简单的键盘记录程序分析
**样本来自《恶意样本分析》Lab12-2.exe **
Lab12-03.exe和dump出来得payload.exe是同一个
程序不是很复杂很适合用来练手,对于新手很友好🤡
程序的目的是什么
这是一个键盘记录的恶意程序。
程序是如何隐藏自身的
程序创建了一个svchost的进程来运行
恶意代码的payload放在那里
加密保存在资源文件内
程序是如何被保护的
将实际的Payload保存在资源内,通过异或加密保存
字符串是如何把被保护的
字符串在资源文件的payload内,被异或加密保存。
分析
分析母体逻辑
运行程序后,发现闪了一下就没了,查看ProceExp内的进程信息没看到运行的进程名,在winlogon外多了一个svchost进程值得被关注
看到这个进程是一个合法的进程就更加奇怪了,因为svchost进程是在winlogon下的service进程下的一个子进程,但是独立出来确实很可疑,猜测程序应该创建了一个独立的svchost进程来隐藏实际的功能,避免被定位和分析。
将程序拖入到ida内分析,来到入口处后看到程