dinhphi04/Malware-Analysis-on-Ardamax-Keylogger

# Ardamax Keylogger 恶意软件分析 ### 概述 本项目主要关注对 Ardamax Keylogger 的**静态分析**，以了解其结构并识别其恶意指标。 研究人员可以从以下可信平台获取类似的样本： - MalwareBazaar - VirusTotal（需具备相应访问权限） - ANY.RUN 沙箱 所分析样本的 SHA256 哈希值： b4064449279669d4cfbc4dd0c5272405b61ab8d3bb7a7a457dcc6afc5394b39d https://tria.ge/220311-1jqlqsbed2 ### 我的工作 - 使用哈希值和 VirusTotal 进行了文件分类 - 分析了 PE 结构（节区、导入表、资源） - 提取并分析了可疑字符串 - 通过熵分析识别了加壳/混淆数据 - 在 RCDATA（CAB 文件）中发现了内嵌的 payload ### 核心发现 - 多阶段结构（释放器 → payload） - 基于 XOR 的字符串混淆 - 动态 API 加载（GetProcAddress） - 键盘记录功能（SetWindowsHookEx） - 通过注册表实现持久化 ### 使用的工具 PE-bear、PEStudio、Strings、Resource Hacker、HxD、VirusTotal

标签：Ardamax Keylogger, Ask搜索, CAB文件, DAST, DeepSeek, DNS 反向解析, dropper, PE-bear, PE结构分析, VirusTotal, 云安全监控, 云资产清单, 加壳检测, 动态API加载, 多阶段攻击, 威胁情报, 字符串提取, 开发者工具, 恶意软件分析, 持久化控制, 样本分析, 混淆分析, 熵值分析, 网络信息收集, 逆向工程, 键盘记录器, 静态分析