在Windows 10操作系统中找到KeyLogger？

Question

我在运行Yara，这是一种与Windows 10上的恶意软件研究人员相匹配的瑞士刀子。

我使用Yara规则、YARA规则和MalwareConfig规则的规则进行扫描。

我无意中发现了这些DLL，它们的签名与提升特权相匹配，还有键盘记录器。

• avicap32.dll
• mscorlib.dll
• AcGenerl.dll
• accessibilitycpl.dll
• adalsql.dll
• AtBroker.exe
• 等

对我来说，AcGenerl.dll有一个键盘记录器签名是有意义的，因为它处理键盘，但是MsCorlib.dll呢？这是没有道理的，为什么它有这些签名。

对其中一些Windows DLL为什么会升起标志有任何解释吗？(没有详细说明为什么我的规则会被采纳，特别是程序和库)

编辑病毒道达尔还表示，这些文件没有被恶意软件或rootkit感染。

其中一些会是后门吗？

Answer 1

• avicap32.dll是一个系统进程，它使用Windows捕获AVI格式的内容。
• mscorlib.dll是多语言(微软)标准公共对象运行时库.
• AcGenral.dll是Windows兼容的DLL，可能正在记录信息，看看一切是否顺利。我不确定这件事。
• accessibilitycpl.dll是易于访问的控制面板。可能访问容易需要特殊权限才能正常工作，键的日志记录可能是其中之一。
• adalsql.dll是Server的Active身份验证库。身份验证服务确实处理键盘内容，并必须对其进行记录。
• AtBroker.exe似乎是桌面之间可转换的可访问技术。根据fixoserror.com的说法。

似乎几乎所有这些都在处理键盘操作。关于，mscorlib.dll，它似乎也用于创建键盘记录器。在turkhackteam.org上有一个keylogger线程，并且调试结果提供了一个mscorlib文件。另外，关于mscorlib，这个StackOverflow链接可能会给您提供一些很棒的想法。