键盘记录器木马v4

litadezhongquan

这是键盘记录器的第四个版本，下载地址 http://laochou.cloud/OtherProjec ... KeyBoardProtect.rar
它的逻辑是：
1. 先用一个脚本来循环检查进程列表中是否存在杀毒软件，如果存在则提醒用户关闭

2. 如果用户没有关闭杀毒软件，病毒也不会退出，会在报错后继续扫描杀毒软件直到有一天用户把它关闭
3. 一旦进程列表中不存在杀毒软件，则向本体目录中释放一个Key.txt文件，内容是加密后的现在时间的小时数
4. 释放完Key.txt后运行"MicrosoftVisualBasicService.exe"文件
5. 这个文件使用VisualBasic编写，是一个释放器和解密器。单独运行它时，它会检测自身目录下是否存在Key.txt以及内容是否正确，如果不存在或内容有误，则弹出报错框”未能找到有效的Key文件“然后退出，意在防止单独的沙箱分析
6. 如果找到了Key.txt并且内容无误（确定是病毒将其激活），则解密并释放Recorder.exe和REG_Seter.exe，Recorder.exe的作用是记录键盘并发送给服务器，REG_Seter.exe的作用是自启动，并且将所有已知杀软的进程名全部设置映像劫持，让它们无法再次启动
7. MicrosoftVisualBasicService.exe同时充当进程保护器，若Recorder.exe退出则重新启动它，若自身退出则被Recorder.exe重新运行，实现持久化。

最终效果就是：一旦用户将杀软关闭，程序先设置映像劫持让杀软无法再次启动，也无法安装新的杀软，然后启动保护进程持续记录键盘。

这个帖子主要是来请教的，因为它的免杀效果并不是很好。

然后我发现一个问题，就是一个没有恶意行为、单纯把一个文件解密然后执行的exe程序，也会被报毒，而且基本上全报毒。
很奇怪，我包含恶意代码的二进制文件都不在，就一个解密器它怎么知道我是毒的（
真的很想知道


然后弱弱地问一下，为啥这四个版本火绒都没反应啊55

Loyisa

Avira扫描kill

---

Comodo双击入沙 防火墙提示外联

同意外联后Hips拦截键盘访问

ongarabazanade

xmt12

自制 双击拦截

1. 病毒拦截:C:\Windows\System32\msiexec.exe(Trojan(1.0))

复制代码

Shake2333

MD扫描miss

aikafans

360下载杀
然后，至少火绒adv可杀

御坂14857号

智量也干了（

lovehhsw

卡巴 ksn信誉未知 杀

莒县小哥

心醉咖啡

腾讯电脑管家