Гайд Статичный анализ KeyLogger

[KernelM]

Всех приветствую, не видел пока ещё темы про анализирование вирусов, думаю для начинающих будет полезна.
1. Мы имеем самый простой кейлоггер x32 бит версии, различных протектов и криптования не присутствует. [

Пожалуйста, авторизуйтесь для просмотра ссылки.

- сам кейлоггер. VT -

Пожалуйста, авторизуйтесь для просмотра ссылки.

]
2. На таких кейлогерах стоит начинать с статичного анализа, а именно:
1) Просмотр списка DLL и функций, импортированные данным кейлогером. Не запуская exe.
Воспользуйтесь для этих целей программой CFF Exploler. [

Пожалуйста, авторизуйтесь для просмотра ссылки.

]

Все импортированные длл кейлогера.

Что уже мы можем выявить? 1) Последние 3 длл используются Visual Studio, для работы программы. Если не установлена визуал студия, то у вас при запуске в ошибке будут именно эти 3 длл. 2) KERNEL32 - говорит о том, что программа может заниматься открытием и манипуляцией процессами, а именно (функции OpenProcess, GetCurrentProcess и GetProcessHeap) и файлами (функции ReadFile, CreateFile и WriteFile). Я перечислил все основные функции, из них имеется GetProcessHeap, с файлами никаких действий не происходит, так как не используются функции чтения, создания, записывания.

Функции KERNEL32.dll:


Теперь начинается интереснее, мы узнали про kernel32.
Приступаем к User32.
Имеются функции:

Пожалуйста, авторизуйтесь для просмотра ссылки.

Их всего 2, чаще всего, именно в моих случаях для принятия ввода с клавиатуры использовалась функция - SetWindowsHookEx, так же для горячих клавиш, например ctrl + v, RegisterHotKey - принятие сочетания клавиш. Но мы отошли от темы. С точностью, мы можем сказать что для принятия ввода с клавиатуры, используется функция GetAsyncKeyState (

Пожалуйста, авторизуйтесь для просмотра ссылки.

). Именно она и принимает в нашем случае клавиши. Функция ShowWindow вероятнее всего используется для скрытия консоли, работает в фоновом режиме. Теперь мы знаем как работает кейлоггер при статичном анализе. Дальше запустим IDA и посмотрим strings (строки программы)

Открывать строки в IDA с помощью сочетания клавиш ( shift + f12)

Пожалуйста, авторизуйтесь для просмотра ссылки.

вот что мы видим при открытии, как мы можем заметить, в строках имеется текстовый документ dat.txt (я забыл выделить)
Нажмём два раза левой кнопкой мыши чтобы перейти к asm коду.

Пожалуйста, авторизуйтесь для просмотра ссылки.

- когда перешли, нажимаем F5 чтобы увидеть СИ код

UPD: Очень извиняюсь, я не дописал как работает сам кейлоггер.

Когда мы увидели что создаётся dat.txt, думаю пора запустить сам кейлоггер и посмотреть как он работает.

Пожалуйста, авторизуйтесь для просмотра ссылки.

когда мы запустили сам кейлоггер, создался dat.txt. Если мы в него зайдём, увидим

Пожалуйста, авторизуйтесь для просмотра ссылки.

что в него идёт запись всех наших вводов, CapsLock, Enter, и просто все буквы и символы которые мы вводим. Для записи используется функция GetAsyncKeyState, а для фоновой работы ShowWindow.

Пожалуйста, авторизуйтесь для просмотра ссылки.

он отлично работает, но не мы это не видим и не поймём пока не запустим диспетчер задач и не просмотрим. На этом всё, ещё раз извиняюсь что не дописал)

P.S это локальный кейлоггер, он никуда ничего не отправляет, я просто хотел показать как изначально не запускаю провести анализ, и узнать как он работает. Так же хотел сказать, все функции использующиеся в этом логере, не всегда являются и используются именно для вирусов, тот же GetAsyncKeyState юзается в читах для какого нибудь бхопа. А ShowWindow думаю и так понятно.

 

[vitt]

А где анализ кейлоггера то собственно

 

[KernelM]

А где анализ кейлоггера то собственно

Анализирование как для меня, это понятие, понять как работает программа, в чём её основная суть, и имеются ли какие-то протекты. В этом гайде, на мой взгляд я хорошо описал как работает этот кейлоггер и какие функции он использует.

 

[vitt]

Анализирование как для меня, это понятие, понять как работает программа, в чём её основная суть, и имеются ли какие-то протекты. В этом гайде, на мой взгляд я хорошо описал как работает этот кейлоггер и какие функции он использует.

Нет, ты посмотрел импорты, и мельком показал функции от импортов
Потом открыл иду и показал функцию которая создаёт текстовый файл dat.txt

Про то как он работает, нет не единого слова тут. Ты не показал банально как и что он записывает в этот файл, как отправляет на сервер и тп

 

[KernelM]

Нет, ты посмотрел импорты, и мельком показал функции от импортов
Потом открыл иду и показал функцию которая создаёт текстовый файл dat.txt

Про то как он работает, нет не единого слова тут. Ты не показал банально как и что он записывает в этот файл, как отправляет на сервер и тп

Бляя, я даже не читал что написал, очень извиняюсь, я когда нажимал отправить у меня в этот момент инет откис, я перезапустил и видимо пол поста удалилось. Сейчас допишу

UPD:Всё, я дописал тему, тут уже моя ошибка, не увидел что пол поста удалилось.

 

[qqqqqq111111]

Кринж , ты за целый пост зашел в импорты , зашел в строки ( ida boss enjoyer ) , увидел файл dat.txt . Основная мысль этого поста , что создался текстовик после того как ты запустил кейлогер , что впринципе можно увидеть и без статического анализа. GetAsyncKeyState используется в читах для бхопа

1) Последние 3 длл используются Visual Studio, для работы программы. Если не установлена визуал студия, то у вас при запуске в ошибке будут именно эти 3 длл.

Т.е что бы установить с++ пакеты , мне обязательно студию устанавливать.

KERNEL32 - говорит о том, что программа может заниматься открытием и манипуляцией процессами, а именно (функции OpenProcess, GetCurrentProcess и GetProcessHeap) и файлами (функции ReadFile, CreateFile и WriteFile).

KERNEL32 говорит о том что это не текстовик "dat.txt" , у тебя полно кернел вызовов даже до oep

 

[KernelM]

Кринж , ты за целый пост зашел в импорты , зашел в строки ( ida boss enjoyer ) , увидел файл dat.txt . Основная мысль этого поста , что создался текстовик после того как ты запустил кейлогер , что впринципе можно увидеть и без статического анализа. GetAsyncKeyState используется в читах для бхопа

1) Последние 3 длл используются Visual Studio, для работы программы. Если не установлена визуал студия, то у вас при запуске в ошибке будут именно эти 3 длл.

Т.е что бы установить с++ пакеты , мне обязательно студию устанавливать.

KERNEL32 - говорит о том, что программа может заниматься открытием и манипуляцией процессами, а именно (функции OpenProcess, GetCurrentProcess и GetProcessHeap) и файлами (функции ReadFile, CreateFile и WriteFile).

KERNEL32 говорит о том что это не текстовик "dat.txt" , у тебя полно кернел вызовов даже до oep

Возьму на заметку. Насчёт GetAsyncKeyState, я просто хотел сказать где ещё используется эта функция.

 

[Shert]

Да ля братик забей х*й на них. Пускай ворчат
Ты красавчик, главное, что пытаешься разобраться!

 

[KernelM]

Да ля братик забей х*й на них. Пускай ворчат
Ты красавчик, главное, что пытаешься разобраться!

Спасибо, я предполагал что такие сообщения будут, это уже не удивительно и привычно)

 

[Morphling]

Да ля братик забей х*й на них. Пускай ворчат
Ты красавчик, главное, что пытаешься разобраться!

ну так гайды делать не зная о чем странно) лучше уже вопросы задавать, если учишся)

 

[KernelM]

ну так гайды делать не зная о чем странно) лучше уже вопросы задавать, если учишся)

Я знаю о чём пишу. Да и тем более тебе тут вместо ответов на вопросы, скажут пойти нахуй.

 

[qqqqqq111111]

Я знаю о чём пишу. Да и тем более тебе тут вместо ответов на вопросы, скажут пойти нахуй.

Ты написал пасту с книги , я могу даже тему найти если потребуется , гайд это когда ты пошагово обьясняешь и люди черпают новые знания . Твой гайд - посмотреть импорты , зайти в строки , увидеть dat.txt , все . Опять же как с помощью GetAsyncKeyState делают баннихоп я не знаю , бинд - да и то вариант не очень для системы биндов. Каждый имеет право делать гайды , даже с целью обучения самого себя , но в след. раз найди интерестый сэмпл в интернете ( который ты не видел ) и сделай разбор , тогба ты будешь мололцом. Сейчас у тебя просто паста лабараторной работы с книги

 

[KernelM]

Ты написал пасту с книги , я могу даже тему найти если потребуется , гайд это когда ты пошагово обьясняешь и люди черпают новые знания . Твой гайд - посмотреть импорты , зайти в строки , увидеть dat.txt , все . Опять же как с помощью GetAsyncKeyState делают баннихоп я не знаю , бинд - да и то вариант не очень для системы биндов. Каждый имеет право делать гайды , даже с целью обучения самого себя , но в след. раз найди интерестый сэмпл в интернете ( который ты не видел ) и сделай разбор , тогба ты будешь мололцом. Сейчас у тебя просто паста лабараторной работы с книги

Спасибо, учту это.