把当前目录下的dll复制一份到system32系统目录
接着开启了服务名称叫做:cisvc
分析401070:
新建一个文件,可能还有其他的判断标志
接下来分析dll
DllEntryPoint没什么特别
Dllmain直接return 1
这个导出函数创建了一个线程,并且调用了StartAddress函数
如果互斥量成功打开,则在System32这个系统目录下新建一个kernel64x.dll
且写入数据:
剩下的需要动态运行判断
exe成功将1103.dll复制到了system32目录下
问题3:exe如何安装dll来实现长期驻留
问题4:恶意代码感染哪个文件
感染了cisvc.exe
问题5:恶意dll做了什么
消息的记录
问题6:收集到的数据放在哪
kernel64x.dll
因为不知道怎么安装,所以动态调试与分析无法进行
GetAsyncKeyState:用来判断函数调用时指定虚拟键的状态,确定用户当前是否按下了键盘上的一个键的函数。如果按下,则返回值最高位为1
GetForegroundWindow:获取一个前台窗口的句柄
合理猜测:kernel64x.dll是一个用户键盘记录器
小结:
exe以木马方式侵入系统,然后启动Windows索引服务(cisvc.exe)。木马程序的shellcode加载一个dll,并且调用启动击键记录器的导出函数。这个导出函数创建一个MZ互斥量,并且将所有的击键记录保存到System32下的kernel64x.dll的日志中