Ako hľadať keyloggery

Bez ohľadu na to, aké prefíkané sú keyloggery, stále ich možno odhaliť. Spôsobov je viacero.

• Hľadajte podľa podpisov

Táto metóda vám umožňuje presne určiť prítomnosť keyloggerov, správna voľba podpisy môžu znížiť pravdepodobnosť chyby na nulu. Ale skener podpisov je schopný detekovať objekty, ktoré sú už známe a popísané v jeho databáze, takže to vyžaduje, aby bola databáza veľká a neustále aktualizovaná.

• Heuristické algoritmy

Táto metóda nájde keylogger na základe jeho charakteristických vlastností a umožní vám odhaliť štandardné pasce klávesnice. Štúdie ukázali, že stovky bezpečné programy, ktoré nie sú keyloggery, nastavujú pasce na sledovanie vstupu myši a klávesnice. Napríklad známy program Punto Switcher, softvér pre multimediálne klávesnice a myši.

• Monitorovanie funkcií API používaných špiónmi

Metóda je založená na zachytení množstva funkcií používaných keyloggermi, ako sú SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState.

Sledovanie ovládačov, procesov, služieb používaných systémom

Metóda je vhodná nielen na sledovanie keyloggerov. Najjednoduchším prípadom použitia je použitie programu ako Kaspersky Inspector, ktorý monitoruje vzhľad nových súborov v systéme.

Ako sa chrániť pred keyloggermi

Známe keyloggery už boli často pridané do databázy, a preto je metóda ochrany rovnaká ako pred akýmkoľvek škodlivým softvérom:

• Inštalácia antivírusového produktu;
• Udržiavanie aktuálnej databázy.

Stojí za zmienku, že väčšina antivírusových programov klasifikuje keyloggery ako potenciálne nebezpečný softvér a tu je potrebné objasniť, že v predvolenom nastavení antivírusový produkt detekuje prítomnosť tohto typu programu. Ak nie, mali by ste vykonať nastavenia manuálne, aby ste sa ochránili pred najbežnejším spywarom.

Vo všeobecnosti, keďže keyloggery sú zamerané na špehovanie dôverných údajov, mali by ste sa k nim uchýliť nasledujúcimi spôsobmi bezpečnosť:

Použitie jednorazových hesiel/dvojfaktorovej autentifikácie

Používanie proaktívnych obranných systémov, ktorý umožňuje upozorniť používateľa na inštaláciu/aktiváciu programov keylogger

Použitie virtuálna klávesnica , ktorý predstavuje klávesnicu na obrazovke ako obrázok, vám umožňuje chrániť sa pred softvérovými aj hardvérovými špiónmi.

Nájdenie a odstránenie keyloggerov

Aké sú spôsoby, ako sa chrániť pred týmto zlým duchom?

• akýkoľvek antivírusový program
• Pomôcky s mechanizmami hľadania podpisov a heuristiky (napríklad AVZ).
• Pomôcky a programy zamerané na detekciu keyloggerov a blokovanie ich práce. Tento spôsob ochrany je najúčinnejší, pretože tento softvér spravidla blokuje takmer všetky typy keyloggerov.

Stojí za zmienku, že softvér zameraný na zachytávanie keyloggerov má dve funkcie: softvér tohto druhu je väčšinou platený a ruský jazyk je zriedkavo prítomný.

Napríklad bezplatný softvér v anglickom jazyku Advanced Spyware Remover odstraňuje reklamné programy, dialery, spyware, keyloggery atď.

Inštalácia je štandardná, mali by ste kliknúť na „Ďalej“, je ťažké urobiť chybu. Po inštalácii sa zobrazí výzva na spustenie programu. Ak chcete skenovať, kliknite na „Skenovať teraz“.

Je však potrebné poznamenať, že program nebol aktualizovaný už 3 roky.

Vo všeobecnosti tento program kontroluje systémový register na prítomnosť kľúčov v ňom malvér. Pomôcka má nejaké funkčnosť, čím vám umožní zobraziť zoznam načítaných programov pri spustení operačný systém(„HiJack Scan→Startup“), zobrazenie zoznamu služieb, zobrazenie aktívnych portov, zobrazenie „cookies“ internet Explorer atď. Po skenovaní sa zobrazí podobné okno:

Ak dávate pozor na niečo sviežejšie, môžete použiť Spyware Terminator 2012 (aj keď nie zadarmo). Nástroj je schopný odhaliť a odstrániť takmer všetky typy škodlivého softvéru. Zabudovaný bezpečnostný systém aktivuje ochranu aplikácií a systému a monitoruje nástroje, ktoré priamo interagujú so sieťou.

• odpočúvanie schránka,
• zachytávajúce stlačenia klávesov,
• zachytávanie textu z okien

a oveľa viac. Anti-keylogger nepoužíva databázy podpisov, pretože je založený iba na heuristických algoritmoch. Anti-keylogger je schopný chrániť pred cielenými útokmi, ktoré sú veľmi nebezpečné a obľúbené medzi kyberzločincami. Je obzvlášť účinný v boji proti keyloggerom založeným na použití pascí, cyklického pollingu a ovládača filtra klávesnice.

Anti-keylogger má bezplatnú možnosť, obmedzenú časom používania - 10 pracovných sedení, z ktorých každá trvá 2 hodiny, čo je celkom dosť na kontrolu počítača naraz.

Takže, čo máme:

1. Keyloggery sa predávajú ako legitímny softvér, no mnohé z nich možno použiť na odcudzenie osobných údajov používateľov.
2. Dnes sa keyloggery spolu s phishingom atď. stali jednou z hlavných metód elektronických podvodov.
3. Došlo k nárastu počtu malvéru s funkciou keylogger.
4. Distribúcia softvérových keyloggerov založených na technológiách rootkit, vďaka ktorým sú neviditeľné pre používateľa a antivírusové skenery.
5. Detekcia špionáže pomocou keyloggerov si vyžaduje použitie špecializovaných bezpečnostných nástrojov.
6. Potreba viacúrovňovej ochrany (antivírusové produkty s funkciou detekcie nebezpečného softvéru, nástroje proaktívnej ochrany, virtuálna klávesnica).

Zanechajte svoj komentár!

Rôzne spyware sú nevyhnutné v podmienkach, kde má veľa ľudí prístup k jednému počítaču.

Za týchto okolností môže používateľ chcieť vedieť, ktoré stránky navštívili z jeho počítača (napríklad deti), či boli kreditné karty odcudzené pomocou uložených hesiel atď. Na objasnenie týchto problémov bude potrebné.

Naša recenzia vám umožní urobiť tú najlepšiu voľbu.

Vlastnosti podľa výberu

Čo je to vlastne keylogger? Toto je program, ktorý, prísne vzaté, priamo nesúvisí s klávesnicou.

Je nainštalovaný v pamäti počítača a funguje. Znaky jeho činnosti často nie sú na počítači viditeľné, pokiaľ ich konkrétne nehľadáte.

Takýto program nepriamo interaguje s klávesnicou, to znamená, že pracuje s programom na PC, ktorý prevádza signály prijaté procesorom v dôsledku stláčania tlačidiel pri tlači na text.

To znamená, že činnosť takéhoto softvéru je zameraná na zhromažďovanie informácií zadaných pomocou klávesnice.

Existujú také nástroje odlišné typy– pomocou niektorých si môžete prezerať všetok text napísaný z klávesnice, s inými iba to, čo bolo napísané v prehliadači alebo v ľubovoľnej vybranej aplikácii.

Niektoré programy poskytujú možnosť konfigurácie takýchto indikátorov, iné nie.

Líšia sa od seba aj stupňom utajenia. Napríklad aktivita niektorých je zrejmá, na Ploche zostáva skratka atď., napr programy sú vhodné na sledovanie aktivít napríklad detí.

Stopy prítomnosti a aktivity iných nie sú vôbec viditeľné - pôsobia skryto a sú vhodné na inštaláciu na počítač niekoho iného, ​​keď je potrebné skryť skutočnosť, že inštalácia je pred používateľom tretej strany.

Vzhľadom na takú rozmanitosť môže byť výber najvhodnejšieho softvéru pomerne zložitý.

IN tento materiál TOP prezentované najlepšie programy, ktoré možno na tento účel použiť. Je ľahšie si medzi nimi vybrať ten správny.

technické údaje

Pre zjednodušenie procesu výberu softvéru sú v tabuľke nižšie uvedené hlavné porovnávacie charakteristiky všetkých programov zahrnutých v TOP.

názov	Typ licencie	Typ zozbieraných informácií	Funkčné	Dizajn
SC-KeyLog	Zadarmo	Všetky	Široký	Zjednodušené
WideStep Handy Keylogger	Zadarmo/Platené	Všetky	Široký	Vylepšený
Skutočný špión	Zaplatené	Všetky	Veľmi široký	Štandardné
EliteKeylogger	Zaplatené	Všetky	Široký	Štandardné
Potkan!	Zadarmo/Platené	Menej ako predchádzajúce	Dosť široké	Neestetické
SPYGO	Zadarmo	V závislosti od verzie	V závislosti od verzie	Štandardný vzhľad Windows
Ardamax Keylogger 2.9	Zadarmo	Z klávesnice	Zúžené	Zjednodušené
Osobný monitor NS Keylogger 3.8	Zadarmo	Všetky	Zúžené	Zjednodušené
špión KGB	Zaplatené	Z klávesnice + otvorené programy	Úzky	Jednoduché
Golden Keylogger 1.32	Zadarmo	Z klávesnice	Veľmi úzke	Jednoduché

Na základe charakteristík z tejto tabuľky je ľahké vybrať program, ktorý najlepšie vyhovuje vašim špecifickým požiadavkám.

Tieto nástroje sú podrobnejšie opísané nižšie.

SC-KeyLog

Ide o objemný a funkčný špionážny program, ktorý je distribuovaný bezplatne.

Okrem špecifického sledovania informácií zadávaných z klávesnice dokáže zhromažďovať aj adresy navštívených stránok, heslá, otvorené okná v prehliadači.

Dáva úplné informácie o všetkých akciách vykonaných na počítači. V tomto prípade je možné vygenerovaný súbor zobraziť na diaľku z iného zariadenia.

• Príležitosť vzdialený prístup do súboru z iného zariadenia;
• Žiadne stopy aktivity programu na počítači so správnymi nastaveniami;
• Rôznorodosť zhromaždených údajov – informácie o takmer všetkých akciách na PC sú dostupné.

• Ukladá heslá len do NT0;
• Príliš jednoduché menu a neestetický dizajn;
• Dosť nepohodlný formát na zobrazenie výsledku.

Čo hovoria používatelia, ktorí tento softvér aktívne používajú? „Absolútne neviditeľné pre používateľa“, „Údaje pravidelne prichádzajú e-mailom.“

WideStep Handy Keylogger

Táto aplikácia je distribuovaná bezplatne. Plná platená verzia stojí 35 dolárov.

Celkom zaujímavý a funkčný program, ktorý za tie peniaze stojí, ak ste ochotní zaplatiť.

Výrazná vlastnosť– schopnosť odosielať zaznamenané údaje v stanovenej frekvencii. Inak to funguje dobre, často stabilnejšie ako iné programy v tomto zozname.

• Zhromažďovanie rôznych druhov informácií;
• Úplná neviditeľnosť práce na počítači používateľa;
• Jednoduché rozhranie a ovládanie.

• Dizajn je lepší ako predchádzajúci program, ale stále nie je skvelý;
• Formát zobrazenia výsledkov je nepohodlný;
• Platená verzia je dosť drahá.

Názory používateľov na tento softvér sú nasledovné: „Pohodlný, jednoduchý a funkčný program. Pri práci celkom neviditeľný."

Skutočný špión

Je funkčný a sofistikovaný platený program stojí 600 rubľov. Má však demo verziu, ktorá je zadarmo.

Funkcia tohto softvéru– schopnosť v danom časovom období.

Pomáha to vyriešiť problém zadávania grafického hesla/kľúča, ktorý V poslednej dobe sa začali široko rozširovať.

• Mnoho typov zhromaždených informácií plus možnosť vytvárať snímky obrazovky z obrazovky počas určeného obdobia;
• Veľké množstvo ďalších doplnkové funkcie a funkcie;
• Zaznamenáva nielen akcie, ale aj čas, kedy boli vykonané;
• Zašifruje vygenerovaný protokol.

• Trvanie práce (zber informácií) v bezplatnej demo verzii je 40 minút;
• Platená distribúcia, aj keď viac-menej rozumná cena;
• Hmotnosť programu je pomerne veľká.

Používateľské recenzie o túto aplikáciu sú: „Program je vynikajúci. Výborne programátori!"

EliteKeylogger

Platený program s dostatkom za vysokú cenu - 69 dolárov. Na PC v nízkoúrovňovom režime funguje úplne nezistiteľne, vďaka čomu je takmer úplne nezistiteľný.

Zaujímavá a pohodlná funkcia– automatické spustenie softvéru, ktoré prebieha súčasne so spustením samotného systému.

Je ťažké ho odhaliť alebo vôbec nezistiť ani špeciálnymi antikeyloggermi.

• Úplne skrytá akcia a ťažko odhaliteľná;
• Nízkoúrovňový operačný formát typu ovládača a automatické spustenie pri zavádzaní systému;
• Sleduje aj stlačenia nielen hlavných, ale aj servisných kláves na klávesnici.

• Pomerne zložitý systém na inštaláciu programu na PC;
• Program je drahý, ale na ruskom internete nájdete starú hacknutú verziu;
• Pomerne zložitý systém individuálnych nastavení programu, ktorý sa však ospravedlňuje.

Čo hovoria používatelia o tomto softvéri? „Dobrý program“, „Kúsok od Jetloggera.“

Potkan!

Celkom bežná a populárna, funkčná utilita s platenou licenciou.

Na súkromné ​​použitie je však na obmedzenú dobu poskytovaná bezplatná demo verzia.

Program je veľmi jednoduchý– každý pokročilý používateľ môže napísať to isté. Je však úplne nezistiteľný antivírusmi a špeciálne programy, zisťovanie takéhoto softvéru.

• Jednoduchosť, funkčnosť a vysoká stabilita;
• Minimálna hmotnosť súboru a priestor, ktorý zaberá v počítači;
• Pomerne veľa nastavení.

• Pomerne nepríjemný dizajn vyrobený v čiernej, bielej a červenej farbe;
• Funkčnosť je o niečo užšia ako v programoch popísaných vyššie;
• Nepohodlné prezeranie denníka a celkovo nepohodlné rozhranie a používanie.

Používatelia hovoria o tomto programe: „Funguje stabilne, ale je trochu jednoduchý“, „Program je dobrý, umožňuje vám zbierať údaje bez povšimnutia.“

SPYGO

Toto je zásadne nový keylogger navrhnutý na prácu a vyvinutý ruským programátorom.

Keylogger je program, ktorý číta stlačené klávesy a ukladá ich do súboru. V budúcnosti si môžete pozrieť, čo osoba napísala na počítači, aké správy napísal a aké heslá zadal. Ďalším názvom pre keylogger je keylogger, z anglického „keylogger“, čo doslova znamená „tlačidlá nahrávania“.

V programe NeoSpy je funkcia keylogger štandardne povolená, v tomto režime program zaznamenáva text, kombinácie klávesových skratiek a heslá napísané na klávesnici. Správa nastavení keyloggeru sa nachádza v menu "Nastavenia sledovania" - "Nahrávanie denníka" - "Klávesnica". Môžete si vybrať jeden z dvoch prevádzkových režimov programu: štandardný a alternatívny. Odporúča sa použiť štandardnú možnosť v 99% prípadov, ale v prípade konfliktu s vaším antivírusom softvér môžete povoliť režim alt.

Nastavenie keyloggeru

Protokol klávesnice sa vždy zaznamenáva v plnom formáte, vrátane servisných kľúčov. Príklad takejto guľatiny je možné vidieť na obrázku. Počas prezerania prehľadu môžete vypnúť displej netlačiteľné znaky a zobraziť denník ako jednoduchý text, prístupnejší na bezplatné čítanie.

Príklad keyloggeru

Na uľahčenie práce s prehľadmi sú zadané heslá zvýraznené v zozname stlačení klávesov. Môžete tak zistiť heslá svojho dieťaťa a v prípade potreby ho ochrániť pred nechcenými známymi. Ak sa v podniku používa program NeoSpy na monitorovanie zamestnancov, potom je zhromažďovanie osobných údajov a korešpondencie zakázané legislatívou väčšiny krajín, preto musí byť táto možnosť zakázaná, alebo musí byť zamestnanec písomne ​​upozornený na kontrolu zo strany vedenia a neprípustnosť používania počítača v organizácii na osobnú korešpondenciu.

Kto z nás sa aspoň raz nechcel cítiť ako cool hacker a rozbiť aspoň niečo? :) Aj keby nie, tak sa poďme rozprávať o tom, aké by bolo skvelé získať heslo z vašej pošty/sociálnej siete. sieť priateľa, manželky/manžela, spolubývajúceho myslel aspoň raz každý. :) Áno, a niekde začať treba predsa! Významná časť útokov (hacking) zahŕňa infikovanie počítača obete takzvanými keyloggermi (spyware).

V dnešnom článku si teda povieme, čo to je bezplatné programy na monitorovanie počítačov založené na oknách , kde si môžete stiahnuť ich plné verzie, ako nimi infikovať počítač obete a aké sú vlastnosti ich použitia.

Najprv však malý úvod.

Čo sú keyloggery a prečo sú potrebné?

Myslím, že ste sami uhádli, čo to je. Spravidla ide o druh programu, ktorý je skrytý (aj keď to tak nie je vždy) nainštalovaný na počítači obete, po ktorom zaznamenáva absolútne všetky stlačenia klávesov na tomto uzle. Okrem samotných kliknutí sa navyše zvyčajne zaznamenáva: dátum a čas kliknutia (akcie) a program, v ktorom boli tieto akcie vykonané (prehliadač vrátane adresy webovej stránky (hurá, hneď vidíme, aké sú heslá sú pre!); lokálna aplikácia; systémové služby (vrátane prihlasovacích hesiel systému Windows) atď.).

Odtiaľ je okamžite viditeľný jeden z problémov: Na pár minút som získal prístup k počítaču môjho suseda a chcem získať jej heslo od VK! Nainštaloval som zázračný program a vrátil počítač. Ako môžem neskôr vyhľadať heslá? Hľadáte spôsob, ako jej znova vziať počítač? Dobrá správa je: zvyčajne nie. Väčšina keyloggerov je schopná nielen lokálne uložiť celú nahromadenú databázu akcií, ale ju aj odoslať na diaľku. Existuje veľa možností odosielania denníkov:

• Pevný e-mail (môže ich byť niekoľko) je najpohodlnejšou možnosťou;
• FTP server (kto ho má);
• SMB server (exotický a nie príliš pohodlný).
• Pevný flash disk (vložíte ho do USB portu počítača obete a všetky záznamy sa tam automaticky skopírujú v neviditeľnom režime!).

Prečo je toto všetko potrebné? Myslím, že odpoveď je jasná. Okrem banálneho kradnutia hesiel môžu niektoré keyloggery robiť množstvo ďalších pekných vecí:

• Prihlasovanie korešpondencie do určených sociálnych sietí. siete alebo instant messenger (napríklad Skype).
• Vytváranie snímok obrazovky.
• Zobrazenie/zachytenie údajov z webovej kamery (čo môže byť veľmi zaujímavé).

Ako používať keyloggery?

A to je ťažká otázka. Musíte pochopiť, že len nájsť pohodlný, funkčný a dobrý keylogger nestačí.

takže, čo je potrebné na úspešné fungovanie špionážneho programu?:

• Administrátorský prístup k vzdialenému počítaču.
  Navyše to nevyhnutne neznamená fyzický prístup. Môžete k nemu ľahko pristupovať prostredníctvom služby RDP (Remote Desktop Service); TeamViewer; AmmyAdmin atď.
  S týmto bodom sú spravidla spojené najväčšie ťažkosti. Nedávno som však napísal článok o tom, ako získať práva správcu v systéme Windows.
• Anonymný e-mail / ftp (podľa ktorého nebudete identifikovaní).
  Samozrejme, ak lámete tetu Šúru pre svojho suseda, tento bod môžete pokojne vynechať. Ako je to v prípade, ak máte počítač obete vždy po ruke (ale, zistite heslá svojho brata/sestry).
• Nedostatok fungujúcich antivírusov / interné systémy Ochrana systému Windows.
  Väčšina verejných keyloggerov (o ktorých sa bude diskutovať nižšie) je známa drvivej väčšine antivírusového softvéru (hoci existujú protokolovacie vírusy, ktoré sú zabudované v jadre OS alebo v ovládači systému a antivírusy ich už nedokážu odhaliť ani zničiť, aj keď majú zistili ich). Vzhľadom na vyššie uvedené bude musieť byť antivírusový softvér, ak existuje, nemilosrdne zničený. Okrem antivírusov sú systémy ako Ochranca systému Windows(tieto sa prvýkrát objavili v systéme Windows 7 a novších). Zisťujú podozrivú aktivitu v softvéri spustenom na počítači. Informácie o tom, ako sa ich zbaviť, nájdete jednoducho na Googli.

Toto sú možno všetky potrebné a postačujúce podmienky pre váš úspech v oblasti kradnutia cudzích hesiel / korešpondencie / fotografií alebo čohokoľvek iného, ​​do čoho chcete zasiahnuť.

Aké typy spywaru existujú a kde si ich môžem stiahnuť?

Začnime teda s prehľadom hlavných keyloggerov, ktoré som používal vo svojej každodennej praxi, odkazmi na ich bezplatné stiahnutie plné verzie(t.j. všetky verzie sú momentálne najnovšie (na ktoré je možné nájsť liek) a s už fungujúcimi a odskúšanými trhlinami).

0. Krysa!

Hodnotenia (z 10):

• Skrytosť: 10
• Pohodlie/použiteľnosť: 9
• Funkčnosť: 8

Je to proste bomba, nie keylogger! V funkčnom stave to trvá 15-20 KB. Prečo sa čudovať: je celý napísaný v jazyku symbolických inštrukcií (veteráni programátori ronia slzy) a napísaný väčšinou nadšenými hackermi, vďaka čomu je úroveň jeho utajenia jednoducho úžasná: funguje na úrovni jadra OS!

Balíček navyše obsahuje FileConnector - miniprogram, ktorý vám umožní pripojiť tento keylogger s absolútne akýmkoľvek programom. Výsledkom je, že dostanete nové exe takmer rovnakej veľkosti a po spustení funguje presne ako program, s ktorým ste ho zlepili! Ale po prvom spustení sa váš keylogger automaticky nainštaluje v neviditeľnom režime s parametrami na odosielanie protokolov, ktoré ste predtým určili. Pohodlné, nie?

Skvelá príležitosť pre sociálne inžinierstvo(prineste súbor/prezentáciu hry priateľovi na flash disku alebo hoci len dokument vo Worde (ako vytvoriť exe súbor, ktorý spustí konkrétny word/excel súbor, vám poviem v jednom z mojich ďalších článkov), spustite všetko je dobré a úžasné, ale priateľ je už neviditeľne nakazený!). Alebo jednoducho pošlete tento súbor priateľovi poštou (najlepšie odkaz na jeho stiahnutie, pretože moderné poštové servery zakazujú odosielanie exe súborov). Samozrejme, pri inštalácii stále existuje riziko z antivírusov (ale po inštalácii nebude existovať).

Mimochodom, pomocou niektorých iných techník môžete zlepiť akúkoľvek distribúciu skrytá inštalácia(tieto sú k dispozícii v Keyloggeroch The Rat! a Elite) nielen s exe súbormi (ktoré stále vyvolávajú podozrenie medzi viac či menej pokročilými používateľmi), ale aj s obyčajnými súbormi word / excel a dokonca aj pdf! Nikto si nikdy nebude myslieť o jednoduchom pdf, ale nie je to tak! :) Ako sa to robí, je téma na celý samostatný článok. Tí obzvlášť horliví mi môžu napísať otázky cez formulár spätnej väzby. ;)

Celkovo vzaté, The Rat! dá sa opísať veľmi dlho a veľa. Toto sa podarilo oveľa lepšie ako mne. Je tam aj odkaz na stiahnutie.

1. Elitný keylogger

Hodnotenia (z 10):

• Skrytosť: 10
• Pohodlie/použiteľnosť: 9
• Funkčnosť: 8

Možno jeden z najlepších keyloggerov, aký bol kedy vytvorený. Jeho schopnosti, okrem štandardnej sady (zachytenie všetkých kliknutí v kontexte aplikácií / okien / stránok), zahŕňajú odpočúvanie správ okamžitých správ, obrázky z webovej kamery a tiež - čo je VEĽMI dôležité! - zachytenie hesiel služby WinLogon. Inými slovami, zachytáva prihlasovacie heslá Windows (vrátane doménových!). Bolo to možné vďaka jeho práci na úrovni systémového ovládača a spusteniu aj vo fáze zavádzania OS. Kvôli rovnakej funkcii zostáva tento program úplne neviditeľný pre Kasperosky aj pre všetky ostatné antimalvérové ​​programy. Úprimne povedané, nestretol som sa s jediným keyloggerom, ktorý by to dokázal.

Nemali by ste sa však príliš klamať. Samotný inštalátor je antivírusmi rozpoznaný veľmi jednoducho a na jeho inštaláciu budete potrebovať administrátorské práva a vypnutie všetkých antivírusových služieb. Po inštalácii bude v každom prípade všetko perfektne fungovať.

Okrem toho opísaná funkcia (fungujúca na úrovni jadra OS) zavádza požiadavky na verziu OS, na ktorej budú keyloggery fungovať. Verzia 5-5.3 (odkazy sú uvedené nižšie) podporuje všetko až po Windows 7 vrátane. Vyhrajte tiež 8/10 rodina windows server (2003 / 2008 / 2012) už nie sú podporované. Existuje verzia 6, ktorá funguje perfektne, vrátane. na win 8 a 10 však momentálne nie je možné nájsť cracknutú verziu. Pravdepodobne sa objaví v budúcnosti. Medzitým si môžete stiahnuť Elite keylogger 5.3 z vyššie uvedeného odkazu.

Neexistuje režim sieťovej prevádzky, preto nie je vhodný na používanie zamestnávateľmi (na sledovanie počítačov svojich zamestnancov) alebo celou skupinou ľudí.

Dôležitým bodom je možnosť vytvorenia inštalačnej distribúcie s preddefinovanými nastaveniami (napríklad so zadanou e-mailovou adresou, na ktorú bude potrebné posielať protokoly). Zároveň na konci dostanete distribučnú súpravu, ktorá po spustení nezobrazuje absolútne žiadne varovania ani okná a po inštalácii sa môže dokonca zničiť (ak zaškrtnete príslušnú možnosť).

Niekoľko snímok obrazovky verzie 5 (ukázať, aké krásne a pohodlné je všetko):

2. All-in-one keylogger.

Hodnotenia (z 10):

• Skrytosť: 3
• Pohodlie/použiteľnosť: 9
• Funkčnosť: 8

Je to tiež veľmi, veľmi pohodlná vec. Funkčnosť je celkom na úrovni Elite keylogger. S utajením je to horšie. Heslá Winlogon už nie sú zachytávané, nie sú to ovládač a nie sú zabudované do jadra. Inštaluje sa však do systémových a skrytých adresárov AppData, ku ktorým sa len tak ľahko nedostanete neoprávneným používateľom(nie tým, v mene ktorých bol nainštalovaný). Napriek tomu to antivírusy skôr či neskôr úspešne urobia, vďaka čomu nie je táto vec obzvlášť spoľahlivá a bezpečná, keď sa používa napríklad v práci na špehovanie vlastných nadriadených. ;) Prilepiť to na niečo alebo zašifrovať kód, aby sa to skrylo pred antivírusmi, nebude fungovať.

Funguje na akejkoľvek verzii Win OS (čo je pekné a praktické).

Čo sa týka zvyšku, všetko je v poriadku: všetko zaprotokoluje (okrem prihlasovacích hesiel do Windowsu), pošle kamkoľvek (vrátane e-mailu, ftp, pevného disku flash). Pokiaľ ide o pohodlie, všetko je tiež vynikajúce.

3. Spytech SpyAgent.

Hodnotenia (z 10):

• Skrytosť: 4
• Pohodlie/použiteľnosť: 8
• Funkčnosť: 10

Tiež dobrý keylogger, aj keď s pochybným utajením. Podporované verzie OS sú tiež možné. Funkčnosť je podobná predchádzajúcim možnostiam. Po určitom čase (alebo po dosiahnutí vopred určeného dátumu) existuje zaujímavá funkcia samodeštrukcie.

Okrem toho je možné nahrávať video z webkamery a zvuk z mikrofónu, ktorý môže byť tiež veľmi populárny a ktorý predchádzajúci dvaja zástupcovia nemajú.

Existuje sieťový režim prevádzky, ktorý je vhodný na monitorovanie celej siete počítačov. Ten má mimochodom StaffCop (nie je zahrnutý v recenzii pre jeho zbytočnosť pre jedného užívateľa - jednotlivca). Možno je tento program ideálny pre zamestnávateľov na špehovanie svojich zamestnancov (hoci lídrami v tejto oblasti sú bezpodmienečne StaffCop a LanAgent – ​​ak ste právnická osoba, určite sa pozrite ich smerom). Alebo aby ste mali prehľad o svojich potomkoch, ktorí radi sedia a pozerajú „stránky pre dospelých“. Tie. kde nie je potrebné skrytie, ale pohodlie (vrátane množstva krásnych protokolových správ atď.) a funkčnosť na blokovanie špecifikovaných stránok/programov (má to aj SpyAgent).

4. Osobný monitor Spyrix.

Hodnotenia (z 10):

• Skrytosť: 4
• Pohodlie/použiteľnosť: 6
• Funkčnosť: 10

Funkčnosť je na úrovni predchádzajúceho kandidáta, no rovnaké problémy s utajením. Okrem toho funkcionalita zahŕňa aj zaujímavú vec: kopírovanie súborov z USB diskov vložených do počítača, ako aj vzdialené prezeranie protokolov cez webový účet na stránke Spyrix (my sa však chystáme stiahnuť cracknutú verziu, takže nebude pracovať pre nás).

5. Osobný monitor Spyrix.

Hodnotenia (z 10):

• Skrytosť: 3
• Pohodlie/použiteľnosť: 6
• Funkčnosť: 8

Nebudem to podrobne opisovať, pretože... túto kópiu nemá nič, čo jeden z predchádzajúcich špiónov nemal, no niekomu sa tento keylogger môže páčiť (aspoň pre jeho rozhranie).

S čím skončíme?

Otázka používania keyloggera je viac etická ako technická a vo veľkej miere závisí od vašich cieľov.

Ak ste zamestnávateľ, ktorý chce kontrolovať svojich zamestnancov, pokojne si zriaďte StaffCop, získajte písomné povolenie od všetkých zamestnancov na takéto konanie (inak vám môžu byť takéto veci vážne účtované) a práca je vo vreci. Aj keď osobne viem viac efektívnymi spôsobmi zvyšovanie výkonnosti svojich zamestnancov.

Ak ste začínajúci IT špecialista, ktorý si chce len vyskúšať, aké to je niekoho zlomiť – a ako to vo všeobecnosti funguje, potom sa vyzbrojte metódami sociálneho inžinierstva a vykonajte testy na svojich priateľoch pomocou ktoréhokoľvek z uvedených príkladov. Pamätajte však: odhalenie takejto činnosti obeťami neprispieva k priateľstvu a dlhovekosti. ;) A toto by ste rozhodne nemali testovať vo svojej práci. Označ moje slová: Mám s tým skúsenosti. ;)

Ak je vaším cieľom špehovať svojho priateľa, manžela, suseda, alebo to dokonca robíte pravidelne a za peniaze, dobre si premyslite, či to stojí za to. Koniec koncov, skôr či neskôr môžu upútať. A nestojí to za to: „hrabať sa v cudzej špinavej bielizni nie je príjemné potešenie“. Ak stále potrebujete (alebo možno pracujete v oblasti vyšetrovania počítačových zločinov a takéto úlohy sú súčasťou vašich profesionálnych povinností), potom sú len dve možnosti: Krysa! a Elite Keylogger. V režime skrytých inštalačných distribúcií, lepených word / excel / pdf. A je lepšie, ak je to možné, zašifrovať pomocou nového kryptora. Len v tomto prípade môžeme zaručiť bezpečnejšie aktivity a skutočný úspech.

V každom prípade je však potrebné pripomenúť, že kompetentné používanie keyloggerov je len jedným malým článkom pri dosahovaní cieľa (vrátane jednoduchého útoku). Nie vždy máte práva správcu, nie vždy máte fyzický prístup a nie všetci používatelia otvoria, prečítajú a ešte viac stiahnu vaše prílohy/odkazy (ahoj sociálne inžinierstvo), antivírus nebude vždy zakázaný /váš keylogger/cryptor im nebude vždy neznámy . Všetky tieto a mnohé nevyslovené problémy sa dajú vyriešiť, no ich riešenie je témou celej série samostatných článkov.

Jedným slovom, práve ste sa začali ponoriť do komplexu, nebezpečného, ​​ale šialeného zaujímavý svet informačná bezpečnosť. :)

s pozdravomLysyak A.S.

Hackerský svet možno rozdeliť do troch skupín útočníkov:

1) „Skids“ (script kiddies) – malí začínajúci hackeri, ktorí zbierajú dobre známe časti kódu a pomôcok a používajú ich na vytvorenie nejakého jednoduchého malvéru.

2) „Kupujúci“ sú bezohľadní podnikatelia, tínedžeri a iní vyhľadávači vzrušenia. Na internete nakupujú služby na písanie takéhoto softvéru, zbierajú s jeho pomocou rôzne súkromné ​​informácie a prípadne ho ďalej predávajú.

3) „Black Hat Coders“ – programátorskí guru a experti na architektúru. Píšu kód do poznámkového bloku a vyvíjajú nové exploity od začiatku.

Môže sa niekto s dobrými programátorskými schopnosťami stať posledným? Nemyslím si, že začnete vytvárať niečo ako regin (odkaz) po absolvovaní niekoľkých sedení DEFCON. Na druhej strane som presvedčený, že pracovník informačnej bezpečnosti by mal ovládať niektoré koncepty, na ktorých je malvér postavený.

Prečo personál informačnej bezpečnosti potrebuje tieto pochybné zručnosti?

Poznaj svojho nepriateľa. Ako sme diskutovali na blogu Inside Out, musíte myslieť ako páchateľ, aby ste ho zastavili. Som špecialista na informačnú bezpečnosť v spoločnosti Varonis a podľa mojich skúseností budete v tomto remesle silnejší, ak pochopíte, aké pohyby urobí útočník. Preto som sa rozhodol začať sériu príspevkov o detailoch, ktoré sa skrývajú za malvérom a rôznych skupinách hackerských nástrojov. Keď si uvedomíte, aké ľahké je vytvoriť nezistiteľný softvér, možno budete chcieť prehodnotiť bezpečnostné zásady vášho podniku. Teraz podrobnejšie.

Pre túto neformálnu triedu „hacking 101“ potrebujete určité znalosti programovania (C# a java) a základné znalosti architektúry Windows. Majte na pamäti, že v skutočnosti je malvér napísaný v C/C++/Delphi, aby nebol závislý od rámcov.

Keylogger

Keylogger je softvér alebo nejaký druh fyzického zariadenia, ktoré dokáže zachytiť a zapamätať si stlačenie klávesov na napadnutom počítači. Dá sa to považovať za digitálnu pascu na každý stlačený kláves na klávesnici.
Táto funkcia je často implementovaná v inom, zložitejšom softvéri, napríklad v trójskych koňoch (Remote Access Trojans RATS), ktoré zabezpečujú doručenie zachytených údajov späť útočníkovi. Existujú aj hardvérové ​​keyloggery, ale tie sú menej bežné, pretože... vyžadujú priamy fyzický prístup k stroju.

Vytvorenie základných funkcií keyloggeru je však pomerne jednoduché naprogramovať. POZOR. Ak chcete vyskúšať niektorú z nasledujúcich možností, uistite sa, že máte povolenia a nenarúšate existujúce prostredie, a najlepšie je to všetko urobiť na izolovanom virtuálnom počítači. ďalej tento kód nebude optimalizovaný, len vám ukážem riadky kódu, ktoré dokážu úlohu splniť, nie je to najelegantnejší ani optimálny spôsob. A nakoniec vám nepoviem, ako urobiť keylogger odolným voči reštartom alebo sa pokúsiť urobiť ho úplne nezistiteľným pomocou špeciálnych programovacích techník, ako aj ochranu pred vymazaním, aj keď je detekovaný.

Na pripojenie ku klávesnici stačí použiť 2 riadky v C#:

1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

Viac o funkcii GetAsyncKeyState sa môžete dozvedieť na MSDN:

Pre pochopenie: táto funkcia určuje, či bolo tlačidlo stlačené alebo uvoľnené v čase hovoru a či bolo stlačené po predchádzajúcom hovore. Teraz túto funkciu neustále voláme na príjem údajov z klávesnice:

1. while (true) 2. ( 3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Čo sa tu deje? Táto slučka bude pýtať každý kľúč každých 100 ms, aby sa určil jeho stav. Ak sa stlačí jeden z nich (alebo bol stlačený), na konzole sa o tom zobrazí správa. V reálnom živote sa tieto údaje ukladajú do vyrovnávacej pamäte a odosielajú sa útočníkovi.

Inteligentný keylogger

Počkajte, má zmysel pokúšať sa odstrániť všetky informácie zo všetkých aplikácií?
Vyššie uvedený kód stiahne nespracovaný vstup z klávesnice z akéhokoľvek okna a vstupného poľa, na ktoré sa práve zameriava. Ak sú vaším cieľom čísla a heslá kreditných kariet, potom tento prístup nie je príliš efektívny. V scenároch reálneho sveta, keď sa takéto keyloggery spúšťajú na stovkách alebo tisíckach počítačov, môže byť následná analýza údajov veľmi dlhá a v konečnom dôsledku nezmyselná, pretože Informácie cenné pre útočníka môžu byť dovtedy neaktuálne.

Predpokladajme, že chcem získať prihlasovacie údaje k Facebooku alebo Gmailu na predaj lajkov. Potom nový nápad– aktivovať keylogging iba vtedy, keď je aktívne okno prehliadača a v názve stránky je slovo Gmail alebo facebook. Použitím tejto metódy zvyšujem šance na získanie poverení.

Druhá verzia kódu:

1. while (true) 2. ( 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if (riadok.Obsahuje("Gmail")|| riadok.Obsahuje("Facebook - Prihlásiť sa alebo zaregistrovať")) 8. ( 9. //kontrola klávesnice 10. ) 11. ) 12. Vlákno.Spánok(100); 13.)

Tento úryvok zistí aktívne okno každých 100 ms. Robí sa to pomocou funkcie GetForegroundWindow (viac informácií na MSDN). Názov stránky je uložený v premennej buff, ak obsahuje gmail alebo facebook, potom sa volá fragment skenovania klávesnice.

Týmto sme zabezpečili, že klávesnica sa bude skenovať iba pri otvorenom okne prehliadača na stránkach facebook a gmail.

Ešte inteligentnejší keylogger

Predpokladajme, že útočníkovi sa podarilo získať údaje pomocou kódu podobného tomu nášmu. Predpokladajme tiež, že je dostatočne ambiciózny na to, aby infikoval desiatky alebo stovky tisíc strojov. Výsledok: obrovský súbor s gigabajtmi textu, v ktorom treba ešte nájsť potrebné informácie. Je čas zoznámiť sa s regulárnymi výrazmi alebo regulárnym výrazom. Je to niečo ako mini jazyk na vytváranie určitých šablón a skenovanie textu, aby bol v súlade s danými šablónami. Viac sa dozviete tu.

Pre zjednodušenie dám hneď hotové výrazy, ktoré zodpovedajú prihlasovacím menám a heslám:

1. //Hľadám poštovú adresu 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* + \-/=?\^_`(|)~]+)*@(([\-\w]+\.)+(2,4))|(((1,3)\.) ( 3)(1,3)))$ 3. 4. 5. //Hľadám heslo 6. (?=^.(6,)$)(?=.*\d)(?=.*)

Tieto výrazy sú tu ako náznak toho, čo je možné pomocou nich urobiť. Pomocou regulárnych výrazov môžete vyhľadávať (a nájsť!) akékoľvek konštrukcie, ktoré majú špecifický a nemenný formát, napríklad čísla pasov, kreditných kariet, účty a dokonca aj heslá.
naozaj, regulárne výrazy nie sú najčitateľnejším typom kódu, ale sú jedným z najlepších priateľov programátora, ak existujú úlohy analýzy textu. Java, C#, JavaScript a ďalšie populárne jazyky už majú hotové funkcie, do ktorých môžete vkladať regulárne výrazy.

Pre C# to vyzerá takto:

1. Regex re = nový Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@(([\-\w]+\.)+(2,4))|(((1,3)\.) (3)(1,3)))$"); 2. Regex re2 = nový Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. reťazec email = " [chránený e-mailom]"; 4. reťazec pass = "abcde3FG"; 5. Výsledok zápasu = re.Match(email); 6. Výsledok zápasu2 = re2.Match(pass);

Kde sa prvý výraz (re) bude zhodovať s ľubovoľným e-mail a druhý (re2) je ľubovoľná alfanumerická štruktúra dlhšia ako 6 znakov.

Zadarmo a úplne nezistiteľné

V mojom príklade som použil Visual Studio - môžete použiť svoje obľúbené prostredie - na vytvorenie takéhoto keyloggeru za 30 minút.
Ak by som bol skutočným útočníkom, zamieril by som na nejaký skutočný cieľ (bankové stránky, sociálne siete atď.) a upravil kód tak, aby zodpovedal týmto cieľom. Samozrejme, tiež by som spustil phishingovú kampaň s e-mailom s naším programom, pod rúškom bežného účtu alebo inej investície.

Jedna otázka zostáva: bude takýto softvér skutočne nezistiteľný bezpečnostnými programami?

Zostavil som svoj kód a skontroloval som exe súbor na webovej stránke Virustotal. Toto je webový nástroj, ktorý vypočíta hash súboru, ktorý ste nahrali, a vyhľadá ho v databáze známe vírusy. Prekvapenie! Prirodzene sa nič nenašlo.

Toto je hlavný bod! Vždy môžete zmeniť kód a rozvíjať sa, vždy o pár krokov pred skenermi hrozieb. Ak ste schopní napísať svoj vlastný kód, je takmer zaručené, že bude nezistiteľný. Celú analýzu si môžete prečítať na tejto stránke.

Hlavným účelom tohto článku je ukázať, že použitím samotných antivírusov nebudete môcť plne zaistiť bezpečnosť vo svojom podniku. Na identifikáciu potenciálne škodlivých akcií je potrebné dôkladnejšie posúdenie akcií všetkých používateľov a dokonca aj služieb.

V ďalšom článku ukážem, ako vytvoriť skutočne nezistiteľnú verziu takéhoto softvéru.