Jak hledat keyloggery

Bez ohledu na to, jak jsou keyloggery mazané, lze je stále detekovat. Existuje několik způsobů.

• Vyhledávání podle podpisů

Tato metoda vám umožňuje přesně určit přítomnost keyloggerů, správná volba podpisy mohou snížit pravděpodobnost chyby na nulu. Ale skener podpisů je schopen detekovat objekty, které jsou již známé a popsané v jeho databázi, takže to vyžaduje, aby databáze byla velká a neustále aktualizovaná.

• Heuristické algoritmy

Tato metoda najde keylogger na základě jeho charakteristických vlastností a umožní vám detekovat standardní pasti na klávesnici. Studie ukázaly, že stovky bezpečné programy, které nejsou keyloggery, nastavují pasti na sledování vstupu myši a klávesnice. Například známý program Punto Switcher, software pro multimediální klávesnice a myši.

• Monitorování funkcí API používaných špiony

Metoda je založena na zachycení řady funkcí používaných keyloggery, jako jsou SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState.

Sledování ovladačů, procesů, služeb používaných systémem

Metoda je vhodná nejen pro sledování keyloggerů. Nejjednodušším případem použití je použití programu jako Kaspersky Inspector, který sleduje vzhled nových souborů v systému.

Jak se chránit před keyloggery

Často již byly do databáze přidány známé keyloggery, a proto je metoda ochrany stejná jako před jakýmkoli škodlivým softwarem:

• Instalace antivirového produktu;
• Udržování aktuální databáze.

Stojí za zmínku, že většina antivirových programů klasifikuje keyloggery jako potenciálně nebezpečný software a zde je nutné upřesnit, že ve výchozím nastavení antivirový produkt detekuje přítomnost tohoto typu programu. Pokud ne, měli byste provést nastavení ručně, abyste se ochránili před nejběžnějším spywarem.

Obecně, protože keyloggery jsou zaměřeny na špehování důvěrných dat, měli byste se uchýlit k následujícími způsoby bezpečnostní:

Použití jednorázových hesel/dvoufaktorové ověřování

Použití proaktivních obranných systémů, který umožňuje upozornit uživatele na instalaci/aktivaci programů keyloggeru

Používání virtuální klávesnice , který představuje klávesnici na obrazovce jako obrázek, vám umožňuje chránit se před softwarovými i hardwarovými špiony.

Nalezení a odstranění keyloggerů

Jaké jsou způsoby, jak se chránit před tímto zlým duchem?

• Žádný antivirový program
• Nástroje s mechanismy pro vyhledávání signatur a heuristickým vyhledáváním (například AVZ).
• Nástroje a programy zaměřené na detekci keyloggerů a blokování jejich práce. Tento způsob ochrany je nejúčinnější, protože tento software zpravidla blokuje téměř všechny typy keyloggerů.

Stojí za zmínku, že software zaměřený na zachycení keyloggerů má dvě funkce: software tohoto druhu je většinou placený a ruský jazyk je přítomen zřídka.

Například anglický bezplatný software Advanced Spyware Remover odstraňuje reklamní programy, dialery, spyware, keyloggery atd.

Instalace je standardní, měli byste kliknout na „Další“, je těžké udělat chybu. Po instalaci budete vyzváni ke spuštění programu. Chcete-li skenovat, klikněte na „Skenovat nyní“.

Je však třeba poznamenat, že program nebyl aktualizován již 3 roky.

Obecně tento program kontroluje systémový registr na přítomnost klíčů v něm malware. Utilita má nějaké funkčnost, což vám umožní zobrazit seznam načtených programů při spuštění operační systém(„HiJack Scan→Startup“), zobrazení seznamu služeb, zobrazení aktivních portů, zobrazení „cookies“ internet Explorer atd. Po skenování se zobrazí podobné okno:

Pokud dáváte pozor na něco čerstvějšího, můžete použít Spyware Terminator 2012 (i když ne zdarma). Nástroj je schopen detekovat a odstranit téměř všechny typy malwaru. Vestavěný bezpečnostní systém aktivuje ochranu aplikací a systému a monitoruje nástroje, které přímo interagují se sítí.

• zachycení Schránka,
• zachycení stisku kláves,
• zachycení textu z oken

a mnohem víc. Anti-keylogger nepoužívá databáze signatur, protože je založen pouze na heuristických algoritmech. Anti-keylogger je schopen chránit před cílenými útoky, které jsou velmi nebezpečné a oblíbené mezi kyberzločinci. Je zvláště účinný v boji proti keyloggerům založeným na použití pastí, cyklického dotazování a ovladače filtru klávesnice.

Anti-keylogger má bezplatnou možnost, omezenou dobou používání - 10 pracovních sezení, z nichž každá trvá 2 hodiny, což je docela dost na kontrolu vašeho PC najednou.

Takže, co máme:

1. Keyloggery jsou prodávány jako legitimní software, ale mnohé z nich lze použít ke krádeži osobních údajů uživatelů.
2. Dnes se keyloggery spolu s phishingem atd. staly jednou z hlavních metod elektronických podvodů.
3. Došlo ke zvýšení počtu malwaru s funkcí keyloggeru.
4. Distribuce softwarových keyloggerů založených na technologiích rootkit, které je činí neviditelnými pro uživatele a antivirové skenery.
5. Detekce špionáže pomocí keyloggerů vyžaduje použití specializovaných bezpečnostních nástrojů.
6. Potřeba víceúrovňové ochrany (antivirové produkty s funkcí detekce nebezpečného softwaru, nástroje proaktivní ochrany, virtuální klávesnice).

Zanechte svůj komentář!

Rozličný spyware jsou nezbytné v podmínkách, kdy má mnoho lidí přístup k jednomu počítači.

Za těchto okolností může uživatel chtít vědět, které stránky navštívily z jeho počítače (například děti), zda nebyly odcizeny kreditní karty pomocí uložených hesel atd. K objasnění těchto problémů bude nutné.

Naše recenze vám umožní vybrat si tu nejlepší.

Vlastnosti dle výběru

Co je to vlastně keylogger? Jedná se o program, který, přísně vzato, přímo nesouvisí s klávesnicí.

Je nainstalován v paměti počítače a funguje. Známky jeho činnosti často nejsou na počítači viditelné, pokud je konkrétně nevyhledáváte.

Takový program nepřímo interaguje s klávesnicí, to znamená, že spolupracuje s programem na PC, který převádí signály přijaté procesorem v důsledku stisku tlačítek na text při tisku.

To znamená, že činnost takového softwaru je zaměřena na sběr informací zadaných pomocí klávesnice.

Existují takové nástroje odlišné typy– pomocí některých můžete zobrazit veškerý text napsaný z klávesnice, u jiných pouze to, co bylo napsáno v prohlížeči nebo v libovolné vybrané aplikaci.

Některé programy poskytují možnost konfigurovat takové indikátory, jiné ne.

Liší se od sebe také stupněm utajení. Například aktivita některých je zřejmá, na Ploše zůstává zástupce atd., např programy jsou vhodné pro sledování činnosti např. dětí.

Stopy přítomnosti a aktivity ostatních nejsou vůbec patrné - působí skrytě a jsou vhodné pro instalaci na počítač někoho jiného, ​​když je třeba skutečnost instalace skrýt před uživatelem třetí strany.

Vzhledem k takové rozmanitosti může být výběr nejvhodnějšího softwaru poměrně obtížný.

V tento materiál TOP prezentováno nejlepší programy, které lze k tomuto účelu použít. Je snazší si mezi nimi vybrat ten správný.

Specifikace

Pro zjednodušení procesu výběru softwaru jsou v tabulce níže uvedeny hlavní srovnávací charakteristiky všech programů zařazených do TOP.

název	Typ licence	Typ shromažďovaných informací	Funkční	Design
SC-KeyLog	Zdarma	Všechno	Široký	Zjednodušený
WideStep Handy Keylogger	Zdarma/Placené	Všechno	Široký	Vylepšené
Skutečný špión	Zaplaceno	Všechno	Velmi široký	Standard
EliteKeylogger	Zaplaceno	Všechno	Široký	Standard
Krysa!	Zdarma/Placené	Méně než předchozí	Docela široký	Neestetické
SPYGO	Zdarma	V závislosti na verzi	V závislosti na verzi	Standardní vzhled Windows
Ardamax Keylogger 2.9	Zdarma	Z klávesnice	Zúžené	Zjednodušený
Osobní monitor NS Keylogger 3.8	Zdarma	Všechno	Zúžené	Zjednodušený
špion KGB	Zaplaceno	Z klávesnice + otevřené programy	Úzký	Jednoduchý
Golden Keylogger 1.32	Zdarma	Z klávesnice	Velmi úzké	Jednoduchý

Na základě charakteristik z této tabulky je snadné vybrat program, který nejlépe vyhovuje vašim konkrétním požadavkům.

Tyto nástroje jsou podrobněji popsány níže.

SC-KeyLog

Jedná se o objemný a funkční špionážní program, který je distribuován zdarma.

Kromě specifického sledování informací zadávaných z klávesnice je také schopen shromažďovat adresy navštívených stránek, hesla, otevřená okna v prohlížeči.

Dává úplné informace o všech akcích provedených na počítači. V tomto případě lze vygenerovaný soubor prohlížet vzdáleně z jiného zařízení.

• Příležitost vzdálený přístup do souboru z jiného zařízení;
• Žádné stopy po činnosti programu na počítači se správným nastavením;
• Rozmanitost shromážděných dat – informace o téměř všech akcích na PC jsou přístupné.

• Ukládá hesla pouze do NT0;
• Příliš jednoduché menu a neestetický design;
• Poněkud nepohodlný formát pro zobrazení výsledku.

Co říkají uživatelé, kteří tento software aktivně používají? "Pro uživatele absolutně neviditelné", "Data pravidelně přicházejí e-mailem."

WideStep Handy Keylogger

Tato aplikace je distribuována zdarma. Plná placená verze stojí 35 USD.

Docela zajímavý a funkční program, který za ty peníze stojí, pokud jste ochotni za něj zaplatit.

Výrazná vlastnost– schopnost posílat zaznamenaná data ve stanovené frekvenci. Jinak funguje dobře, často stabilnější než jiné programy na tomto seznamu.

• Shromažďování různých typů informací;
• Úplná neviditelnost práce na počítači uživatele;
• Jednoduché rozhraní a ovládání.

• Design je lepší než předchozí program, ale stále není skvělý;
• Formát zobrazení výsledků je nepohodlný;
• Placená verze je poměrně drahá.

Názory uživatelů na tento software jsou následující: „Pohodlný, jednoduchý a funkční program. Při práci zcela neviditelný."

Skutečný špión

Je funkční a propracovaný placený program stojí 600 rublů. Má však demo verzi, která je zdarma.

Funkce tohoto softwaru– schopnost v daném časovém období.

To pomáhá vyřešit problém se zadáním grafického hesla/klíče, které Nedávno se začala široce šířit.

• Mnoho typů shromážděných informací plus možnost pořizovat snímky obrazovky z obrazovky během určeného období;
• Velké množství dalších doplňkové funkce a vlastnosti;
• Zaznamenává nejen akce, ale také čas, kdy byly provedeny;
• Zašifruje vygenerovaný protokol.

• Délka práce (sběru informací) v bezplatné demo verzi je 40 minut;
• Placená distribuce, i když víceméně rozumná cena;
• Hmotnost programu je poměrně velká.

Uživatelské recenze o tato aplikace jsou: „Program je vynikající. Výborně programátoři!"

EliteKeylogger

Placený program s dostatkem za vysokou cenu – 69 dolarů. Na PC v nízkoúrovňovém režimu funguje zcela nezjistitelně, takže je téměř zcela nedetekovatelný.

Zajímavá a pohodlná funkce– automatické spouštění softwaru, ke kterému dochází současně se spuštěním samotného systému.

Je obtížné ho odhalit nebo vůbec nedetekovat i speciálními antikeyloggery.

• Zcela skrytá akce a obtížně zjistitelná;
• Nízkoúrovňový operační formát ovladače a automatické spouštění při spouštění systému;
• Sleduje také stisk nejen hlavních, ale i servisních kláves na klávesnici.

• Poměrně složitý systém pro instalaci programu na PC;
• Program je drahý, ale na ruském internetu najdete starou hacknutou verzi;
• Poměrně složitý systém individuálního nastavení programu, který se však ospravedlňuje.

Co o tomto softwaru říkají uživatelé? "Dobrý program", "Kousek od Jetloggeru."

Krysa!

Docela běžná a oblíbená, funkční utilita s placenou licencí.

Pro soukromé použití je však po omezenou dobu poskytována bezplatná demoverze.

Program je velmi jednoduchý– každý pokročilý uživatel může napsat totéž. Je však zcela nezjistitelný antiviry a speciální programy detekce takového softwaru.

• Jednoduchost, funkčnost a vysoká stabilita;
• Minimální hmotnost souboru a jím obsazený prostor v počítači;
• Poměrně hodně nastavení.

• Poněkud nepříjemný design, vyrobený v černé, bílé a červené;
• Funkčnost je poněkud užší než u výše popsaných programů;
• Nepohodlné prohlížení logu a celkově nepohodlné rozhraní a použití.

Uživatelé o tomto programu říkají následující: „Funguje stabilně, ale je trochu jednoduchý,“ „Program je dobrý, umožňuje vám sbírat data bez povšimnutí.“

SPYGO

Toto je zásadně nový keylogger, navržený pro práci a vyvinutý ruským programátorem.

Keylogger je program, který čte stisknuté klávesy a ukládá je do souboru. V budoucnu si můžete prohlédnout, co dotyčný napsal na počítači, jaké zprávy napsal a jaká hesla zadal. Jiný název pro keylogger je keylogger, z anglického „keylogger“, což doslova znamená „tlačítko pro nahrávání“.

V programu NeoSpy je funkce keylogger standardně povolena, v tomto režimu program zaznamenává text, kombinace klávesových zkratek a hesla zadávaná na klávesnici. Správa nastavení keyloggeru se nachází v menu "Nastavení sledování" - "Záznam protokolu" - "Klávesnice". Můžete si vybrat jeden ze dvou provozních režimů programu: standardní a alternativní. Standardní možnost se doporučuje použít v 99 % případů, ale v případě konfliktu s vaším antivirem software můžete povolit režim alt.

Nastavení keyloggeru

Protokol klávesnice je vždy zaznamenán v plném formátu, včetně servisních klíčů. Příklad takové klády je vidět na obrázku. Při prohlížení sestavy můžete vypnout zobrazení netisknutelné znaky a zobrazit protokol jako jednoduchý text, přístupnější pro bezplatné čtení.

Příklad keyloggeru

Pro snazší práci se sestavami jsou zadaná hesla zvýrazněna v seznamu stisknutých kláves. Můžete tak zjistit hesla svého dítěte a v případě potřeby ho ochránit před nechtěnými známostmi. Pokud se v podniku používá program NeoSpy ke sledování zaměstnanců, pak je shromažďování osobních údajů a korespondence zakázáno legislativou většiny zemí, proto musí být tato možnost zakázána, nebo musí být zaměstnanec písemně upozorněn na kontrolu ze strany vedení a nepřípustnost používání počítače v organizaci pro osobní korespondenci.

Kdo z nás se alespoň jednou nechtěl cítit jako cool hacker a rozbít alespoň něco? :) I kdyby ne, tak si povíme, jak skvělé by bylo získat heslo z vaší pošty/sociální sítě. síť přítele, manželky/manžela, spolubydlícího si alespoň jednou každý myslel. :) Jo a někde se začít musí, koneckonců! Významná část útoků (hacking) zahrnuje infikování počítače oběti takzvanými keyloggery (spyware).

V dnešním článku si tedy povíme, co to je bezplatné programy k monitorování počítačů na bázi oken , kde si můžete stáhnout jejich plné verze, jak jimi infikovat počítač oběti a jaké jsou vlastnosti jejich použití.

Nejprve ale malý úvod.

Co jsou keyloggery a proč jsou potřeba?

Myslím, že jste sami uhodli, co to je. Zpravidla se jedná o druh programu, který je skrytý (i když tomu tak není vždy) nainstalovaný na počítači oběti, po kterém zaznamenává absolutně všechny úhozy na tomto uzlu. Kromě samotných kliknutí se navíc obvykle zaznamenává: datum a čas kliknutí (akce) a program, ve kterém byly tyto akce provedeny (prohlížeč včetně adresy webu (hurá, hned vidíme, jaká hesla jsou pro!); místní aplikace; systémové služby (včetně přihlašovacích hesel Windows) atd.).

Odtud je jeden z problémů okamžitě viditelný: na pár minut jsem získal přístup k počítači své sousedky a chci získat její heslo od VK! Nainstaloval jsem zázračný program a vrátil počítač. Jak mohu později vyhledat hesla? Hledáte způsob, jak jí znovu vzít počítač? Dobrá zpráva je: obvykle ne. Většina keyloggerů je schopna nejen ukládat celou nashromážděnou databázi akcí lokálně, ale také ji odesílat na dálku. Existuje mnoho možností pro odesílání protokolů:

• Nejpohodlnější možností je pevný e-mail (může jich být několik);
• FTP server (kdo ho má);
• SMB server (exotický a nepříliš pohodlný).
• Pevný flash disk (vložíte jej do USB portu počítače oběti a všechny protokoly se tam automaticky zkopírují v neviditelném režimu!).

Proč je to všechno potřeba? Myslím, že odpověď je zřejmá. Kromě banálního krádeže hesel mohou některé keyloggery dělat řadu dalších pěkných věcí:

• Protokolování korespondence na určených sociálních sítích. sítě nebo instant messenger (například Skype).
• Pořizování snímků obrazovky.
• Zobrazení/zachycení dat z webové kamery (což může být velmi zajímavé).

Jak používat keyloggery?

A to je těžká otázka. Musíte pochopit, že jen najít pohodlný, funkční a dobrý keylogger nestačí.

Tak, co je potřeba k úspěšnému fungování špionážního programu?:

• Administrátorský přístup ke vzdálenému počítači.
  Navíc to nutně neznamená fyzický přístup. Můžete k němu snadno přistupovat prostřednictvím RDP (Remote Desktop Service); TeamViewer; AmmyAdmin atd.
  S tímto bodem jsou zpravidla spojeny největší potíže. Nedávno jsem však psal článek o tom, jak získat administrátorská práva ve Windows.
• Anonymní e-mail / ftp (podle kterého nebudete identifikováni).
  Samozřejmě, pokud lámete tetu Shuru pro svého souseda, můžete tento bod klidně vynechat. Stejně jako v případě, že máte počítač oběti vždy po ruce (ala, zjistěte hesla svého bratra/sestra).
• Nedostatek funkčních antivirů / vnitřní systémy Ochrana Windows.
  Většinu veřejných keyloggerů (o kterých bude pojednáno níže) zná převážná většina antivirového softwaru (ačkoli existují protokolovací viry, které jsou zabudovány v jádře OS nebo v ovladači systému, a antiviry je již nemohou detekovat nebo zničit, i když mají detekoval je). Vzhledem k výše uvedenému bude muset být antivirový software, pokud existuje, nemilosrdně zničen. Kromě antivirů systémy jako Windows Defender(ty se poprvé objevily ve Windows 7 a novějších). Detekují podezřelou aktivitu v softwaru běžícím na počítači. Na Googlu snadno najdete informace, jak se jich zbavit.

To jsou možná všechny nezbytné a dostatečné podmínky pro váš úspěch na poli krádeží cizích hesel / korespondence / fotografií nebo čehokoli jiného, ​​do čeho chcete zasáhnout.

Jaké typy spywaru existují a kde je mohu stáhnout?

Začněme tedy s přehledem hlavních keyloggerů, které jsem používal ve své každodenní praxi, s odkazy na jejich stažení zdarma plné verze(tzn. všechny verze jsou v tuto chvíli nejnovější (na které je možné najít lék) a s již fungujícími a otestovanými trhlinami).

0. Krysa!

Hodnocení (z 10):

• Stealth: 10
• Pohodlí/použitelnost: 9
• Funkčnost: 8

Je to prostě bomba, ne keylogger! V funkčním stavu to trvá 15-20 KB. Proč se divit: je celý napsaný v assembleru (veteránští programátoři roní slzy) a napsaný většinou nadšenými hackery, díky čemuž je úroveň jeho utajení prostě úžasná: funguje na úrovni jádra OS!

Balíček navíc obsahuje FileConnector – miniprogram, který vám umožní propojit tento keylogger s naprosto jakýmkoliv programem. Výsledkem je, že získáte nové exe téměř stejné velikosti a po spuštění funguje přesně jako program, se kterým jste ho slepili! Ale po prvním spuštění se váš keylogger automaticky nainstaluje v neviditelném režimu s parametry pro odesílání protokolů, které jste předtím zadali. Pohodlné, že?

Skvělá příležitost pro sociální inženýrství(přineste soubor/prezentaci hry kamarádovi na flash disku, nebo i jen dokument ve Wordu (jak vytvořit exe soubor, který spustí konkrétní word/excel soubor, vám řeknu v některém z mých dalších článků), spusťte to, všechno je dobré a úžasné, ale přítel je již neviditelně infikován!). Nebo jednoduše pošlete tento soubor příteli poštou (nejlépe odkaz na jeho stažení, protože moderní poštovní servery zakazují odesílání exe souborů). Při instalaci samozřejmě stále existuje riziko od antivirů (to ale po instalaci nebude existovat).

Mimochodem, pomocí některých dalších technik můžete slepit jakoukoli distribuci dohromady skrytá instalace(ty jsou k dispozici v Keyloggeru The Rat! a Elite) nejen s exe soubory (které stále vzbuzují podezření mezi více či méně pokročilými uživateli), ale také s běžnými soubory word / excel a dokonce i pdf! Nikdo si nikdy nic nemyslí o jednoduchém pdf, ale není tomu tak! :) Jak se to dělá, je téma na celý samostatný článek. Ti, kteří jsou obzvlášť horliví, mi mohou psát otázky prostřednictvím formuláře pro zpětnou vazbu. ;)

Celkově vzato, The Rat! se dá popsat velmi dlouho a hodně. Tohle se povedlo mnohem lépe než mně. Je tam i odkaz ke stažení.

1. Elitní keylogger

Hodnocení (z 10):

• Stealth: 10
• Pohodlí/použitelnost: 9
• Funkčnost: 8

Možná jeden z nejlepších keyloggerů, jaký byl kdy vytvořen. Jeho schopnosti, kromě standardní sady (zachycení všech kliknutí v kontextu aplikací / oken / stránek), zahrnují odposlech zpráv instant messenger, obrázky z webové kamery a také - což je VELMI důležité! - zachycení hesel služby WinLogon. Jinými slovy, zachycuje přihlašovací hesla Windows (včetně doménových!). To bylo možné díky jeho práci na úrovni systémového ovladače a spouštění dokonce ve fázi spouštění OS. Kvůli stejné funkci zůstává tento program zcela neviditelný jak pro Kasperosky, tak pro veškerý další antimalwarový software. Upřímně řečeno, nesetkal jsem se s jediným keyloggerem schopným tohoto.

Neměli byste se však příliš klamat. Samotný instalátor je antiviry rozpoznán velmi snadno a k jeho instalaci budete potřebovat administrátorská práva a deaktivaci všech antivirových služeb. Po instalaci bude v každém případě vše perfektně fungovat.

Popisovaná funkce (fungující na úrovni jádra OS) navíc zavádí požadavky na verzi OS, na které budou keyloggery fungovat. Verze 5-5.3 (odkazy jsou uvedeny níže) podporuje vše až po Windows 7 včetně. Vyhrajte také 8/10 rodina oken server (2003 / 2008 / 2012) již nejsou podporovány. Existuje verze 6, která funguje perfektně, vč. na win 8 a 10 ale momentálně není možné najít cracknutou verzi. Pravděpodobně se objeví v budoucnu. Mezitím si můžete stáhnout Elite keylogger 5.3 z výše uvedeného odkazu.

Neexistuje režim síťového provozu, proto není vhodný pro použití zaměstnavateli (ke sledování počítačů svých zaměstnanců) nebo celou skupinou lidí.

Důležitým bodem je možnost vytvořit instalační distribuci s předdefinovaným nastavením (například se zadanou e-mailovou adresou, kam bude třeba zasílat protokoly). Zároveň na konci dostanete distribuční kit, který po spuštění nezobrazuje absolutně žádná varování ani okna a po instalaci se může i sám zničit (pokud zaškrtnete příslušnou volbu).

Několik snímků obrazovky verze 5 (ukázat, jak krásné a pohodlné je vše):

2. All-in-one keylogger.

Hodnocení (z 10):

• Stealth: 3
• Pohodlí/použitelnost: 9
• Funkčnost: 8

Je to také velmi, velmi pohodlná věc. Funkčnost je zcela na úrovni Elite keyloggeru. S utajením je to horší. Hesla Winlogon již nejsou zachycována, není to ovladač a není zabudováno do jádra. Instaluje se však do systémových a skrytých adresářů AppData, do kterých není tak snadné se dostat neoprávněným uživatelům(ne těm, jejichž jménem byl instalován). Nicméně antiviry to dříve nebo později úspěšně dělají, což dělá tuto věc méně spolehlivou a bezpečnou při použití například v práci ke špehování vlastních nadřízených. ;) Přilepit to k něčemu nebo zašifrovat kód, aby se to skrylo před antiviry, nebude fungovat.

Funguje na jakékoli verzi Win OS (což je pěkné a praktické).

Pokud jde o zbytek, vše je v pořádku: vše loguje (kromě přihlašovacích hesel Windows), posílá kamkoli (včetně e-mailu, ftp, pevného flash disku). Pokud jde o pohodlí, vše je také vynikající.

3. Spytech SpyAgent.

Hodnocení (z 10):

• Stealth: 4
• Pohodlí/použitelnost: 8
• Funkčnost: 10

Také dobrý keylogger, i když s pochybným utajením. Podporované verze OS jsou také možné. Funkce je podobná předchozím možnostem. Zajímavá je autodestrukční funkce po určité době (nebo po dosažení předem určeného data).

Navíc je možné nahrávat video z webkamery a zvuk z mikrofonu, což může být také velmi oblíbené a které předchozí dva zástupci nemají.

Existuje síťový režim provozu, který je vhodný pro monitorování celé sítě počítačů. Ten má mimochodem StaffCop (není zařazen do recenze z důvodu zbytečnosti pro jednoho uživatele - jednotlivce). Možná je tento program ideální pro zaměstnavatele ke špehování svých zaměstnanců (ačkoliv lídry v této oblasti jsou bezpodmínečně StaffCop a LanAgent – ​​pokud jste právnická osoba, určitě se podívejte jejich směrem). Nebo sledovat své potomky, kteří rádi sedí a sledují „stránky pro dospělé“. Tito. kde není potřeba skrytí, ale pohodlí (včetně hromady krásných protokolů atd.) a funkčnost pro blokování konkrétních stránek/programů (má to i SpyAgent).

4. Osobní monitor Spyrix.

Hodnocení (z 10):

• Stealth: 4
• Pohodlí/použitelnost: 6
• Funkčnost: 10

Funkčnost je na úrovni předchozího kandidáta, ale stejné problémy s utajením. Funkce navíc zahrnuje zajímavou věc: kopírování souborů z USB disků vložených do počítače a také vzdálené prohlížení logů přes webový účet na webu Spyrix (my se ale chystáme stahovat cracknutou verzi, takže nebude pracovat pro nás).

5. Osobní monitor Spyrix.

Hodnocení (z 10):

• Stealth: 3
• Pohodlí/použitelnost: 6
• Funkčnost: 8

Nebudu to podrobně popisovat, protože... tuto kopii nemá nic, co by jeden z předchozích špionů neměl, nicméně někomu se tento keylogger může líbit (alespoň pro jeho rozhraní).

S čím skončíme?

Otázka používání keyloggeru je spíše etická než technická a velmi závisí na vašich cílech.

Pokud jste zaměstnavatel, který chce kontrolovat své zaměstnance, klidně si založte StaffCop, vyzvedněte si písemné povolení od všech zaměstnanců k takovému jednání (jinak vám mohou být takové věci vážně účtovány) a práce je v pytli. I když osobně vím víc efektivní způsoby zvyšování výkonnosti svých zaměstnanců.

Pokud jste začínající IT specialista, který si chce jen vyzkoušet, jaké to je někoho zlomit – a jak tato věc obecně funguje, pak se vyzbrojte metodami sociálního inženýrství a proveďte testy na svých přátelích pomocí některého z uvedených příkladů. Pamatujte však: odhalení takové činnosti oběťmi nepřispívá k přátelství a dlouhověkosti. ;) A tohle byste ve své práci rozhodně neměli testovat. Označte má slova: Mám s tím zkušenost. ;)

Pokud je vaším cílem špehovat svého přítele, manžela, souseda nebo to možná dokonce děláte pravidelně a za peníze, dobře si rozmyslete, zda vám to za to stojí. Koneckonců, dříve nebo později mohou zaujmout. A nestojí to za to: „hrabat se ve špinavém prádle někoho jiného není příjemné potěšení“. Pokud stále potřebujete (nebo možná pracujete v oblasti vyšetřování počítačových zločinů a takové úkoly jsou součástí vašich profesních povinností), pak máte jen dvě možnosti: Krysa! a Elite Keylogger. V režimu skrytých instalačních distribucí, slepených word / excel / pdf. A je lepší, pokud je to možné, zašifrovat pomocí nového kryptoru. Pouze v tomto případě můžeme zaručit bezpečnější aktivity a skutečný úspěch.

Ale v každém případě stojí za to připomenout, že kompetentní použití keyloggerů je pouze jedním malým článkem k dosažení cíle (včetně i jednoduchého útoku). Ne vždy máte práva správce, ne vždy máte fyzický přístup a ne všichni uživatelé budou otevírat, číst a ještě více stahovat vaše přílohy/odkazy (ahoj sociální inženýrství), antivirus nebude vždy vypnutý /váš keylogger/cryptor jim nebude vždy neznámý . Všechny tyto a mnohé nevyřčené problémy lze vyřešit, ale jejich řešení je tématem celé série samostatných článků.

Jedním slovem, právě jste se začali ponořit do komplexu, nebezpečného, ​​ale šíleně zajímavý svět informační bezpečnost. :)

S pozdravem,Lysjak A.S.

Svět hackerů lze rozdělit do tří skupin útočníků:

1) „Skids“ (script kiddies) – malí začínající hackeři, kteří shromažďují známé kousky kódu a utilit a používají je k vytvoření jednoduchého malwaru.

2) „Kupující“ jsou bezohlední podnikatelé, teenageři a další hledači vzrušení. Nakupují na internetu služby pro psaní takového softwaru, shromažďují s jeho pomocí různé soukromé informace a případně je dále prodávají.

3) „Black Hat Coders“ – programovací guru a odborníci na architekturu. Zapisují kód do poznámkového bloku a vyvíjejí nové exploity od nuly.

Může se někdo s dobrými znalostmi programování stát tím posledním? Nemyslím si, že začnete vytvářet něco jako regin (odkaz) poté, co absolvujete několik sezení DEFCON. Na druhou stranu se domnívám, že pracovník informační bezpečnosti by měl ovládat některé koncepty, na kterých je malware postaven.

Proč pracovníci informační bezpečnosti potřebují tyto pochybné dovednosti?

Poznej svého nepřítele. Jak jsme diskutovali na blogu Inside Out, musíte myslet jako pachatel, abyste ho zastavili. Jsem specialista na informační bezpečnost ve Varonis a podle mých zkušeností budete v tomto řemesle silnější, pokud pochopíte, jaké pohyby útočník udělá. Rozhodl jsem se tedy zahájit sérii příspěvků o podrobnostech, které stojí za malwarem, ao různých skupinách hackerských nástrojů. Jakmile si uvědomíte, jak snadné je vytvořit nezjistitelný software, možná budete chtít přehodnotit zásady zabezpečení vašeho podniku. Nyní podrobněji.

Pro tuto neformální třídu „hacking 101“ potřebujete určité znalosti programování (C# a java) a základní znalosti architektury Windows. Mějte na paměti, že ve skutečnosti je malware napsán v C/C++/Delphi, aby nebyl závislý na frameworkech.

Keylogger

Keylogger je software nebo nějaký druh fyzického zařízení, které dokáže zachytit a zapamatovat si stisknutí kláves na kompromitovaném počítači. To lze považovat za digitální past na každý stisk klávesy na klávesnici.
Tato funkce je často implementována v jiném, složitějším softwaru, například trojských koních (Remote Access Trojans RATS), které zajišťují doručení zachycených dat zpět útočníkovi. Existují také hardwarové keyloggery, ale ty jsou méně obvyklé, protože... vyžadují přímý fyzický přístup ke stroji.

Vytváření základních funkcí keyloggeru je však poměrně snadné naprogramovat. VAROVÁNÍ. Pokud chcete vyzkoušet kteroukoli z následujících možností, ujistěte se, že máte oprávnění a nenarušujete stávající prostředí, a je nejlepší to vše udělat na izolovaném virtuálním počítači. Dále, tento kód nebude optimalizován, jen vám ukážu řádky kódu, které mohou úkol splnit, není to nejelegantnější ani nejoptimálnější způsob. A nakonec vám neřeknu, jak udělat keylogger odolný proti restartu nebo se pokusit, aby byl zcela nezjistitelný pomocí speciálních programovacích technik, stejně jako ochranu před smazáním, i když je detekován.

Pro připojení ke klávesnici stačí použít 2 řádky v C#:

1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

Další informace o funkci GetAsyncKeyState naleznete na webu MSDN:

Pro pochopení: tato funkce určuje, zda bylo tlačítko stisknuto nebo uvolněno v době hovoru a zda bylo stisknuto po předchozím hovoru. Nyní neustále voláme tuto funkci pro příjem dat z klávesnice:

1. while (true) 2. ( 3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Co se tam děje? Tato smyčka bude dotazovat každý klíč každých 100 ms, aby určila jeho stav. Pokud je jeden z nich stisknut (nebo byl stisknut), na konzole se o tom zobrazí zpráva. V reálném životě jsou tato data uložena do vyrovnávací paměti a odeslána útočníkovi.

Chytrý keylogger

Počkejte, má nějaký smysl snažit se odstranit všechny informace ze všech aplikací?
Výše uvedený kód stahuje nezpracovaný vstup z klávesnice z jakéhokoli okna a vstupního pole, které je aktuálně aktivní. Pokud jsou vaším cílem čísla a hesla kreditních karet, pak tento přístup není příliš efektivní. Pro scénáře reálného světa, kdy jsou takové keyloggery spouštěny na stovkách nebo tisících počítačů, může být následná analýza dat velmi dlouhá a nakonec bezvýznamná, protože Informace cenné pro útočníka mohou být v té době zastaralé.

Předpokládejme, že chci získat přihlašovací údaje k Facebooku nebo Gmailu k prodeji lajků. Pak nový nápad– aktivovat keylogging pouze v případě, že je aktivní okno prohlížeče a v názvu stránky je slovo Gmail nebo facebook. Použitím této metody zvyšujem šance na získání přihlašovacích údajů.

Druhá verze kódu:

1. while (true) 2. ( 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if (line.Contains("Gmail")|| line.Contains("Facebook - Přihlášení nebo registrace")) 8. ( 9. //kontrola klávesnice 10. ) 11. ) 12. Thread.Sleep(100); 13.)

Tento fragment detekuje aktivní okno každých 100 ms. To se provádí pomocí funkce GetForegroundWindow (více informací na MSDN). Název stránky je uložen v proměnné buff, pokud obsahuje gmail nebo facebook, pak se zavolá fragment skenování klávesnice.

Tímto jsme zajistili, že klávesnice je skenována pouze při otevřeném okně prohlížeče na stránkách facebook a gmail.

Ještě chytřejší keylogger

Předpokládejme, že útočníkovi se podařilo získat data pomocí kódu podobného tomu našemu. Předpokládejme také, že je dostatečně ambiciózní, aby infikoval desítky nebo stovky tisíc strojů. Výsledek: obrovský soubor s gigabajty textu, ve kterém je ještě potřeba najít potřebné informace. Je čas seznámit se s regulárními výrazy nebo regulárním výrazem. To je něco jako minijazyk pro vytváření určitých šablon a skenování textu pro shodu s danými šablonami. Více se dozvíte zde.

Pro zjednodušení dám rovnou hotové výrazy, které odpovídají přihlašovacím jménům a heslům:

1. //Hledám poštovní adresu 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* + \-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) ( 3)(1,3)))$ 3. 4. 5. //Hledám heslo 6. (?=^.(6,)$)(?=.*\d)(?=.*)

Tyto výrazy jsou zde jako nápověda k tomu, co lze pomocí nich udělat. Pomocí regulárních výrazů můžete vyhledávat (a najít!) jakékoli konstrukce, které mají specifický a neměnný formát, například čísla pasů, kreditních karet, Účty a dokonce i hesla.
Opravdu, regulární výrazy nejsou nejčitelnějším typem kódu, ale jsou jedním z nejlepších přátel programátora, pokud existují úlohy analýzy textu. Java, C#, JavaScript a další oblíbené jazyky již mají hotové funkce, do kterých můžete předávat regulární regulární výrazy.

Pro C# to vypadá takto:

1. Regex re = nový Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@(([\-\w]+\.)+(2,4))|(((1,3)\.) (3)(1,3)))$"); 2. Regex re2 = nový Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. řetězec email = " [e-mail chráněný]"; 4. string pass = "abcde3FG"; 5. Match result = re.Match(email); 6. Match result2 = re2.Match(pass);

Kde se první výraz (re) bude shodovat s jakýmkoli e-mailem a druhý (re2) je jakákoliv alfanumerická struktura delší než 6 znaků.

Zdarma a zcela nezjistitelné

V mém příkladu jsem použil Visual Studio - můžete použít své oblíbené prostředí - k vytvoření takového keyloggeru za 30 minut.
Pokud bych byl skutečným útočníkem, pak bych zamířil na nějaký skutečný cíl (bankovní stránky, sociální sítě atd.) a upravil kód tak, aby těmto cílům odpovídal. Samozřejmě bych také zahájil phishingovou kampaň s emailem s naším programem, pod rouškou běžného účtu nebo jiné investice.

Jedna otázka zůstává: bude takový software skutečně nezjistitelný bezpečnostními programy?

Zkompiloval jsem svůj kód a zkontroloval exe soubor na webu Virustotal. Jedná se o webový nástroj, který vypočítá hash souboru, který jste nahráli, a vyhledá jej v databázi známé viry. Překvapení! Přirozeně se nic nenašlo.

To je hlavní bod! Vždy můžete změnit kód a vyvíjet, vždy o pár kroků napřed před skenery hrozeb. Pokud jste schopni napsat svůj vlastní kód, je téměř zaručeno, že bude nezjistitelný. Celou analýzu si můžete přečíst na této stránce.

Hlavním účelem tohoto článku je ukázat, že použitím samotných antivirů nebudete schopni plně zajistit bezpečnost ve vašem podniku. K identifikaci potenciálně škodlivých akcí je potřeba důkladnější posouzení akcí všech uživatelů a dokonce i služeb.

V příštím článku ukážu, jak vytvořit skutečně nezjistitelnou verzi takového softwaru.