度优化模型及其应用
07-29
内容概要:本文介绍了基于绿证-阶梯式碳交易交互的源荷互补调度优化模型,旨在解决多能精合的区域综合能源系统的低经济运行问题。该模型通过引入绿证-阶梯式碳交易交互机制,提高了可再生能源的消纳水平,降低了系统碳排放量。此外,在负荷侧引入了考虑用户满意度的激励型需求响应和调峰收益策略,实现了热电负荷的‘峰填谷’,最终以日运行成本最小化为目标。文中详细描述了模型的具体实现步骤,并附有完整的代码及注释,涵盖了四个典型场景的复现。 适合人群:从事能源管理和优化调度的研究人员和技术人员,特别是关注低碳经济和可再生能源利用的专业人士。 使用场景及目标:适用于需要优化能源调度、减少碳排放、提高经济效益的企业和机构。目标是通过引入创新的调度机制,提升能源系统的效率和可持续性。 其他说明:该模型不仅考虑了经济性和低碳性,还充分考虑了用户的需求和反馈,为未来的能源管理系统提供了新的思路和发展方向。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值