恶意代码分析实战Lab1103

把当前目录下的dll复制一份到system32系统目录

接着开启了服务名称叫做：cisvc

分析401070：

新建一个文件，可能还有其他的判断标志

接下来分析dll

DllEntryPoint没什么特别

Dllmain直接return 1

这个导出函数创建了一个线程，并且调用了StartAddress函数

如果互斥量成功打开，则在System32这个系统目录下新建一个kernel64x.dll

且写入数据：

剩下的需要动态运行判断

exe成功将1103.dll复制到了system32目录下

问题3：exe如何安装dll来实现长期驻留

问题4：恶意代码感染哪个文件

感染了cisvc.exe

问题5：恶意dll做了什么

消息的记录

问题6：收集到的数据放在哪

kernel64x.dll

因为不知道怎么安装，所以动态调试与分析无法进行

GetAsyncKeyState：用来判断函数调用时指定虚拟键的状态，确定用户当前是否按下了键盘上的一个键的函数。如果按下，则返回值最高位为1

GetForegroundWindow：获取一个前台窗口的句柄

合理猜测：kernel64x.dll是一个用户键盘记录器

小结：

exe以木马方式侵入系统，然后启动Windows索引服务(cisvc.exe)。木马程序的shellcode加载一个dll，并且调用启动击键记录器的导出函数。这个导出函数创建一个MZ互斥量，并且将所有的击键记录保存到System32下的kernel64x.dll的日志中

https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-11-3/