間諜軟件行爲信息

Question

作爲試圖描述間諜軟件構成的威脅以及如何緩解威脅的一部分，我一直在尋找關於當前野外各種常見間諜軟件木馬如何捕獲密碼數據的信息。我最好的猜測是，他們要麼記錄擊鍵，攔截瀏覽器提交或攔截GUI消息。

我想要一些更明確的信息，但一直未能找到它。我在哪裏可以找到這種分析？

Answer 1

大多數惡意軟件（我的意思是高級）都是用ASM或C++編寫的。他們中的很多人在用戶按下按鍵時使用Windows高級API將當前窗口中的鍵盤按鍵活動掛鉤。

例如鍵盤活動大多是他們使用SetWindowsHookEx功能與WH_KEYBOARD_LL鉤

此外，他們使用GetActiveWindow API，以便檢測當前活動窗口的標題。所以在鍵盤記錄器，大多是你會看到這樣的事情：

[Gmail - Google Chrome Browser] 
testuser@gmail.com {TAB} testpassword 

那麼，誰收到keylogs會讀它，你可以在上面看到的人。

另一種方法是在瀏覽器中注入一些專門寫入的DLL或擴展，我主要看到它用於Internet Explorer，它們使用BHO DLL來接收所有GET/POST數據，因此您不需要任何主動運行EXE文件，只是一個運行時打開Internet Explorer的DLL，DLL將直接發送所有POST/GET數據，因爲它是黑客的服務器。它大多在同一時間完成，BHO不會存儲任何內容（主要是），並將您發送到銀行的相同POST/GET數據同時發送給黑客服務器。但其他鍵盤記錄器大多存儲鍵盤記錄直到達到一個大小，例如5kb，然後木馬將鍵盤記錄提交給黑客。

還有一些「不是很常見」的技巧來捕獲擊鍵，並且有一個低級別的驅動程序，它運行在ring-0（內核模式）並捕獲鍵盤數據，它更復雜，更難以檢測，但也對於黑客來說很難使用，您需要在內核接收鍵盤的同一時間獲得當前窗口，當前鍵盤佈局（英文，中文，阿拉伯文等）的另一合作環3（用戶模式）應用程序，因爲不知道鍵盤佈局和用戶按下這些鍵的窗口，它將「幾乎」無用。

我也看到了一種「非專業」的方式來捕捉關鍵敲擊，這是使用GetAsynKeyState API。他們主要編寫一個循環函數，並通過每100毫秒調用一次該API來捕獲關鍵事件（例如）。

所以我想我已經涵蓋了很多鍵盤記錄器用來捕獲按鍵的技巧，如果你有更具體的問題，請讓我知道。