Гайд Статичный анализ KeyLogger

Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Всех приветствую, не видел пока ещё темы про анализирование вирусов, думаю для начинающих будет полезна.
1. Мы имеем самый простой кейлоггер x32 бит версии, различных протектов и криптования не присутствует. [
Пожалуйста, авторизуйтесь для просмотра ссылки.
- сам кейлоггер. VT -
Пожалуйста, авторизуйтесь для просмотра ссылки.
]
2. На таких кейлогерах стоит начинать с статичного анализа, а именно:
1) Просмотр списка DLL и функций, импортированные данным кейлогером. Не запуская exe.
Воспользуйтесь для этих целей программой CFF Exploler. [
Пожалуйста, авторизуйтесь для просмотра ссылки.
]
1659690921672.png
Все импортированные длл кейлогера.

Что уже мы можем выявить? 1) Последние 3 длл используются Visual Studio, для работы программы. Если не установлена визуал студия, то у вас при запуске в ошибке будут именно эти 3 длл. 2) KERNEL32 - говорит о том, что программа может заниматься открытием и манипуляцией процессами, а именно (функции OpenProcess, GetCurrentProcess и GetProcessHeap) и файлами (функции ReadFile, CreateFile и WriteFile). Я перечислил все основные функции, из них имеется GetProcessHeap, с файлами никаких действий не происходит, так как не используются функции чтения, создания, записывания.

Функции KERNEL32.dll:
1659691001660.png

Теперь начинается интереснее, мы узнали про kernel32.
Приступаем к User32.
Имеются функции:
Пожалуйста, авторизуйтесь для просмотра ссылки.
Их всего 2, чаще всего, именно в моих случаях для принятия ввода с клавиатуры использовалась функция - SetWindowsHookEx, так же для горячих клавиш, например ctrl + v, RegisterHotKey - принятие сочетания клавиш. Но мы отошли от темы. С точностью, мы можем сказать что для принятия ввода с клавиатуры, используется функция GetAsyncKeyState (
Пожалуйста, авторизуйтесь для просмотра ссылки.
). Именно она и принимает в нашем случае клавиши. Функция ShowWindow вероятнее всего используется для скрытия консоли, работает в фоновом режиме. Теперь мы знаем как работает кейлоггер при статичном анализе. Дальше запустим IDA и посмотрим strings (строки программы)

Открывать строки в IDA с помощью сочетания клавиш ( shift + f12)
Пожалуйста, авторизуйтесь для просмотра ссылки.
вот что мы видим при открытии, как мы можем заметить, в строках имеется текстовый документ dat.txt (я забыл выделить)
Нажмём два раза левой кнопкой мыши чтобы перейти к asm коду.
Пожалуйста, авторизуйтесь для просмотра ссылки.
- когда перешли, нажимаем F5 чтобы увидеть СИ код

UPD: Очень извиняюсь, я не дописал как работает сам кейлоггер.

Когда мы увидели что создаётся dat.txt, думаю пора запустить сам кейлоггер и посмотреть как он работает.
Пожалуйста, авторизуйтесь для просмотра ссылки.
когда мы запустили сам кейлоггер, создался dat.txt. Если мы в него зайдём, увидим
Пожалуйста, авторизуйтесь для просмотра ссылки.
что в него идёт запись всех наших вводов, CapsLock, Enter, и просто все буквы и символы которые мы вводим. Для записи используется функция GetAsyncKeyState, а для фоновой работы ShowWindow.
Пожалуйста, авторизуйтесь для просмотра ссылки.
он отлично работает, но не мы это не видим и не поймём пока не запустим диспетчер задач и не просмотрим. На этом всё, ещё раз извиняюсь что не дописал)

P.S это локальный кейлоггер, он никуда ничего не отправляет, я просто хотел показать как изначально не запускаю провести анализ, и узнать как он работает. Так же хотел сказать, все функции использующиеся в этом логере, не всегда являются и используются именно для вирусов, тот же GetAsyncKeyState юзается в читах для какого нибудь бхопа. А ShowWindow думаю и так понятно.
 

Вложения

Последнее редактирование:
dev
Забаненный
Статус
Оффлайн
Регистрация
5 Апр 2022
Сообщения
303
Реакции[?]
222
Поинты[?]
2K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
А где анализ кейлоггера то собственно
 
Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
А где анализ кейлоггера то собственно
Анализирование как для меня, это понятие, понять как работает программа, в чём её основная суть, и имеются ли какие-то протекты. В этом гайде, на мой взгляд я хорошо описал как работает этот кейлоггер и какие функции он использует.
 
dev
Забаненный
Статус
Оффлайн
Регистрация
5 Апр 2022
Сообщения
303
Реакции[?]
222
Поинты[?]
2K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Анализирование как для меня, это понятие, понять как работает программа, в чём её основная суть, и имеются ли какие-то протекты. В этом гайде, на мой взгляд я хорошо описал как работает этот кейлоггер и какие функции он использует.
Нет, ты посмотрел импорты, и мельком показал функции от импортов
Потом открыл иду и показал функцию которая создаёт текстовый файл dat.txt

Про то как он работает, нет не единого слова тут. Ты не показал банально как и что он записывает в этот файл, как отправляет на сервер и тп
 
Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Нет, ты посмотрел импорты, и мельком показал функции от импортов
Потом открыл иду и показал функцию которая создаёт текстовый файл dat.txt

Про то как он работает, нет не единого слова тут. Ты не показал банально как и что он записывает в этот файл, как отправляет на сервер и тп
Бляя, я даже не читал что написал, очень извиняюсь, я когда нажимал отправить у меня в этот момент инет откис, я перезапустил и видимо пол поста удалилось. Сейчас допишу

UPD:Всё, я дописал тему, тут уже моя ошибка, не увидел что пол поста удалилось.
 
Последнее редактирование:
BLTN
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
664
Реакции[?]
305
Поинты[?]
36K
Кринж , ты за целый пост зашел в импорты , зашел в строки ( ida boss enjoyer ) , увидел файл dat.txt . Основная мысль этого поста , что создался текстовик после того как ты запустил кейлогер , что впринципе можно увидеть и без статического анализа. GetAsyncKeyState используется в читах для бхопа:roflanzdarova:

1) Последние 3 длл используются Visual Studio, для работы программы. Если не установлена визуал студия, то у вас при запуске в ошибке будут именно эти 3 длл.

Т.е что бы установить с++ пакеты , мне обязательно студию устанавливать.

KERNEL32 - говорит о том, что программа может заниматься открытием и манипуляцией процессами, а именно (функции OpenProcess, GetCurrentProcess и GetProcessHeap) и файлами (функции ReadFile, CreateFile и WriteFile).

KERNEL32 говорит о том что это не текстовик "dat.txt" , у тебя полно кернел вызовов даже до oep :roflanzdarova:
 
Последнее редактирование:
Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Кринж , ты за целый пост зашел в импорты , зашел в строки ( ida boss enjoyer ) , увидел файл dat.txt . Основная мысль этого поста , что создался текстовик после того как ты запустил кейлогер , что впринципе можно увидеть и без статического анализа. GetAsyncKeyState используется в читах для бхопа:roflanzdarova:

1) Последние 3 длл используются Visual Studio, для работы программы. Если не установлена визуал студия, то у вас при запуске в ошибке будут именно эти 3 длл.

Т.е что бы установить с++ пакеты , мне обязательно студию устанавливать.

KERNEL32 - говорит о том, что программа может заниматься открытием и манипуляцией процессами, а именно (функции OpenProcess, GetCurrentProcess и GetProcessHeap) и файлами (функции ReadFile, CreateFile и WriteFile).

KERNEL32 говорит о том что это не текстовик "dat.txt" , у тебя полно кернел вызовов даже до oep :roflanzdarova:
Возьму на заметку. Насчёт GetAsyncKeyState, я просто хотел сказать где ещё используется эта функция.
 
:-|
Пользователь
Статус
Оффлайн
Регистрация
13 Май 2021
Сообщения
120
Реакции[?]
38
Поинты[?]
2K
Да ля братик забей х*й на них. Пускай ворчат
Ты красавчик, главное, что пытаешься разобраться!
 
Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Да ля братик забей х*й на них. Пускай ворчат
Ты красавчик, главное, что пытаешься разобраться!
Спасибо, я предполагал что такие сообщения будут, это уже не удивительно и привычно)
 
Пользователь
Статус
Оффлайн
Регистрация
8 Апр 2022
Сообщения
557
Реакции[?]
88
Поинты[?]
53K
Да ля братик забей х*й на них. Пускай ворчат
Ты красавчик, главное, что пытаешься разобраться!
ну так гайды делать не зная о чем странно) лучше уже вопросы задавать, если учишся)
 
Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
ну так гайды делать не зная о чем странно) лучше уже вопросы задавать, если учишся)
Я знаю о чём пишу. Да и тем более тебе тут вместо ответов на вопросы, скажут пойти нахуй.
 
BLTN
Участник
Статус
Оффлайн
Регистрация
23 Апр 2022
Сообщения
664
Реакции[?]
305
Поинты[?]
36K
Я знаю о чём пишу. Да и тем более тебе тут вместо ответов на вопросы, скажут пойти нахуй.
Ты написал пасту с книги , я могу даже тему найти если потребуется , гайд это когда ты пошагово обьясняешь и люди черпают новые знания . Твой гайд - посмотреть импорты , зайти в строки , увидеть dat.txt , все . Опять же как с помощью GetAsyncKeyState делают баннихоп я не знаю , бинд - да и то вариант не очень для системы биндов. Каждый имеет право делать гайды , даже с целью обучения самого себя , но в след. раз найди интерестый сэмпл в интернете ( который ты не видел ) и сделай разбор , тогба ты будешь мололцом. Сейчас у тебя просто паста лабараторной работы с книги
 
Virus analysis
Забаненный
Статус
Оффлайн
Регистрация
24 Июн 2022
Сообщения
113
Реакции[?]
54
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Ты написал пасту с книги , я могу даже тему найти если потребуется , гайд это когда ты пошагово обьясняешь и люди черпают новые знания . Твой гайд - посмотреть импорты , зайти в строки , увидеть dat.txt , все . Опять же как с помощью GetAsyncKeyState делают баннихоп я не знаю , бинд - да и то вариант не очень для системы биндов. Каждый имеет право делать гайды , даже с целью обучения самого себя , но в след. раз найди интерестый сэмпл в интернете ( который ты не видел ) и сделай разбор , тогба ты будешь мололцом. Сейчас у тебя просто паста лабараторной работы с книги
Спасибо, учту это.
 
Сверху Снизу