0x01 前言

該樣本來源https://any.run/，本編文章主要記錄分析過程，思想方法，如有錯誤不足，歡迎指出。

0x02 基本信息

NAME	Lab03-03.exe
MD5	e2bf42217a67e46433da8b6f4507219e
SHA1	daf263702f11dc0430d30f9bf443e7885cf91fcb
系統平臺	Windows
開發語言	C++

表1-1 樣本信息

測試環境	WinXP Windows 7
測試工具	IDA、OD、PEID等

表1-2 測試環境及工具

1.1查殼

圖1-1 Exeinfo

1.2導入表

圖1-2 導入表查看器

1.3資源表

圖1-3 PE細節

圖1-4 資源表

1.4Procexp監控

1）釋放svchost.exe

圖1-5 釋放文件

2）程序退出

主程序退出，留下svchost.exe進程。

圖1-6 程序退出

3）進程對比

svchost.exe是微軟Windows操作系統中的系統文件，微軟官方對它的解釋是：svchost.exe 是從DLL中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要，而且是不能被結束的。許多服務通過注入到該程序中啟動，所以會有多個該文件的進程。

圖1-7 文件對比

1.5procmon監控

通過監控可以發現由主程序生成的svchost.exe在不斷調用

WriteFile和CreateFile等函數對一個名為practicalmalwareanalysis.log的文件進行操作：

圖1-8 文件操作

圖1-9 鍵盤記錄

由此可知，程序運行后釋放svchost.exe，然后退出主程序，留下的svchost.exe會在同目錄生成practicalmalwareanalysis.log用于記錄鍵盤信息。

0x03 樣本分析

2.1 main函數

圖2-1 main函數

2.2 sub_40149D函數

跟進sub_40149D函數，將BufSize和Buffer當做參數傳GetSystemDirectoryA，該函數作用于檢索系統目錄的路徑，系統目錄包含系統文件，例如動態鏈接庫和驅動程序。

圖2-2 sub_40149D

該GetSystemDirectoryA函數執行完后，eax中長度為19，ebp+0xC存的是

路徑。

圖2-3 sub_40149D返回

圖2-4 sub_40149D返回

2.3 sub_40132C函數

傳遞的參數是PE文件的地址

圖2-5 sub_40132C返回

圖2-6 sub_40132C函數

圖2-7 sub_40132C函數

資源名判斷

圖2-8 資源名判斷

2.4 sub_4010EA函數

函數執行前，創建svchost.exe，隨后申請內存并將線程中獲取的寄存器的值放入內存中。

圖2-9 創建svchost.exe

函數執行后，主程序退出，釋放的PE文件未分析。

圖2-10 程序退出

0x04 總結

程序運行后生成名為svchost.exe的程序，隨后主程序自動退出，留下的程序記錄鍵盤及文件操作信息。

聲明

以上內容，均為文章作者原創，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負責，長白山攻防實驗室以及文章作者不承擔任何責任。

長白山攻防實驗室擁有該文章的修改和解釋權。如欲轉載或傳播此文章，必須保證此文章的副本，包括版權聲明等全部內容。聲明長白山攻防實驗室允許，不得任意修改或增減此文章內容，不得以任何方式將其用于商業目的。

總結

以上是生活随笔為你收集整理的恶意代码分析之简单键盘记录器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。