简单的键盘按键记录(无码)/虚拟地址转物理地址/生成随机字符串/计算字符串哈希

已于 2023-01-03 20:53:17 修改
阅读量3.2k 收藏 1
点赞数
分类专栏: 恶意样本分析 文章标签: windows 键盘记录
于 2020-06-24 08:48:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/106936501
版权

最近看到 一个 样本 ,里面有键盘 按键记录的功能 ,而且 实现也比较 简单,运行 记录 的效果还 不错 。主要思路如下 :

//假代码 
 int i=0;
 for(i=0;i<0x100;i++)
 {
      GetKeyState(i);
      //参考:https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-getkeystate
      //如果有按键 记录,就去获取一些相关信息
      //当前时间 ,活动窗口名等一起记录
  }

   在grok样本里面,通过hook shadow ssdt里面的相关函数:NtUserGetMessage,NtUserGetKeyState等来实现按键抓取。

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$x64 下,虚拟地址转换物理地址:

***应用层虚拟地址转换

1,在windbg中找到对应进程的DirBase

2,根据 9-9-9-9-12(pml4-pd-pt-ptd)规则,对虚拟地址进行切割,然后读取相应的内容,最后定位到物理地址。

实测例子:

进程为DbgView.exe,进程的ImageBase=0x4000000;DirBase=0x303e0000

下面查找0x400000对应的物理地址:

对虚拟地址进行切割得到偏移为0-0-2-0-0

pml4=*((qword*)0x303e000+0*8)=0xa000000`045ec867    ,取页起始地址0x45ec000

pd=*((qword*)0x45ec000+0*8)=0xa000000`5a16d867         ,取页起始地址0x5a16d000

pt=*((qword*)0x5a16d000+2*8)=0xa000000`0686f867         ,取页起始地址0x686f000

pte=*((qword*))0x686f000+0*8)=0x81000000`45b78025    ,取页起始地址0x45b78000

PhysicalAddress=0x45b78000+0=0x45b78000

可以看到物理地址和虚拟地址内容是一致的。

***内核中虚拟地址转换

内核中的虚拟地址转物理地址与应用层原理是一致的,唯一的区别在于内核中的虚拟地址都属于system。

生成随机字符串

ULONG times = 0x10;

char* GetRandString()
{
    //随机因子
	ULONGLONG seed = GetTickCount()+times;

    //基字符串
	CHAR RandString[MAX_PATH] = "aiebdcefgh\0";

	CHAR* temp = NULL;
	//长度随机化
	int i = seed%4+strlen(RandString)-4;

	RandString[i] = 0x0;
	while (i>0)
	{
        //内容随机化
		RandString[i-1] += seed % (i+2);

		i--;
	}
	
	{
		temp = (CHAR*)malloc(MAX_PATH);
		if (temp)
		{
			memset(temp, 0, MAX_PATH);
			strcat_s(temp,MAX_PATH, RandString);
		}
	}

	//
	times++;
	return temp;
}

计算字符串哈希

​​​​​​

//
// 计算字符串的hash
//
//注意64/32指针长度
ULONG CalStringHash(char* a1)
{
	ULONG result; // rax
	char v2; // cl  
	ULONG v3; // edx

	result = (unsigned __int64)a1;
	if (a1)
	{
		v2 = *a1;
		v3 = 0;
		while (v2)
		{
			v3 ^= 0XF673B679 * v2;
			v2 = *(BYTE*)++result;
		}
		result = v3;
	}
	return result;
}

pureman_mega
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#实现给定字符串生成MD5哈希的方法
12-30
本文实例讲述了C#实现给定字符串生成MD5哈希的方法。分享给大家供大家参考。具体分析如下: 这里首先需要下面的命名空间的引用: 代码如下:System.Security.Cryptography; System.Web.Security; 主要代码如下: //...
从零开始之窗体二
不以物喜,不以己悲
09-05 2034
窗体两大组成部分,非客户区与客户区. 大部分时候,我们编程都是针对客户区的,那么非客户区包括那几个部分呢?就我知道的列举如下:1.标题.2,标题图标,3,标题上按钮,4,边框,5,滚动条.6.菜单栏.其实工具栏以及状态栏等.所以窗口对象本身也是有很多小对象组成的. 下面看下窗体对象结构: typedef struct _WINDOW_OBJECT {   /* NOTE: Do *NOT* Mov...
Anti-Screen Capture(Prevent Screen Captures)截屏与反截屏
Koma的主页
05-07 7726
1.数字图片使用类似与动画的方式显示,每次显示的是数字的一部分,当动态显示的时候人眼是可以分辨出具体数字的。但是截图的话就只能截取一部分,参考: cups.cs.cmu.edu/soups/2007/posters/p147_lim.pdf 2.屏蔽系统按键:Print Screen 和 Alt + Print Screen,主要原理是注册热键的方式,参考: http://www.v
【分享】w32service table XPsp2
weixin_30363981的博客
07-24 981
OrdAddressfnAddrSymbols--------------------------------[0]BF999280:BF93569A(win32k!NtGdiAbortDoc(bf93569a))[1]BF999284:BF94724B(win32k!NtGdiAbortPath(bf94724b))[2]BF999288:...
GetKeyState函数详解
OPM的博客
06-23 5751
函数只有一个参数,即虚拟键码。返回值为SHORT类型,即短整型。GetKeyState函数是用来获取指定的虚拟键码的按键的状态。得到的状态表示按键是按下了还是弹起的,还是状态切换(大小写状态、数字键盘锁状态)。 一、判断按键是否被按下。通过高位来进行判断,高位为1表示按键按下,高位为0表示按键弹起。具体方法如下: 方法1:如果高位为1表示按键按下,此时返回值为负数(<0);如果高位为0表示按键弹起,此时返回值为正数(>0)。所以可以通过返回值与0比较进行判断按键是否按下。 ...
windows下一个简易的按键记录及回放代码
why_are_you_so的博客
06-17 275
使用:运行程序后,按F9开始记录,再按F9停止记录并回放操作。1、SetWindowsHookEx设置挂钩,记录按键消息。2、keybd_event模拟按键操作。
说说猎豹安全浏览器
莫灰灰的专栏
05-24 5192
最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。 其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚,是否真的有这么神奇吗?于是我操起IDA简单的分析了一下。 1.猎豹浏览器
如何获取自己键盘按键的键值(KeyCode)
2021dragon的博客
09-12 1万+
文章目录通过C语言获取键值键码值汇总字母和数字的键码值 通过C语言获取键值 #include <stdio.h> #include <conio.h> int main() { int ch; while (1){ if (_kbhit() != 0) //如果键盘被敲击 { ch = _getch(); //获取键值 printf("%d\n", ch); //打印键值 } } return 0; } 键码值汇总 字母和数字的键码值 按键
C# 键盘记录
qq_27410185的博客
08-16 2331
利用HOOK技术来做一个键盘记录器,看看一天下来,我们点击了多少次键盘,哪些键的使用频率最高。开发工具: Visual Studio 2013。.NET Framework版本:4.5。使用C#实现一个键盘记录器。
C#计算字符串哈希值(MD5、SHA)的方法小结
12-31
本文实例讲述了C#计算字符串哈希值(MD5、SHA)的方法。分享给大家供大家参考。具体如下: 一、关于本文 本文中是一个类库,包括下面几个函数: ① 计算32位MD5码(大小写):Hash_MD5_32 ② 计算16位MD5码(大小写...
字符串哈希
01-07
所谓字符串哈希,即对一个字符串形成单向加密的过程,使其拥有尽可能独一无二的编号,通过这种低概率的编号重复,使得字符串的匹配尽可能高效。 如何字符串哈希 最普遍的字符串哈希方式,即进制哈希。核心是将字符串...
c语言面试题之哈希字符串中的第一个唯一字符.zip
最新发布
03-29
c语言面试题 c语言面试题之哈希字符串中的第一个唯一字符
C# 实现按键精灵 记录录制键盘鼠标
绀目澄清
04-10 3719
非常实用的键盘鼠标脚本录制工具,通过它你可以轻松地进行脚本录制,简单易用,不需要任何编程知识就能做出功能强大的脚本,只要你在电脑前用双手可以完成的动作,都可以替你完成。
windows 键盘记录器(win10下测试成功)
3D模型素材库
07-23 6334
源码很简单,主要就是python黑帽子中键盘记录器的内容。 操作系统环境是win10 64位,环境python2.7, 用到的第三方库pyHook,pythoncom,win32clipboard。这三个库文章最后有资源。 先看运行效果 从上图中可以清楚看到,首先我在记事本中输入了一些文字,接着打开了Edge浏览器,在百度中搜索了一些内容。 下面是源码 # coding=utf-8 from ctypes import * import pythoncom import pyHook import wi
编程实现键盘记录功能
hxb002131的博客
03-28 5569
目录 1、安装python2.7 2、安装pycharm edu 3、安装完成之后进行相关库的安装 ​4、在pycharm中添加解释器 5、对键盘记录功能的代码 6、实验代码的运行 1、安装python2.7 (1)下载安装程序 下载链接如下:https://www.python.org/downloads/release/python-2712/ (2)打开上述链接,显示如下: 根据自己电脑配置进行选择,我的是win7 64位,所以我选择的是上述截图中红圈圈中的版本,点击左侧
22个无版权限制的高清无码图库站
热门推荐
weixin_30300225的博客
05-24 8万+
http://www.uisdc.com/22-stunning-free-photos-websites 载于:https://www.cnblogs.com/kenan9527/p/4526657.html
windows黑客编程系列(十一):按键记录
至臻求学,胸怀云月
05-07 2269
文章目录功能技术模块按键记录WINAPIRegisterRawInputDevicestagRAWINPUTDEVICE结构体GetRawInputData编码实现 功能技术模块 病毒木马的入侵并潜伏在用户计算机上总是有着某种目的,例如获取用户隐私的办公文件或是账号密码,或是控制肉鸡,或是进行加密磁盘文件然后进行勒索。 按键记录 顾名思义,即程序在后台记录下用户在计算机上使用的所有按键信息,信息...
windows内核情景分析--窗口消息
maomao171314的专栏
04-04 3281
消息与钩子 众所周知,Windows系统是消息驱动的,现在我们就来看Windows的消息机制. 早期的Windows的窗口图形机制是在用户空间实现的,后来为了提高图形处理效率,将这部分移入内核空间,在Win32k.sys模块中实现。这个模块作为一个扩展的内核模块,提高了一个扩展额系统服务表,专用于窗口图形操作,相应的,这个模块中添加了一个扩展系统调用服务表Shadow SSDT,以及一个扩
基于ndis protocol driver 后门 分析
pureman_mega的博客
09-16 4404
样本文件MD5: 42f43edc9937e4aa5f985773f5ea9daa 这个样本有点老了,之前分析了一下他的命令执行部分,数据流程一直没有弄明白,现在记录一下。这个样本一上来会通过注册一个临时的 protocol driver (ndis 5.0, 差别多在xp 时代) ;注册成功后会返回一个ndis_handle 指针,然后通过这个指针加上硬编码的偏移找到 tcp/ip protocol driver 的 ndis_handle ,再挂钩(hook) 该结构中的receive 等回调函数;.
如何根据ip地址_姓名_随机字符串生成一串字符串
06-08
可以使用哈希函数将这三个信息组合成一个唯一的字符串。具体的步骤如下: 1. 将ip地址、姓名和随机字符串拼接成一个字符串,例如:ip_name_...同时,对于相同的ip地址、姓名和随机字符串,生成的哈希值应该是固定的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值