文章总结: 本文针对银狐GhostRAT/WinOS变种提供排查思路。文档列出键盘记录与屏幕截图在Windows端的高频落地路径及文件特征,并详细阐述5步快速排查法:路径遍历、进程内存分析、网络C2关联、持久化检查及特征行为检测。最后强调内存优先与路径自定义特点,建议应急处置时先断网隔离并导出内存。 综合评分: 89 文章分类: 应急响应,恶意软件,实战经验,安全运营
%AppData%隐蔽子目录**C:\ProgramData**随机名文件夹(如C:\ProgramData\xxx\日期\微信截图\) 截图常生成即回传删除,本地留存概率低;WinOS模块可能定向存银行/微信窗口截图
特殊路径 微信文件目录(C:\Users[用户名]\Documents\WeChat Files[wxid]\FileStorage\File\)System32/SysWOW64随机子目录OneDrive/Teams缓存目录 钓鱼传播时常见初始释放路径;持久化多在启动项目录(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\)</p>
<p>二、5步快速排查(实战可直接用)</p>
<ol>
<li>
<p>📂 路径遍历(优先)</p>
<p>◦ 搜索:%Temp%\<em>.log、%Temp%\</em>.png、%AppData%\<em>.dat、C:\ProgramData\</em>ScreenShot*、C:\ProgramData\下隐藏文件夹</p>
<p>◦ 工具:Everything搜keylog*、screenshot*,显示隐藏文件(Win+R→cmd→attrib -h /s /d C:\ProgramData\*)</p>
</li>
<li>
<p>🛠️ 进程与内存排查</p>
<p>◦ 进程:用ProcessHacker/System Informer找无签名、高权限、异常网络连接的进程(如svchost.exe子进程、随机名exe)</p>
<p>◦ 内存:MDE内存dump、X64dbg动态调试,抓键盘/截图模块痕迹;查进程句柄,定位读写的临时文件/目录</p>
</li>
<li>
<p>🌐 网络与C2关联</p>
<p>◦ 用netstat/TCPView抓异常出站流量(非80/443的可疑端口),反向查进程PID</p>
<p>◦ Splunk/SPL:index=* sourcetype=WinEventLog:Security EventCode=4688 | search CommandLine=”*keylog*” OR CommandLine=”*screenshot*”</p>
<p>◦ MDE KQL:DeviceProcessEvents | where ProcessCommandLine has_any (“keylog”, “screenshot”, “Temp”, “ProgramData”)</p>
</li>
<li>
<p>🗝️ 持久化与注册表</p>
<p>◦ 查启动项:HKCU\Software\Microsoft\Windows\CurrentVersion\Run、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</p>
<p>◦ 查计划任务:schtasks /query /v,找无描述、随机名任务</p>
</li>
<li>
<p>🧪 特征与行为检测</p>
<p>◦ 静态:用VT/火绒查文件签名、PE特征;动态:MDE/EDR监控键盘钩子、屏幕捕获API调用(如BitBlt、GetAsyncKeyState)</p>
<p>◦ 内存特征:Dump进程内存,用Volatility查keylog、screenshot字符串与模块</p>
</li>
</ol>
<p>三、关键提示</p>
<p>• 内存优先:多数变种无本地文件,重点抓内存dump与C2通信日志</p>
<p>• 路径自定义:攻击者可改配置,需结合进程树、网络流量与行为日志关联分析</p>
<p>• 应急处置:先断网,隔离可疑进程,导出内存dump,再清理文件与注册表</p>
<hr />
<p><strong>免责声明:</strong></p>
<blockquote>
<p>本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。</p>
<p>任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。</p>
<p>本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的<strong>联系我</strong>。</p>
</blockquote>
<p>本文转载自:SOC安全分析之旅 cyberpanda《银狐GhostRAT/WinOS变种键盘记录和屏幕截图的排查思路》</p> </div>
<div class=)
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论