shellcode 實(shí)現(xiàn)鍵盤(pán)記錄樣本分析

1.樣本來(lái)源于《惡意代碼分析實(shí)戰(zhàn)》的實(shí)驗(yàn)樣本Lab11-03.exe和Lab11-03.dll.
2.首先對(duì)Lab11-03.exe進(jìn)行基礎(chǔ)分析锄贼,查看字符串和導(dǎo)入導(dǎo)出函數(shù)轴总。用strings可以看到

        C:\WINDOWS\System32\inet_epar32.dll
        zzz69806582
        net start cisvc
        C:\WINDOWS\System32\%s
        cisvc.exe
        Lab11-03.dll

等字符串,C:\WINDOWS\System32\inet_epar32.dll表示程序可能加載該dll,net start cisvc是服務(wù)的啟動(dòng)方式熏纯,cisvc.exe代表該程序可能被啟動(dòng)。然后對(duì)Lab11-03.dll進(jìn)行分析,出現(xiàn)了

    C:\WINDOWS\System32\kernel64x.dll
    zzz69806582
    GetForegroundWindow
    GetAsyncKeyState

等,C:\WINDOWS\System32\kernel64x.dll表示程序可能加載該dll,zzz69806582暫時(shí)還看不出來(lái)有什作用,GetForegroundWindow良价,GetAsyncKeyState表示這很可能是一個(gè)鍵盤(pán)記錄器。
3.然后進(jìn)行動(dòng)態(tài)分析,命令行切到當(dāng)前目錄下明垢,運(yùn)行Lab11-03.exe蚣常,用procmon和procexp進(jìn)行監(jiān)控,

image

如圖可以看到該樣本啟動(dòng)了一個(gè)服務(wù)痊银。至于啟動(dòng)什么服務(wù)史隆,通過(guò)procmon來(lái)具體看。
在進(jìn)程欄看到了net start cisvc

image

在文件操作一欄我們可以看到創(chuàng)建并寫(xiě)入了文件inet_epar32.dll,打開(kāi)了cisvc.exe
但是并沒(méi)有寫(xiě)入文件的操作曼验。

image

在注冊(cè)表一欄并沒(méi)有看到什么信息泌射。此時(shí)我們更換過(guò)濾條件,查看一下cisvc.exe進(jìn)行了哪些操作鬓照∪劭幔可以看到加載inet_epar32.dll,在系統(tǒng)文件夾中創(chuàng)建了kernel64x.dll文件豺裆,并寫(xiě)入了一些內(nèi)容猜測(cè)是鍵盤(pán)記錄的內(nèi)容拒秘。

image

4.下面進(jìn)行靜態(tài)高級(jí)分析。把Lab11-03.exe和Lab11-03.dll分別載入ida進(jìn)行分析臭猜。
代碼反編譯為c可以看到很簡(jiǎn)單躺酒。

image

首先是把Lab11-03.dll復(fù)制為C:\WINDOWS\System32\inet_epar32.dll,然后sub_401070函數(shù)時(shí)對(duì)cisvc.exe的操作蔑歌,看到是對(duì)cisvc.exe進(jìn)行文件映射然后byte_409030位置的314個(gè)字節(jié)的內(nèi)容寫(xiě)到cisvc.exe的開(kāi)始位置羹应,很顯示cisvc.exe插入了一段shellcode,下面查看這段shellcode,在409030位置可以看到是原始字節(jié)內(nèi)容,按c可以反匯編為匯編代碼次屠,如圖

image

image

如圖是shellcode 代碼园匹,在sehcode 末尾是一些字符串,按a可以顯示完整字符串劫灶,猜測(cè)此shellc是加載該dll,后面的字符串仍然不知道是什么裸违。

image

此時(shí)我們用ida加載inet_epart32.dll也即是Lab11-03.dll,在導(dǎo)出函數(shù)中我們可以看到是以上的未知字符串剛好是其的導(dǎo)出函數(shù)本昏,分析該函數(shù)看到僅僅只是創(chuàng)建了一個(gè)線程供汛,分析該線程,可以看到此線程是實(shí)現(xiàn)鍵盤(pán)記錄的涌穆,其記錄保存在C:\WINDOWS\System32\kernel64x.dll中怔昨。

下面對(duì)cisvc.exe進(jìn)行分析。分析插入shellcode前后的變化蒲犬。首先用PE view查看pe頭的變化朱监“斗龋可以看到入口位置發(fā)生了變化原叮。

image

分別用ida載入,可以看到插入shellcode的cisvc.exe入口點(diǎn)直接就是shellcode代碼,在od中載入奋隶,然后單步運(yùn)行觀察shellcode的功能擂送。

image

如圖1001b0a位置是加載C:\WINDOWS\System32\inet_epar32.dll的位置,下面是獲取
zzz69806582函數(shù)地址唯欣。到此整個(gè)流程就分析完了嘹吨。

Lab11-03.exe把Lab11-03.dll復(fù)制為C:\WINDOWS\System32\inet_epar32.dll,啟動(dòng)cisvc服務(wù)境氢,然后再cisvc.exe中插入一段shellcode蟀拷,來(lái)實(shí)現(xiàn)鍵盤(pán)記錄,記錄保存在C:\WINDOWS\System32\kernel64x.dll萍聊。打開(kāi)notepad隨便輸入進(jìn)行測(cè)試问芬,然后用flexhex打開(kāi)C:\WINDOWS\System32\kernel64x.dll,可以看到記錄了notepad和輸入的內(nèi)容寿桨。


image
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末此衅,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子亭螟,更是在濱河造成了極大的恐慌挡鞍,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,817評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件预烙,死亡現(xiàn)場(chǎng)離奇詭異墨微,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)扁掸,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門(mén)欢嘿,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人也糊,你說(shuō)我怎么就攤上這事炼蹦。” “怎么了狸剃?”我有些...
    開(kāi)封第一講書(shū)人閱讀 157,354評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵掐隐,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我钞馁,道長(zhǎng)虑省,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 56,498評(píng)論 1 284
  • 正文 為了忘掉前任僧凰,我火速辦了婚禮探颈,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘训措。我一直安慰自己伪节,他們只是感情好光羞,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,600評(píng)論 6 386
  • 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著怀大,像睡著了一般纱兑。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上化借,一...
    開(kāi)封第一講書(shū)人閱讀 49,829評(píng)論 1 290
  • 那天潜慎,我揣著相機(jī)與錄音,去河邊找鬼蓖康。 笑死铐炫,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的蒜焊。 我是一名探鬼主播驳遵,決...
    沈念sama閱讀 38,979評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼山涡!你這毒婦竟也來(lái)了堤结?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 37,722評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤鸭丛,失蹤者是張志新(化名)和其女友劉穎竞穷,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體鳞溉,經(jīng)...
    沈念sama閱讀 44,189評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡瘾带,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,519評(píng)論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了熟菲。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片看政。...
    茶點(diǎn)故事閱讀 38,654評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖抄罕,靈堂內(nèi)的尸體忽然破棺而出允蚣,到底是詐尸還是另有隱情,我是刑警寧澤呆贿,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布嚷兔,位于F島的核電站,受9級(jí)特大地震影響做入,放射性物質(zhì)發(fā)生泄漏冒晰。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,940評(píng)論 3 313
  • 文/蒙蒙 一竟块、第九天 我趴在偏房一處隱蔽的房頂上張望壶运。 院中可真熱鬧,春花似錦浪秘、人聲如沸蒋情。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,762評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)恕出。三九已至,卻和暖如春违帆,著一層夾襖步出監(jiān)牢的瞬間浙巫,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,993評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工刷后, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留的畴,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,382評(píng)論 2 360
  • 正文 我出身青樓尝胆,卻偏偏與公主長(zhǎng)得像丧裁,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子含衔,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,543評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容