恶意代码分析之简单键盘记录器
0x01 前言
該樣本來源https://any.run/,本編文章主要記錄分析過程,思想方法,如有錯誤不足,歡迎指出。
0x02 基本信息
NAME | Lab03-03.exe |
MD5 | e2bf42217a67e46433da8b6f4507219e |
SHA1 | daf263702f11dc0430d30f9bf443e7885cf91fcb |
系統(tǒng)平臺 | Windows |
開發(fā)語言 | C++ |
表1-1 樣本信息
測試環(huán)境 | WinXP Windows 7 |
測試工具 | IDA、OD、PEID等 |
表1-2 測試環(huán)境及工具
1.1查殼
圖1-1 Exeinfo
1.2導(dǎo)入表
圖1-2 導(dǎo)入表查看器
1.3資源表
圖1-3 PE細(xì)節(jié)
圖1-4 資源表
1.4Procexp監(jiān)控
1)釋放svchost.exe
圖1-5 釋放文件
2)程序退出
主程序退出,留下svchost.exe進(jìn)程。
圖1-6 程序退出
3)進(jìn)程對比
svchost.exe是微軟Windows操作系統(tǒng)中的系統(tǒng)文件,微軟官方對它的解釋是:svchost.exe 是從DLL中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個程序?qū)ο到y(tǒng)的正常運(yùn)行是非常重要,而且是不能被結(jié)束的。許多服務(wù)通過注入到該程序中啟動,所以會有多個該文件的進(jìn)程。
圖1-7 文件對比
1.5procmon監(jiān)控
通過監(jiān)控可以發(fā)現(xiàn)由主程序生成的svchost.exe在不斷調(diào)用
WriteFile和CreateFile等函數(shù)對一個名為practicalmalwareanalysis.log的文件進(jìn)行操作:
圖1-8 文件操作
圖1-9 鍵盤記錄
由此可知,程序運(yùn)行后釋放svchost.exe,然后退出主程序,留下的svchost.exe會在同目錄生成practicalmalwareanalysis.log用于記錄鍵盤信息。
0x03 樣本分析
2.1 main函數(shù)
圖2-1 main函數(shù)
2.2 sub_40149D函數(shù)
跟進(jìn)sub_40149D函數(shù),將BufSize和Buffer當(dāng)做參數(shù)傳GetSystemDirectoryA,該函數(shù)作用于檢索系統(tǒng)目錄的路徑,系統(tǒng)目錄包含系統(tǒng)文件,例如動態(tài)鏈接庫和驅(qū)動程序。
圖2-2 sub_40149D
該GetSystemDirectoryA函數(shù)執(zhí)行完后,eax中長度為19,ebp+0xC存的是
路徑。
圖2-3 sub_40149D返回
圖2-4 sub_40149D返回
2.3 sub_40132C函數(shù)
傳遞的參數(shù)是PE文件的地址
圖2-5 sub_40132C返回
圖2-6 sub_40132C函數(shù)
圖2-7 sub_40132C函數(shù)
資源名判斷
圖2-8 資源名判斷
2.4 sub_4010EA函數(shù)
函數(shù)執(zhí)行前,創(chuàng)建svchost.exe,隨后申請內(nèi)存并將線程中獲取的寄存器的值放入內(nèi)存中。
圖2-9 創(chuàng)建svchost.exe
函數(shù)執(zhí)行后,主程序退出,釋放的PE文件未分析。
圖2-10 程序退出
0x04 總結(jié)
程序運(yùn)行后生成名為svchost.exe的程序,隨后主程序自動退出,留下的程序記錄鍵盤及文件操作信息。
聲明
以上內(nèi)容,均為文章作者原創(chuàng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負(fù)責(zé),長白山攻防實(shí)驗(yàn)室以及文章作者不承擔(dān)任何責(zé)任。
長白山攻防實(shí)驗(yàn)室擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的副本,包括版權(quán)聲明等全部內(nèi)容。聲明長白山攻防實(shí)驗(yàn)室允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
總結(jié)
以上是生活随笔為你收集整理的恶意代码分析之简单键盘记录器的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python键盘记录器_使用Python
- 下一篇: 简单的键盘按键记录(无码)/虚拟地址转物