Lab12-02-03-恶意样本分析-简单的键盘记录程序分析

最新推荐文章于 2022-07-11 07:43:02 发布
最新推荐文章于 2022-07-11 07:43:02 发布
阅读量393 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoopherBear/article/details/106265174
版权
本文详细分析了一个简单的键盘记录程序,该程序通过创建svchost进程隐藏自身,加密的payload存储在资源文件中,使用异或加密保护字符串。程序首先获取svchost路径,读取加密payload,解密后在新进程中执行,实现键盘记录功能。通过Hook技术监控键盘事件,记录信息保存于特定路径下。
摘要由CSDN通过智能技术生成

简单的键盘记录程序分析

**样本来自《恶意样本分析》Lab12-2.exe **
Lab12-03.exe和dump出来得payload.exe是同一个

程序不是很复杂很适合用来练手,对于新手很友好🤡

程序的目的是什么

这是一个键盘记录的恶意程序。

程序是如何隐藏自身的

程序创建了一个svchost的进程来运行

恶意代码的payload放在那里

加密保存在资源文件内

程序是如何被保护的

将实际的Payload保存在资源内,通过异或加密保存

字符串是如何把被保护的

字符串在资源文件的payload内,被异或加密保存。

分析

分析母体逻辑

运行程序后,发现闪了一下就没了,查看ProceExp内的进程信息没看到运行的进程名,在winlogon外多了一个svchost进程值得被关注

在这里插入图片描述

看到这个进程是一个合法的进程就更加奇怪了,因为svchost进程是在winlogon下的service进程下的一个子进程,但是独立出来确实很可疑,猜测程序应该创建了一个独立的svchost进程来隐藏实际的功能,避免被定位和分析。

将程序拖入到ida内分析,来到入口处后看到程

最低0.47元/天 解锁文章
LoopherBear
关注
专栏目录
恶意代码分析简单键盘记录
include_voidmain的博客
03-21 496
0x01 前言 该样本来源https://any.run/,本编文章主要记录分析过程,思想方法,如有错误不足,欢迎指出。 0x02 基本信息 NAMELab03-03.exeMD5e2bf42217a67e46433da8b6f4507219eSHA1daf263702f11dc0430d30f9bf443e7885cf91fcb系统平台Windows开发语言C++ 表1-1 样本信息 测试环境WinXP Windows 7测试工具IDA、OD、PEID等 表1-2 测试环境及工具 1.1查壳 图1-1
Lab12-01-恶意样本分析-简单进程注入分析
LoopherBear的博客
05-21 521
简单进程注入分析 样本来自《恶意样本分析Lab12-1.exe Lab12-01.dll 运行程序后,发生了什么? 观察程序运行信息,会弹出一个对话框提示Press Ok to reboot,点击确认后会再次弹出,可以肯定程序是应该有一个循环,每次弹出对话快之后就等待,如果对话框没被关闭,会重复弹出,如果关闭了,则会在定时器触发后再次弹框。 哪个进程被注入了 这个在运行时没有准确定位到,对比了可以的程序并没有发现,需要实际逆向分析程序分析后可知,explore.exe被注入加载dll 如何关闭弹窗 需
一个反键盘记录工具的分析
08-22 1480
除了nProtect,国外还有一些反键盘记录工具,比如下面这个还不错:http://www.anti-keyloggers.com/是个通用型的,与QQ的nProtect专门用于保护密码不同。而且反破解做的不错(对我这种破解外行而言,呵呵)。它的原理我简单的说一下,就是替换键盘类驱动的KeyboardClassServiceCallback,然后把得到的ScanCode传递到用户态
恶意代码分析实战—实验12-2
qq_43481350的博客
09-07 576
实验环境 实验环境:windows xp 实验工具:IDAPro WinHex Resource Hacker 实验过程 首先采用IDA加载实验文件Lab12-02.exe文件,查看导入函数窗口(imports): 可以看到导入函数中包含有创建进程等函数还会利用setThreadContext修改进程的上下文;还存在对内存读写操作的API函数;对资源也会有操作。 点击createProcess函数进入被调用的界面: 圈出来的参数为4,代表此进程被创建但是不被执行,除非主进程调用这个函数的时候才会被启动。
一个恶意样本分析
信息安全
08-09 4302
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 231
恶意代码分实战详细分析
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1322
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1124
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
病毒分析教程第七话--进程注入分析(中)
安全杂货铺
02-18 582
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-2 & Lab 12-3 本节实验使用样本Lab12-02.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到...
恶意代码分析实战 --- 第十二章 隐藏的恶意代码启动
abelxu
06-09 662
一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1600
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战12-03
Yale的博客
09-20 422
本次实验我们将会分析lab12-03.exe文件。先来看看要求解答的问题 Q1.这个恶意负载的目的是什么? Q2.恶意负载是如何注入自身的? Q3.这个程序还创建了哪些其他文件? 首先使用IDA载入文件 在imports窗口中看到了SetWindowsHookExA,这个函数可以用于应用程序挂钩或者监控windows内部事件 切换到view-a 在040105b处调用了SetWindowsHookExA 第一个参数idHook的值是0Dh,通过MSDN可知对应的是WH_KEYBOARD_LL,可知安装这
python 监听键盘输入并收集数据进行分析
热门推荐
Demonslzh的博客
03-15 1万+
文章目录1、键盘监听库pynput2、进行键盘输入的数据保存3、从键盘监听中我们能看出什么3.1 疯狂的ctrl=读代码ing3.2 看起来有意义的字符串并以Key.enter结尾≈输入某个app密码ing3.3 拼音(自行识别)3.4 代码关键字判断用户在写什么语言的代码4、完整代码获取 1、键盘监听库pynput 使用pynput可以很方便地实现对键盘输入的监听,我们先看一个最简单的实现键盘监听的demo from pynput import keyboard def on_press(key):
lab02---综合RTL设计__Synthesizing a RTL Design
qq_42017043的博客
08-05 417
七月时候去了南京参加xilinx暑期学校,认识了很多可爱的伙伴,真诚不掺假的交流令我产生一种想法:技术的提升除了实践也要积极输出。 接下来会不定时按照暑期学校的‘课程与实验安排’更新尽量详细的实验流程,具体操作在每次实验的.md文档中,不再赘述。 目标 objectives 使用提供的XDC文件约束电路时序 优化设计 使用提供的基本时序约束综合设计 分析综合后的设计的输出 改变综合的设置并且...
工具开发|键盘记录工具原理及代码实现
weixin_42282189的博客
11-26 1400
作者: Beard林 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 对于键盘记录简述 键盘记录一般用在后渗透中,以此方法寻求扩大战果。有些c2工具集成了这个功能,github上也有一些独立的工具,因为开发的语言不一样,大小也不一样,实用性也各不相同。 0x02 拆分键盘记录 键盘记录工具其实就是设置了一个钩子来获取按键的输入,流程如下: 1.工具创建进程 2.调用windows API 3.利用API钩子获取按键输入 4.将获取数据保存 用python实现以上要.
GitLab 12 跨版本 13 升级
折腾技术
08-04 6064
本文使用「署名 4.0 国际 (CC BY 4.0)」许可协议,欢迎转载、或重新修改使用,但需要注明来源。 署名 4.0 国际 (CC BY 4.0) 本文作者: 苏洋 创建时间: 2020年08月04日 统计字数: 4450字 阅读时间: 9分钟阅读 本文链接: https://soulteary.com/2020/08/04/gitlab-version-12-cross-version-13-upgrade.html GitLab 12 跨版本 13 升级 本以为 《GitLab 简明维护指南(v2
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1627
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
恶意代码分析实战11-3
Yale的博客
05-28 766
本次实验我们将会分析lab11-03.exe文件。先来看看要求解答的问题 Q1.使用基础的静态分析过程,你可以发现什么有趣的线索? Q2. 当运行这个恶意代码时,发生了什么? Q3. Lab11-03.exe 如何安装Lab11-03.dll使其长期驻留? Q4.这个恶意代码感染Windows系统的哪个文件? Q5. Lab11-03.dll 做了什么? 先来看lab11-03.exe,在字符串窗口 看到inet_epar32.dll和net start cisvc。 Net start命令用于在wind
Bio-Rad Image Lab 5.2.1版Windows凝胶分析软件发布
资源摘要信息:"Bio-Rad Image Lab Software 5.2.1 是专为Windows系统设计的凝胶分析软件,由Bio-Rad公司开发。此软件主要用于生命科学领域,特别是分子生物学和蛋白质化学,其中包含用于分析和处理图像的工具,例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值