把当前目录下的dll复制一份到system32系统目录

接着开启了服务名称叫做:cisvc


分析401070:

新建一个文件,可能还有其他的判断标志


接下来分析dll

DllEntryPoint没什么特别

Dllmain直接return 1

这个导出函数创建了一个线程,并且调用了StartAddress函数

如果互斥量成功打开,则在System32这个系统目录下新建一个kernel64x.dll

且写入数据:

剩下的需要动态运行判断


exe成功将1103.dll复制到了system32目录下



问题3:exe如何安装dll来实现长期驻留


问题4:恶意代码感染哪个文件

感染了cisvc.exe

问题5:恶意dll做了什么

消息的记录


问题6:收集到的数据放在哪

kernel64x.dll


因为不知道怎么安装,所以动态调试与分析无法进行

GetAsyncKeyState:用来判断函数调用时指定虚拟键的状态,确定用户当前是否按下了键盘上的一个键的函数。如果按下,则返回值最高位为1

GetForegroundWindow:获取一个前台窗口的句柄

合理猜测:kernel64x.dll是一个用户键盘记录器


小结:

exe以木马方式侵入系统,然后启动Windows索引服务(cisvc.exe)。木马程序的shellcode加载一个dll,并且调用启动击键记录器的导出函数。这个导出函数创建一个MZ互斥量,并且将所有的击键记录保存到System32下的kernel64x.dll的日志中


https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-11-3/