某Keylogger分析

最新推荐文章于 2025-04-03 16:44:14 发布
最新推荐文章于 2025-04-03 16:44:14 发布
阅读量1.7k 收藏
点赞数
分类专栏: 病毒分析 文章标签: 键盘记录 Keylogger
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ProgrammingRing/article/details/9157883
版权

基本信息

  报告名称:某Keylogger分析

 报告更新日期:2013/06/25                                           
  样本发现日期:未知                                           
  样本类型:键盘记录                                                   
  样本文件大小:1587712 字节    
  样本文件MD5 校验值:56263331B8A63334C467B43538E5873C                             
  样本文件SHA1 校验值:74479FDE18AD3CD31E84F3DAF5555FE9EFEFB9D9                            
  壳信息: 无壳                                                      
  可能受到威胁的系统:Windows                               
  相关漏洞:无                                                                                              




Keylogger.exe是一个键盘记录程序,用于记录用户输入的信息并保存到文件


被感染系及网症状


1> 进程中出现debugsrv.exe进程

2> %SystemRoot%下出现r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]文件夹

3> 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下出现名叫MSWDebugServer的键值


文件系统变


创建目录:

                %SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]

创建文件:

                %SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe
                %SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe_bug.log


注册表


在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建键值MSWDebugServer


症状



详细分析/功能介


样本Keylogger.exe为载体,被运行后,会进行如下操作:

1> 查找进程中是否存在debugsrv.exe进程,存在则将其终止

2> 在%SystemRoot%下创建目录r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]并将其属性设置为隐藏

3> 在%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]下创建文件debugsrv.exe并从自身资源中获取数据并将其写入到文件

4> 运行debugsrv.exe

5> 创建进程install.ceo并等待其结束


样本debugsrv.exe为键盘记录主体,被运行后,会进行如下操作:

1> 创建一个名叫MSCDBGSV1的自动事件内核对象,用于防止进程多开

2> 创建一个互斥量内核对象,用于线程同步

3> 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建键值MSWDebugServer = "debugsrv.exe的完整路径",用于启动启动后自动启动

4> 创建线程,线程主要用于获取剪贴板的数据,获取数据后并打开debugsrv.exe_bug.log文件,不存在则创建,将获取的剪贴板数据加密后(原始数据加上0xA)写入文件

5> 安装全局键盘钩子,用于截获用户输入加密(原始数据加上0xA)后并写入文件debugsrv.exe_bug.log


防及修复措施


手动修复:

1> 结束进程debugsrv.exe

2> 删除%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]目录及目录中的文件

3> 删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下键值MSWDebugServer


术热点及总结


程序通过载体Keylogger.exe在自身资源中获得主体的二进制数据,并将其写入到磁盘创建的文件中,然后主体debugsrv.exe通过全局键盘钩子与一个线程分别获取用户输入与剪贴板数据解密后写入到debugsrv.exe_bug.log文件中


记录文件解密代码:

// Test.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <stdlib.h>
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
	FILE *lpFile = _tfopen(TEXT("debugsrv.exe_bug.log"), TEXT("r"));
	if (NULL == lpFile)
		_tprintf(TEXT("File open failure!\r\n"));
	TCHAR lpBuffer[1024];
	while (1)
	{
		_fgetts(lpBuffer, _countof(lpBuffer), lpFile);
		for (int nIndex = 0; nIndex < _tcslen(lpBuffer); nIndex++)
			lpBuffer[nIndex] -= 0xa;
		_fputts(lpBuffer, stdout);
		if (feof(lpFile))
			break;
	}
	fclose(lpFile);

	return 0;
}

下载样本及idb(密码:virus):

http://pan.baidu.com/share/link?shareid=1537250711&uk=4012944288

KeyLogger
windworst的专栏
10-08 912
// Keyboard.cpp : Defines the entry point for the DLL application. // //#include "stdafx.h" #include #include HINSTANCE g_hInstance = NULL; HHOOK Kg_hHook = NULL; char Buff[10]= {0}; #define DEBUG_LOG
【Web安全攻防】
weixin_67353788的博客
04-05 769
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclu...
keylogger
03-31
keylogger
KeyLogger_log67_log52_keylog_
09-29
KEYLOG SOLO ALGO DE EJEMPLO
Keylogger - 监控你的键盘输入
gitblog_00007的博客
03-08 1622
Keylogger - 监控你的键盘输入 项目地址:https://gitcode.com/gh_mirrors/keylogg/keylogger Keylogger 是一个开源的项目,它可以监控你的键盘输入,并将数据记录到日志文件中。 功能介绍 Keylogger 可以监听你的计算机上的所有键盘输入事件,并将其存储在指定的日志文件中。你可以设置要监控的窗口标题,以便只对特定应用程序的输入进行监...
KeyloggerV1.0:安全的键盘与鼠标记录工具
weixin_36204513的博客
10-13 1826
本文还有配套的精品资源,点击获取 简介:KeyloggerV1.0是一款专为监控和记录键盘输入而设计的安全工具,常用于IT安全领域以检测安全威胁,如识别恶意用户窃取敏感信息的行为。尽管该软件本身无病毒且易于使用,但使用此类工具可能侵犯隐私并违反法律。它还可能记录鼠标活动,适用于家长监控、员工监控或用户交互测试。使用时需确保合法合规,并尊重隐私权。 1. 键盘记录工...
用户行为库:掌握JS在网站数据分析中的应用
这类库通常被用于分析用户的行为习惯,改善用户体验,以及对网站进行优化。 描述中提到的库可以记录多种用户行为数据: - 一般用户信息:可能包括访问者的IP地址、用户代理信息(User-Agent)等; - 在现场花费的...
内存取证5-volatility
最新发布
chinazgzx的博客
04-03 1386
内存取证是一种在计算机系统运行时获取内存数据并进行分析的技术,能获取到很多磁盘中没有的动态信息,对于调查系统异常、检测恶意软件等非常关键。Volatility 是一款开源的内存取证工具,支持 Windows、Linux、Mac OS X、Android 等系统。它通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态,可用于安全事件响应、恶意软件分析等场景。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6060
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
对STIX2.0标准12个构件的解读
热门推荐
fufu_good的博客
01-29 9万+
简介 STIX是一种描述网络威胁信息的结构化语言,STIX 能够以标准化和结构化的方式获取更广泛的网络威胁信息。 STIX 1.0定义了8种构件:可观测数据(Observation)、攻击指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(Threat Actor)、攻击目标(ExploitTarget)、攻击方法(TTP)、应对措施(CourseOf...
Keylogger:适用于Windows,Linux和Mac的简单键盘记录器-开源
05-26
键盘记录器是适用于Windows,Mac和Linux的简单按键记录器。 击键记录器或击键记录器基本上是一个记录击键并将其保存在本地计算机上的日志文件中的程序。 该键盘记录器虽然简单无味,但效果出色,可用于许多方面。 您可以使用它来跟踪关键动作,并确保不在时没有人使用计算机,或者将其用于自我分析。 在企业和办公室中,它可以用来监视员工的活动; 在学校中,它可以跟踪击键并记录被禁止的单词。
Linux kernel key logger:用于记录击键的 Linux 内核模块-开源
07-22
一个 Linux 内核模块,用于嗅探击键并将其保存在内存缓冲区中,以便从 /dev/klg 进一步读取
Ardamax Keylogger(键盘记录器)v4.12注册版.rar
09-04
软件介绍: Ardamax Keylogger是一款键盘记录工具,它可以将电脑操作者的键盘操作信息记录并自动保存到一个加密的文件中。这个加密文件可以通过Log View来进行浏览查看,本软件有一定的使用范围,例如通过它你可以监视孩子对电脑的操作。记录后的文件可以自动发送到你指定的邮箱中,而这个程序本身也是有密码保护的,没有正确的密码是无法打开它的。软件运行后,不会在任务栏及系统栏中出现任何图标,即使在任务管理器中也找不到它的足迹。支持windows2000以及XP/2003/WIN7/WIN8系统。软件的默认密码为:ardamax注册说明:安装后Reg文件夹中的JJH.00文件复制到:C:\Documents and Settings\All Users\Application Data\JJH目录中。或者C:\ProgramData\JJH目录中即可。注意:本软件属于键盘记录软件,部分杀毒软件会有误报!
python keylogger键盘记录源码
03-08
记录键盘事件,截屏保存图片,并定时打包发送到指定的邮箱,功能可以更加完善,但已满足我个人需要,所以没有继续做了 KeyL:工程主入口文件,里面包含了下面两个文件,在py2exe打包时只需要针对这一个文件打包就行,会自动将下面两个包含进去 keylog:工程主界面文件,boa生成的,主要是界面初始化工作
keylogger 源码-包含Linux、Mac、window 三个平台
09-29
资源包括了keylogger -键盘记录的源代码,对keylogger 感兴趣的朋友可以下载下来研究下,看一下源码是如何实现的,源码写的还是不错的(仅供学习研究)
探索键盘世界的秘密武器:Keylogger
gitblog_00517的博客
09-02 547
探索键盘世界的秘密武器:Keylogger 项目地址:https://gitcode.com/gh_mirrors/keylog/keylogger 在技术的海洋中,有一款精巧的工具——Keylogger,专为Linux环境设计,旨在捕捉全局键盘事件。这款开源项目以其简洁高效,在开发者社区中悄然兴起,成为了监控和交互键盘活动的强大助手。 项目介绍 Keylogger是一个使用Go语言编写的轻量级库...
探索 Swift-Keylogger:一款强大的键盘记录
gitblog_00020的博客
04-09 800
探索 Swift-Keylogger:一款强大的键盘记录器 项目地址:https://gitcode.com/gh_mirrors/sw/Swift-Keylogger 项目简介 Swift-Keylogger 是一个开源项目,由 SkrewEverything 开发并托管在 Gitcode 上。这款工具旨在帮助开发者和安全研究人员监控和记录计算机上的键盘输入,以进行各种用途,包括但不限于性能测试...
Keylogger 教程与指南
gitblog_00507的博客
08-09 723
Keylogger 教程与指南 KeyloggerGet Keyboard,Mouse,ScreenShot,Microphone Inputs from Target Computer and Send to your Mail.项目地址:https://gitcode.com/gh_mirrors/ke/Keylogger 1. 项目介绍 Keylogger 是一个简单的Python实现的键...
简单跨平台键盘记录器:监控无处不在
gitblog_00092的博客
05-12 505
简单跨平台键盘记录器:监控无处不在 项目地址:https://gitcode.com/gh_mirrors/key/Keylogger 【项目简介】 在寻找一款能够帮助您监视计算机上键入信息的工具吗?简单键盘记录器(Simple Keylogger)是您的理想选择!这款开源程序兼容Windows、Linux和Mac操作系统,默默地记录每一次击键,并将数据保存为本地日志文件,方便您随时查阅。 【项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值