Kako iskati keyloggerje

Ne glede na to, kako zviti so keyloggerji, jih je še vedno mogoče odkriti. Obstaja več načinov.

• Iskanje po podpisih

Ta metoda vam omogoča natančno določanje prisotnosti keyloggerjev, prava izbira podpisi lahko zmanjšajo verjetnost napake na nič. Toda skener podpisov je sposoben zaznati predmete, ki so že znani in opisani v njegovi bazi podatkov, zato mora biti baza podatkov velika in se nenehno posodabljati.

• Hevristični algoritmi

Ta metoda najde zapisovalnik tipk na podlagi njegovih značilnih lastnosti in vam omogoča zaznavanje standardnih pasti tipkovnice. Študije so pokazale, da na stotine varne programe, ki niso zapisovalniki tipk, nastavljajo pasti za sledenje vnosom miške in tipkovnice. Na primer znani program Punto Switcher, programska oprema za multimedijske tipkovnice in miške.

• Spremljanje funkcij API, ki jih uporabljajo vohuni

Metoda temelji na prestrezanju številnih funkcij, ki jih uporabljajo keyloggerji, kot so SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState.

Sledenje gonilnikom, procesom, storitvam, ki jih uporablja sistem

Metoda ni primerna le za sledenje keyloggerjem. Najenostavnejši primer uporabe je uporaba programa, kot je Kaspersky Inspector, ki spremlja pojav novih datotek v sistemu.

Kako se zaščititi pred keyloggerji

Pogosto so znani zapisovalniki tipk že dodani v podatkovno bazo, zato je način zaščite enak kot pred zlonamerno programsko opremo:

• Namestitev protivirusnega izdelka;
• Vzdrževanje ažurne baze podatkov.

Treba je omeniti, da večina protivirusnih programov uvršča keyloggerje med potencialno nevarno programsko opremo, pri čemer je treba pojasniti, da v privzetih nastavitvah protivirusni izdelek zazna prisotnost te vrste programa. Če ne, bi morali nastavitve opraviti ročno, da se zaščitite pred večino običajnih vohunskih programov.

Na splošno, ker so keyloggerji namenjeni vohunjenju za zaupnimi podatki, se morate zateči k na naslednje načine varnost:

Uporaba enkratnih gesel/avtentikacije v dveh faktorjih

Uporaba proaktivnih obrambnih sistemov, ki omogoča, da uporabnika opozorite na namestitev/aktivacijo programov keylogger

Uporaba virtualna tipkovnica , ki tipkovnico na zaslonu predstavlja kot sliko, omogoča zaščito pred programskimi in strojnimi vohuni.

Iskanje in odstranjevanje keyloggerjev

Kakšni so načini, kako se zaščititi pred tem zlim duhom?

• Kaj protivirusni program
• Pripomočki s podpisi in hevrističnimi iskalnimi mehanizmi (na primer AVZ).
• Pripomočki in programi za odkrivanje keyloggerjev in blokiranje njihovega dela. Ta način zaščite je najučinkovitejši, saj ta programska oprema praviloma blokira skoraj vse vrste keyloggerjev.

Treba je omeniti, da ima programska oprema, namenjena lovljenju keyloggerjev, dve značilnosti: tovrstna programska oprema je večinoma plačana, ruski jezik pa je redko prisoten.

Na primer, brezplačna programska oprema v angleškem jeziku Advanced Spyware Remover odpravlja oglaševalski programi, klicniki, vohunska programska oprema, zapisovalniki tipk itd.

Namestitev je standardna, kliknite »Naprej«, težko je narediti napako. Po namestitvi boste pozvani, da zaženete program. Za optično branje kliknite »Skeniraj zdaj«.

Vendar velja omeniti, da program ni bil posodobljen že 3 leta.

Na splošno ta program preveri sistemski register za prisotnost ključev v njem zlonamerna programska oprema. Pripomoček ima nekaj funkcionalnost, kar vam omogoča prikaz seznama naloženih programov ob zagonu operacijski sistem(»HiJack Scan→Startup«), prikaz seznama storitev, prikaz aktivnih vrat, ogled »piškotkov« internet Explorer itd. Po skeniranju se prikaže podobno okno:

Če ste pozorni na kaj bolj svežega, lahko uporabite Spyware Terminator 2012 (čeprav ne zastonj). Pripomoček je sposoben zaznati in odstraniti skoraj vse vrste zlonamerne programske opreme. Vgrajeni varnostni sistem aktivira zaščito aplikacij in sistema ter nadzoruje pripomočke, ki neposredno komunicirajo z omrežjem.

• prestrezanje odložišče,
• prestrezanje pritiskov tipk,
• prestrezanje besedila iz oken

in veliko več. Anti-keylogger ne uporablja podatkovnih baz podpisov, saj temelji le na hevrističnih algoritmih. Anti-keylogger je sposoben zaščititi pred ciljnimi napadi, ki so zelo nevarni in priljubljeni med kibernetskimi kriminalci. Posebej učinkovit je v boju proti keyloggerjem, ki temelji na uporabi pasti, cikličnega anketiranja in gonilnika filtra tipkovnice.

Anti-keylogger ima brezplačno možnost, omejeno s časom uporabe - 10 delovnih sej, od katerih vsaka traja 2 uri, kar je povsem dovolj za pregled vašega računalnika naenkrat.

Torej, kaj imamo:

1. Keyloggerji se tržijo kot zakonita programska oprema, vendar jih je veliko mogoče uporabiti za krajo osebnih podatkov uporabnikov.
2. Danes so keyloggerji skupaj z lažnim predstavljanjem itd. postali ena glavnih metod elektronskih goljufij.
3. Povečalo se je število zlonamerne programske opreme s funkcijo zapisovalnika tipk.
4. Distribucija programskih keyloggerjev, ki temeljijo na tehnologijah rootkit, zaradi česar so nevidni za uporabnika in protivirusni skenerji.
5. Odkrivanje vohunjenja s pomočjo keyloggerjev zahteva uporabo specializiranih varnostnih orodij.
6. Potreba po večnivojski zaščiti (protivirusni izdelki s funkcijo zaznavanja nevarne programske opreme, proaktivna zaščitna orodja, virtualna tipkovnica).

Pustite svoj komentar!

Različno vohunska programska oprema so potrebni v razmerah, ko ima več ljudi dostop do enega računalnika.

V teh okoliščinah bo uporabnik morda želel vedeti, katera spletna mesta so bila obiskana z njegovega računalnika (na primer otroci), ali so bile kreditne kartice ukradene s shranjenimi gesli itd. Za razjasnitev teh vprašanj bo potrebno.

Naš pregled vam bo omogočil najboljšo izbiro.

Značilnosti izbire

Kaj pravzaprav je keylogger? To je program, ki strogo gledano ni neposredno povezan s tipkovnico.

Nameščen je v pomnilniku računalnika in deluje naprej. Pogosto znaki njegovega delovanja niso vidni na računalniku, razen če jih posebej iščete.

Tak program posredno komunicira s tipkovnico, to je, da deluje s programom na osebnem računalniku, ki pretvori signale, ki jih prejme procesor kot rezultat pritiskanja gumbov, v besedilo pri tiskanju.

To pomeni, da je delovanje takšne programske opreme namenjeno zbiranju informacij, vnesenih prek tipkovnice.

Obstajajo takšni pripomočki različni tipi– s pomočjo enih si lahko ogledate celotno besedilo, vtipkano s tipkovnice, z drugimi – le tisto, kar je bilo vtipkano v brskalniku ali katerikoli izbrani aplikaciji.

Nekateri programi omogočajo konfiguracijo takšnih indikatorjev, drugi pa ne.

Med seboj se razlikujejo tudi po stopnji tajnosti. Na primer, aktivnost nekaterih je očitna, bližnjica ostane na namizju itd programi so primerni za spremljanje dejavnosti na primer otrok.

Sledi prisotnosti in dejavnosti drugih sploh niso opazne - delujejo skrito in so primerne za namestitev na računalnik nekoga drugega, ko je treba dejstvo namestitve skriti pred tretjim uporabnikom.

Glede na takšno raznolikost je lahko izbira najprimernejše programske opreme precej težka.

IN ta material TOP predstavljen najboljši programi, ki se lahko uporablja v ta namen. Med njimi je lažje izbrati pravega.

Specifikacije

Za poenostavitev postopka izbire programske opreme spodnja tabela prikazuje glavne primerjalne značilnosti vseh programov, vključenih v TOP.

Ime	Vrsta licence	Vrsta zbranih informacij	Delujoč	Oblikovanje
SC-KeyLog	Zastonj	Vse	Široko	Poenostavljeno
WideStep Handy Keylogger	Brezplačno/plačljivo	Vse	Široko	Izboljšano
Dejanski vohun	Plačano	Vse	Zelo širok	Standardno
EliteKeylogger	Plačano	Vse	Široko	Standardno
Podgana!	Brezplačno/plačljivo	Manj kot prejšnji	Precej široko	Neestetsko
SPYGO	Zastonj	Odvisno od različice	Odvisno od različice	Standardni videz sistema Windows
Ardamax Keylogger 2.9	Zastonj	S tipkovnice	Zoženo	Poenostavljeno
NS Keylogger Personal Monitor 3.8	Zastonj	Vse	Zoženo	Poenostavljeno
KGB vohun	Plačano	S tipkovnice + odprti programi	Ozko	Enostavno
Golden Keylogger 1.32	Zastonj	S tipkovnice	Zelo ozko	Enostavno

Na podlagi značilnosti iz te tabele je enostavno izbrati program, ki najbolj ustreza vašim specifičnim zahtevam.

Ti pripomočki so podrobneje opisani spodaj.

SC-KeyLog

To je obsežen in funkcionalen vohunski program, ki se distribuira brezplačno.

Poleg posebnega sledenja informacijam, vnesenim s tipkovnico, lahko zbira tudi naslove obiskanih spletnih mest, gesel, odprta okna v brskalniku.

daje popolne informacije o vseh dejanjih, izvedenih v računalniku. V tem primeru si lahko ustvarjeno datoteko ogledate na daljavo z druge naprave.

• Priložnost oddaljen dostop v datoteko iz druge naprave;
• Na računalniku s pravilnimi nastavitvami ni sledi programske dejavnosti;
• Raznolikost zbranih podatkov – dostopne so informacije o skoraj vseh dejanjih na osebnem računalniku.

• Shranjuje gesla samo do NT0;
• Preveč preprost meni in neestetska oblika;
• Precej nepriročen format za prikaz rezultata.

Kaj pravijo uporabniki, ki aktivno uporabljajo to programsko opremo? “Uporabniku popolnoma nevidno”, “Podatki redno prihajajo po e-pošti.”

WideStep Handy Keylogger

Ta aplikacija se distribuira brezplačno. Celotna plačana različica stane 35 USD.

Precej zanimiv in funkcionalen program, ki je vreden svojega denarja, če si ga pripravljen plačati.

Posebnost– možnost pošiljanja posnetih podatkov pri določeni frekvenci. Sicer deluje v redu, pogosto bolj stabilen kot drugi programi na tem seznamu.

• Zbiranje različnih vrst informacij;
• Popolna nevidnost dela na uporabnikovem računalniku;
• Preprost vmesnik in kontrole.

• Zasnova je boljša od prejšnjega programa, vendar še vedno ni odlična;
• Oblika prikaza rezultatov je neprijetna;
• Plačljiva različica je precej draga.

Mnenja uporabnikov o tej programski opremi so naslednja: »Priročen, preprost in funkcionalen program. Precej neviden med delom.”

Dejanski vohun

Je funkcionalen in prefinjen plačan program stane 600 rubljev. Vendar pa ima demo različico, ki je brezplačna.

Funkcija te programske opreme– sposobnost v določenem časovnem obdobju.

To pomaga rešiti težavo vnosa grafičnega gesla/ključa, ki Zadnje čase začel na široko širiti.

• Številne vrste zbranih informacij in možnost snemanja posnetkov zaslona z zaslona v določenem obdobju;
• Veliko število drugih dodatne funkcije in lastnosti;
• Beleži ne samo dejanja, ampak tudi čas, ko so bila izvedena;
• Šifrira ustvarjeni dnevnik.

• Trajanje dela (zbiranja informacij) v brezplačni demo verziji je 40 minut;
• Plačana distribucija, čeprav bolj ali manj razumna cena;
• Teža programa je precej velika.

Ocene uporabnikov o to aplikacijo so: »Program je odličen. Bravo programerji!«

EliteKeylogger

Plačan program z dovolj po visoki ceni – 69 dolarjev. Na osebnem računalniku deluje popolnoma nezaznavno v načinu nizke ravni, zaradi česar ga skoraj ni mogoče zaznati.

Zanimiva in priročna funkcija– samodejni zagon programske opreme, ki se pojavi hkrati z zagonom samega sistema.

Težko ga je zaznati ali ga sploh ne zaznajo niti posebni anti-keyloggerji.

• Popolnoma skrito delovanje in težko zaznati;
• Nizkonivojski format delovanja gonilnika in samodejni zagon ob zagonu sistema;
• Sledi tudi pritiskom ne le glavnih, ampak tudi servisnih tipk na tipkovnici.

• Precej zapleten sistem za namestitev programa na osebni računalnik;
• Program je drag, vendar lahko na ruskem internetu najdete staro vdrto različico;
• Precej zapleten sistem posameznih programskih nastavitev, ki pa se upravičuje.

Kaj pravijo uporabniki o tej programski opremi? “Dober program”, “Malo manj kot Jetlogger.”

Podgana!

Precej pogost in priljubljen, funkcionalen pripomoček s plačano licenco.

Za zasebno uporabo pa je za omejeno obdobje na voljo brezplačna demo različica.

Program je zelo enostaven– enako lahko napiše vsak napreden uporabnik. Vendar ga antivirusi in posebni programi, odkrivanje takšne programske opreme.

• Enostavnost, funkcionalnost in visoka stabilnost;
• Najmanjša teža datoteke in prostor, ki ga zaseda v računalniku;
• Kar veliko nastavitev.

• Precej neprijeten dizajn, izdelan v črni, beli in rdeči barvi;
• Funkcionalnost je nekoliko ožja kot pri prej opisanih programih;
• Nepriročen pregled dnevnika in na splošno nepriročen vmesnik in uporaba.

Uporabniki pravijo o tem programu naslednje: "Deluje stabilno, vendar je nekoliko preprost", "Program je dober, omogoča zbiranje podatkov neopaženo."

SPYGO

To je popolnoma nov keylogger, ki je bil zasnovan za delo in ga je razvil ruski programer.

Keylogger je program, ki prebere pritisnjene tipke in jih shrani v datoteko. V prihodnosti si lahko ogledate, kaj je oseba napisala na računalniku, katera sporočila je vnesla in katera gesla je vnesla. Drugo ime za keylogger je keylogger, iz angleškega "keylogger", kar dobesedno pomeni "gumbi za snemanje".

V programu NeoSpy je funkcija keylogger privzeto omogočena, v tem načinu program beleži besedilo, kombinacije bližnjičnih tipk in gesla, vnesena na tipkovnico. Upravljanje nastavitev keyloggerja se nahaja v meniju "Nastavitve sledenja" - "Snemanje dnevnikov" - "Tipkovnica". Izberete lahko enega od dveh načinov delovanja programa: standardni in alternativni. Priporočljivo je, da v 99% primerov uporabite standardno možnost, vendar v primeru konflikta z vašim protivirusnim programom programsko opremo lahko omogočite nadomestni način.

Nastavitev keyloggerja

Dnevnik tipkovnice je vedno zabeležen v polni obliki, vključno s servisnimi ključi. Primer takšnega dnevnika je prikazan na sliki. Med ogledom poročila lahko zaslon izklopite netiskalni znaki in si oglejte dnevnik kot preprosto besedilo, bolj dostopno za brezplačno branje.

Primer keyloggerja

Za poenostavitev dela s poročili so vnesena gesla označena na seznamu tipk. Tako lahko izveste otrokova gesla in ga po potrebi zaščitite pred neželenimi znanci. Če se v podjetju uporablja program NeoSpy za spremljanje zaposlenih, potem je zbiranje osebnih podatkov in korespondenca v zakonodaji večine držav prepovedano, zato mora biti ta možnost onemogočena ali pa mora biti zaposleni pisno obveščen o nadzoru s strani vodstva in nesprejemljivost uporabe računalnika v organizaciji za osebno korespondenco.

Kdo od nas se vsaj enkrat ni želel počutiti kot kul heker in vsaj nekaj zlomiti? :) Tudi če ne, potem se pogovoriva o tem, kako super bi bilo dobiti geslo od tvoje pošte/socialnega omrežja. omrežje prijatelja, žene/moža, sostanovalca, o katerem je vsaj enkrat pomislil vsak. :) Ja, in nekje je treba začeti! Pomemben del napadov (hekanj) vključuje okužbo računalnika žrtve s tako imenovanimi keyloggerji (vohunsko programsko opremo).

Torej, v današnjem članku bomo govorili o tem, kaj so brezplačni programi za spremljanje računalnikov temelji na oknih , kjer lahko prenesete njihove polne različice, kako z njimi okužiti računalnik žrtve in kakšne so značilnosti njihove uporabe.

Toda najprej kratek uvod.

Kaj so keyloggerji in zakaj so potrebni?

Mislim, da ste sami uganili, kaj je. Praviloma so nekakšen program, ki je skrit (čeprav to ni vedno tako) nameščen na računalniku žrtve, po katerem beleži absolutno vse pritiske tipk na tem vozlišču. Poleg samih klikov se običajno beleži še: datum in čas klika (dejanje) ter program, v katerem so bila ta dejanja izvedena (brskalnik, vključno z naslovom spletnega mesta (hura, takoj vidimo, kakšna so gesla). so za!); lokalna aplikacija; sistemske storitve (vključno z gesli za prijavo v sistem Windows) itd.).

Od tu je takoj vidna ena od težav: za nekaj minut sem dobil dostop do sosedovega računalnika in želim pridobiti njeno geslo iz VK! Namestil sem čudežni program in vrnil računalnik. Kako lahko pozneje poiščem gesla? Iščete način, kako bi ji znova vzeli računalnik? Dobra novica je: običajno ne. Večina keyloggerjev lahko ne samo lokalno shrani celotno zbrano bazo podatkov o dejanjih, ampak jo tudi pošlje na daljavo. Obstaja veliko možnosti za pošiljanje dnevnikov:

• Fiksna e-pošta (lahko jih je več) je najprimernejša možnost;
• FTP strežnik (kdo ga ima);
• Strežnik SMB (eksotičen in ne zelo priročen).
• Fiksni bliskovni pogon (vstavite ga v vrata USB žrtvinega računalnika in vsi dnevniki se tam samodejno kopirajo v nevidnem načinu!).

Zakaj je vse to potrebno? Mislim, da je odgovor očiten. Poleg banalne kraje gesel lahko nekateri keyloggerji naredijo še vrsto drugih lepih stvari:

• Beleženje korespondence v določenih družbenih omrežjih. omrežij ali hitrih sporočil (na primer Skype).
• Snemanje posnetkov zaslona.
• Ogled/zajem podatkov spletne kamere (kar je lahko zelo zanimivo).

Kako uporabljati keyloggerje?

In to je težko vprašanje. Razumeti morate, da samo iskanje priročnega, funkcionalnega in dobrega keyloggerja ni dovolj.

Torej, kaj je potrebno za uspešno delovanje vohunskega programa?:

• Administratorski dostop do oddaljenega računalnika.
  Poleg tega to ne pomeni nujno fizičnega dostopa. Do njega lahko preprosto dostopate prek RDP (storitev oddaljenega namizja); TeamViewer; AmmyAdmin itd.
  S to točko so praviloma povezane največje težave. Vendar sem pred kratkim napisal članek o tem, kako pridobiti skrbniške pravice v sistemu Windows.
• Anonimna e-pošta / ftp (po kateri ne boste identificirani).
  Seveda, če zlomite teto Shura za svojega soseda, lahko to točko varno izpustite. Tako kot v primeru, da imate računalnik žrtve vedno pri roki (ala, ugotovite gesla svojega brata/sestre).
• Pomanjkanje delujočih protivirusnih programov / notranji sistemi Windows zaščita.
  Večino javnih beležnikov tipk (o katerih bomo razpravljali spodaj) pozna velika večina protivirusne programske opreme (čeprav obstajajo virusi beležnikov, ki so vgrajeni v jedro OS ali sistemski gonilnik in jih protivirusni programi ne morejo več odkriti ali uničiti, tudi če imajo jih zaznal). Zaradi navedenega bo treba morebitno protivirusno programsko opremo neusmiljeno uničiti. Poleg protivirusnih sistemov, kot je Windows Defender(ti so se prvič pojavili v sistemu Windows 7 in naprej). Zaznajo sumljivo dejavnost v programski opremi, ki se izvaja v računalniku. Informacije o tem, kako se jih znebiti, lahko preprosto najdete na Googlu.

To so morda vsi potrebni in zadostni pogoji za vaš uspeh na področju kraje tujih gesel/korespondenc/fotografij ali česar koli drugega, v kar želite posegati.

Katere vrste vohunske programske opreme obstajajo in kje jih lahko prenesem?

Začnimo s pregledom glavnih zapisovalcev tipk, ki sem jih uporabljal v vsakodnevni praksi, s povezavami za brezplačen prenos polne različice(torej vse verzije so trenutno najnovejše (za kar se da najti zdravilo) in z že delujočimi in testiranimi cracki).

0. Podgana!

Ocene (od 10):

• Prikrita: 10
• Priročnost/uporabnost: 9
• Funkcionalnost: 8

To je samo bomba, ne keylogger! V delovnem stanju traja 15-20 KB. Zakaj se čuditi: v celoti je napisan v zbirnem jeziku (veterani programerjev točijo solze) in pišejo večinoma navdušeni hekerji, zaradi česar je stopnja njegove tajnosti naravnost neverjetna: deluje na ravni jedra OS!

Poleg tega paket vključuje FileConnector - mini program, ki vam omogoča povezavo tega keyloggerja s katerim koli programom. Posledično dobite nov exe skoraj enake velikosti in ob zagonu deluje točno tako kot program s katerim ste ga zlepili! Toda po prvem zagonu bo vaš keylogger samodejno nameščen v nevidnem načinu s parametri za pošiljanje dnevnikov, ki ste jih predhodno določili. Priročno, kajne?

Odlična priložnost za socialni inženiring(prinesite datoteko igre/predstavitev prijatelju na bliskovnem pogonu ali celo samo Wordov dokument (v enem od naslednjih člankov vam bom povedal, kako ustvariti datoteko exe, ki zažene določeno datoteko word/excel), zaženite to, vse je dobro in čudovito, vendar je prijatelj že nevidno okužen!). Ali pa preprosto pošljete to datoteko prijatelju po pošti (po možnosti povezavo za prenos, saj sodobni poštni strežniki prepovedujejo pošiljanje datotek exe). Seveda med namestitvijo še vedno obstaja tveganje zaradi antivirusov (vendar ga po namestitvi ne bo).

Mimogrede, z uporabo nekaterih drugih tehnik lahko zlepite katero koli distribucijo skupaj skrita namestitev(ti so na voljo v The Rat! in Elite keylogger) ne samo z datotekami exe (ki še vedno vzbujajo sum med bolj ali manj naprednimi uporabniki), ampak tudi z navadnimi datotekami word/excel in celo pdf! Nihče ne bo nikoli pomislil na preprost pdf, vendar ni tako! :) Kako se to naredi, je tema celega ločenega članka. Tisti, ki ste še posebej vneti, mi lahko napišete vprašanja prek obrazca za povratne informacije. ;)

Na splošno, Podgana! lahko opisujemo zelo dolgo in veliko. To je bilo narejeno veliko bolje kot jaz. Tam je tudi povezava za prenos.

1. Elite keylogger

Ocene (od 10):

• Prikrita: 10
• Priročnost/uporabnost: 9
• Funkcionalnost: 8

Morda eden najboljših keyloggerjev, ki so jih kdaj ustvarili. Njegove zmogljivosti poleg standardnega nabora (prestrezanje vseh klikov v kontekstu aplikacij / oken / spletnih mest) vključujejo prestrezanje sporočil hitrega sporočila, slik iz spletne kamere in tudi - kar je ZELO pomembno! - prestrezanje gesel storitev WinLogon. Z drugimi besedami, prestreže prijavna gesla za Windows (vključno z domenskimi!). To je postalo mogoče zaradi njegovega dela na ravni sistemskega gonilnika in zagona celo v fazi zagona OS. Zaradi iste funkcije ta program ostane popolnoma neviden tako za Kasperosky kot za vso drugo programsko opremo proti zlonamerni programski opremi. Odkrito povedano, nisem srečal niti enega keyloggerja, ki bi bil tega zmožen.

Vendar se ne smete preveč zavajati. Sam namestitveni program protivirusniki zelo enostavno prepoznajo in za njegovo namestitev boste potrebovali skrbniške pravice in onemogočanje vseh protivirusnih storitev. Po namestitvi bo v vsakem primeru vse delovalo brezhibno.

Poleg tega opisana funkcija (deluje na ravni jedra OS) uvaja zahteve za različico OS, na kateri bodo delovali zapisovalniki tipk. Različica 5-5.3 (povezave do katere so navedene spodaj) podpira vse do in vključno z Windows 7. Tudi zmaga 8/10 družina windows strežnik (2003 / 2008 / 2012) niso več podprti. Obstaja različica 6, ki deluje odlično, vklj. na win 8 in 10 pa trenutno ni mogoče najti krekane verzije. Verjetno se bo pojavil v prihodnosti. Medtem lahko prenesete Elite keylogger 5.3 z zgornje povezave.

Omrežnega načina delovanja ni, zato ni primeren za delodajalce (za spremljanje računalnikov zaposlenih) ali celotno skupino ljudi.

Pomembna točka je možnost ustvarjanja namestitvene distribucije z vnaprej določenimi nastavitvami (na primer z določenim e-poštnim naslovom, kamor bo treba poslati dnevnike). Hkrati pa na koncu dobite distribucijo, ki ob zagonu ne prikaže prav nobenih opozoril ali oken, po namestitvi pa se lahko celo uniči (če obkljukate ustrezno možnost).

Nekaj ​​posnetkov zaslona različice 5 (za prikaz, kako lepo in priročno je vse):

2. Vse-v-enem keylogger.

Ocene (od 10):

• Prikrita: 3
• Priročnost/uporabnost: 9
• Funkcionalnost: 8

Je tudi zelo, zelo priročna stvar. Funkcionalnost je povsem na nivoju Elite keyloggerja. Stvari so hujše s tajnostjo. Gesla Winlogon niso več prestrežena, ni gonilnik in ni vgrajeno v jedro. Vendar je nameščen v sistemskih in skritih imenikih AppData, ki jih ni tako enostavno doseči nepooblaščenim uporabnikom(ne tistim, v imenu katerih je bil nameščen). Kljub temu antivirusi to prej ali slej uspešno naredijo, zaradi česar ta stvar ni posebej zanesljiva in varna, če jo uporabljate na primer v službi za vohunjenje za lastnimi nadrejenimi. ;) Če ga prilepiš na nekaj ali šifriraš kodo, da jo skriješ pred antivirusi, ne bo šlo.

Deluje na kateri koli različici Win OS (kar je lepo in praktično).

Kar zadeva ostalo, je vse v redu: beleži vse (razen gesel za prijavo v Windows), pošilja kamor koli (vključno z e-pošto, ftp, fiksnim bliskovnim pogonom). Tudi glede udobja je vse odlično.

3. Spytech SpyAgent.

Ocene (od 10):

• Prikrita: 4
• Priročnost/uporabnost: 8
• Funkcionalnost: 10

Tudi dober keylogger, čeprav z dvomljivo tajnostjo. Možne so tudi vse podprte različice OS. Funkcionalnost je podobna prejšnjim možnostm. Obstaja zanimiva funkcija samouničenja po določenem času (ali po dosegu vnaprej določenega datuma).

Poleg tega je mogoče snemati video iz spletne kamere in zvok iz mikrofona, kar je prav tako lahko zelo priljubljeno in česar prejšnja dva predstavnika nimata.

Obstaja omrežni način delovanja, ki je primeren za spremljanje celotnega omrežja računalnikov. Mimogrede, StaffCop ga ima (ni vključen v pregled zaradi neuporabnosti za enega uporabnika - posameznika). Morda je ta program idealen za delodajalce, da vohunijo za svojimi zaposlenimi (čeprav sta vodilna na tem področju brezpogojno StaffCop in LanAgent - če ste pravna oseba, vsekakor poglejte v njihovo smer). Ali pa spremljati svoje potomce, ki radi sedijo in gledajo »strani za odrasle«. Tisti. kjer ni potrebno prikrivanje, ampak priročnost (vključno s kupom lepih poročil dnevnikov itd.) in funkcionalnost za blokiranje določenih strani/programov (ima jo tudi SpyAgent).

4. Osebni monitor Spyrix.

Ocene (od 10):

• Prikrita: 4
• Priročnost/uporabnost: 6
• Funkcionalnost: 10

Funkcionalnost je na nivoju prejšnjega kandidata, vendar enake težave s tajnostjo. Funkcionalnost poleg tega vključuje še zanimivost: kopiranje datotek z USB-pogonov, vstavljenih v računalnik, ter oddaljeni ogled dnevnikov prek spletnega računa na spletni strani Spyrix (vendar bomo prenesli krekano različico, zato ne bo delo za nas).

5. Osebni monitor Spyrix.

Ocene (od 10):

• Prikrita: 3
• Priročnost/uporabnost: 6
• Funkcionalnost: 8

Ne bom podrobno opisoval, ker... ta izvod nima ničesar, česar ni imel eden od prejšnjih vohunov, vendar bo morda komu ta keylogger všeč (vsaj zaradi vmesnika).

Kaj dobimo na koncu?

Vprašanje uporabe keyloggerja je bolj etično kot tehnično in je močno odvisno od vaših ciljev.

Če ste delodajalec, ki želi nadzorovati svoje zaposlene, pogumno ustanovite StaffCop, pridobite pisna dovoljenja vseh zaposlenih za tovrstna dejanja (sicer vas lahko resno zaračunajo za take stvari) in delo je v vreči. Čeprav osebno vem več učinkovite načine povečanje uspešnosti svojih zaposlenih.

Če ste začetnik IT strokovnjak, ki želi samo izkusiti, kako je nekoga zlomiti - in kako ta stvar na splošno deluje, potem se oborožite z metodami socialnega inženiringa in opravite teste na svojih prijateljih, pri čemer uporabite katerega koli od navedenih primerov. Vendar ne pozabite: odkrivanje takšne dejavnosti s strani žrtev ne prispeva k prijateljstvu in dolgoživosti. ;) In tega vsekakor ne bi smeli preizkušati pri svojem delu. Zapomni si moje besede: s tem imam izkušnje. ;)

Če je vaš cilj vohuniti za prijateljem, možem, sosedom ali morda to počnete redno in za denar, dobro premislite, ali se splača. Konec koncev, prej ali slej lahko pritegnejo. In ni vredno: "brskanje po umazanem perilu nekoga drugega ni prijeten užitek." Če še vedno potrebujete (ali morda delate na področju preiskovanja računalniških zločinov in so tovrstne naloge del vaših poklicnih obveznosti), potem obstajata samo dve možnosti: The Rat! in Elite Keylogger. V načinu skritih namestitvenih distribucij, zlepljenih z besedo / excel / pdf. In bolje je, če je mogoče, šifrirano s svežim kriptorjem. Samo v tem primeru lahko zagotovimo varnejše aktivnosti in resničen uspeh.

V vsakem primeru pa je vredno zapomniti, da je kompetentna uporaba keyloggerjev le ena majhna povezava pri doseganju cilja (vključno s celo preprostim napadom). Nimate vedno skrbniških pravic, nimate vedno fizičnega dostopa in ne bodo vsi uporabniki odprli, prebrali in še bolj prenesli vaših priponk/povezav (zdravo socialni inženiring), protivirusni program ne bo vedno onemogočen /vaš keylogger/kriptor jim ne bo vedno neznan. Vse te in številne neizmerne težave je mogoče rešiti, vendar je njihova rešitev tema cele serije ločenih člankov.

Z eno besedo, pravkar ste se začeli potapljati v zapleteno, nevarno, a noro zanimiv svet varnost informacij. :)

S spoštovanjem,Lysyak A.S.

Hekerski svet lahko razdelimo na tri skupine napadalcev:

1) »Skids« (script kiddies) – majhni hekerji začetniki, ki zbirajo dobro znane dele kode in pripomočke ter jih uporabljajo za ustvarjanje preproste zlonamerne programske opreme.

2) »Kupci« so brezvestni podjetniki, najstniki in drugi iskalci vznemirjenja. Kupujejo storitve za pisanje tovrstne programske opreme na spletu, z njeno pomočjo zbirajo različne zasebne podatke in jo morda preprodajajo.

3) “Black Hat Coders” – programski guruji in strokovnjaki za arhitekturo. Pišejo kodo v beležko in razvijajo nove podvige iz nič.

Ali lahko nekdo z dobrim znanjem programiranja postane zadnji? Mislim, da ne boste začeli ustvarjati nečesa, kot je regin (link), potem ko ste se udeležili nekaj sej DEFCON. Po drugi strani pa verjamem, da bi moral uradnik za informacijsko varnost obvladati nekatere koncepte, na katerih je zgrajena zlonamerna programska oprema.

Zakaj osebje za informacijsko varnost potrebuje te dvomljive veščine?

Spoznaj svojega sovražnika. Kot smo razpravljali na blogu Inside Out, morate razmišljati kot storilec, da ga ustavite. Sem strokovnjak za informacijsko varnost pri Varonisu in po mojih izkušnjah boste v tej obrti močnejši, če razumete, kakšne poteze bo naredil napadalec. Zato sem se odločil začeti serijo objav o podrobnostih, ki se skrivajo za zlonamerno programsko opremo in različnimi družinami hekerskih orodij. Ko boste spoznali, kako enostavno je ustvariti nezaznavno programsko opremo, boste morda želeli ponovno razmisliti o varnostnih politikah vašega podjetja. Zdaj pa bolj podrobno.

Za ta neformalni tečaj "hekanje 101" potrebujete nekaj znanja programiranja (C# in java) in osnovno razumevanje arhitekture sistema Windows. Ne pozabite, da je v resnici zlonamerna programska oprema napisana v C/C++/Delphi, da ni odvisna od ogrodij.

Keylogger

Keylogger je programska oprema ali nekakšna fizična naprava, ki lahko prestreže in si zapomni pritiske tipk na ogroženem računalniku. To si lahko predstavljamo kot digitalno past za vsak pritisk tipke na tipkovnici.
Pogosto je ta funkcija implementirana v drugo, bolj zapleteno programsko opremo, na primer trojance (trojanci za oddaljeni dostop RATS), ki zagotavljajo dostavo prestreženih podatkov nazaj napadalcu. Obstajajo tudi strojni keyloggerji, vendar so manj pogosti, ker ... zahteva neposreden fizični dostop do stroja.

Vendar je ustvarjanje osnovnih funkcij keyloggerja dokaj enostavno programirati. OPOZORILO. Če želite poskusiti kar koli od naslednjega, se prepričajte, da imate dovoljenja in da ne motite obstoječega okolja, najbolje pa je, da vse to storite na izoliranem VM. Nadalje, to kodo ne bo optimiziran, pokazal vam bom le vrstice kode, ki lahko opravijo nalogo, to ni najbolj eleganten ali optimalen način. In končno, ne bom vam povedal, kako narediti keylogger odporen na ponovne zagone ali ga poskušati narediti popolnoma nezaznavnega s posebnimi tehnikami programiranja, pa tudi zaščito pred izbrisom, tudi če je zaznan.

Za povezavo s tipkovnico morate uporabiti samo 2 vrstici v C#:

1. 2. 3. javni statični extern int GetAsyncKeyState(Int32 i);

Več o funkciji GetAsyncKeyState lahko izveste na MSDN:

Za razumevanje: ta funkcija določa, ali je bila tipka pritisnjena ali izpuščena v času klica in ali je bila pritisnjena po prejšnjem klicu. Zdaj nenehno kličemo to funkcijo za prejemanje podatkov s tipkovnice:

1. medtem ko (true) 2. ( 3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Kaj se tukaj dogaja? Ta zanka bo vprašala vsako tipko vsakih 100 ms, da določi njeno stanje. Če enega od njih pritisnete (ali ste ga pritisnili), se na konzoli prikaže sporočilo o tem. V resničnem življenju se ti podatki shranijo v medpomnilnik in pošljejo napadalcu.

Pametni zapisovalnik tipk

Počakajte, ali je smiselno poskušati odstraniti vse informacije iz vseh aplikacij?
Zgornja koda potegne neobdelane vnose s tipkovnice iz katerega koli okna in vnosnega polja, ki ima trenutno fokus. Če so vaš cilj številke kreditnih kartic in gesla, potem ta pristop ni zelo učinkovit. V realnih scenarijih, ko se takšni zapisovalniki tipk izvajajo na stotinah ali tisočih računalnikih, lahko poznejše razčlenjevanje podatkov postane zelo dolgo in na koncu nesmiselno, ker Informacije, ki so dragocene za napadalca, so morda do takrat zastarele.

Predpostavimo, da se želim dokopati do poverilnic za Facebook ali Gmail za prodajo všečkov. Potem nova ideja– aktivirajte beleženje tipk le, ko je okno brskalnika aktivno in je v naslovu strani beseda Gmail ali facebook. Z uporabo te metode povečam možnosti za pridobitev poverilnic.

Druga različica kode:

1. while (true) 2. ( 3. Ročaj IntPtr = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. vrstica niza = buff.ToString(); 7. if (line.Contains("Gmail")|| line.Contains("Facebook - Prijava ali prijava")) 8. ( 9. //preverjanje tipkovnice 10. ) 11. ) 12. Thread.Sleep(100); 13. )

Ta delček bo zaznal aktivno okno vsakih 100 ms. To se naredi s funkcijo GetForegroundWindow (več informacij na MSDN). Naslov strani je shranjen v spremenljivki buff, če vsebuje gmail ali facebook, se pokliče fragment skeniranja tipkovnice.

S tem smo zagotovili, da se tipkovnica skenira le, ko je odprto okno brskalnika na straneh facebook in gmail.

Še pametnejši keylogger

Predpostavimo, da je napadalec lahko pridobil podatke z uporabo kode, podobne naši. Predpostavimo tudi, da je dovolj ambiciozen, da okuži več deset ali sto tisoč strojev. Rezultat: ogromna datoteka z gigabajti besedila, v kateri je treba najti še potrebne informacije. Čas je, da se seznanimo z regularnimi izrazi ali regularnimi izrazi. To je nekaj podobnega mini jeziku za ustvarjanje določenih predlog in skeniranje besedila glede skladnosti z danimi predlogami. Več lahko izveste tukaj.

Za poenostavitev bom takoj dal pripravljene izraze, ki ustrezajo prijavnim imenom in geslom:

1. //Iščem poštni naslov 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* + \-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) ( 3)(1,3)))$ 3. 4. 5. //Iščem geslo 6. (?=^.(6,)$)(?=.*\d)(?=.*)

Ti izrazi so tukaj kot namig, kaj je mogoče storiti z njihovo uporabo. Z uporabo regularnih izrazov lahko iščete (in najdete!) vse konstrukcije, ki imajo določen in nespremenljiv format, na primer številke potnih listov, kreditnih kartic, Računi in celo gesla.
res, regularni izrazi niso najbolj berljiva vrsta kode, vendar so eni izmed programerjevih najboljših prijateljev, če obstajajo naloge razčlenjevanja besedila. Java, C#, JavaScript in drugi priljubljeni jeziki že imajo pripravljene funkcije, v katere lahko posredujete regularne regularne izraze.

Za C# je videti takole:

1. Regex re = nov Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) (3)(1,3)))$"); 2. Regex re2 = nov Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. string email = " [e-pošta zaščitena]"; 4. niz pass = "abcde3FG"; 5. Rezultat ujemanja = re.Match(e-pošta); 6. Rezultat ujemanja2 = re2.Match(pass);

Kjer se prvi izraz (re) ujema s katerim koli E-naslov, drugi (re2) pa je katera koli alfanumerična struktura, večja od 6 znakov.

Brezplačno in popolnoma nezaznavno

V svojem primeru sem uporabil Visual Studio - uporabite lahko svoje najljubše okolje - za ustvarjanje takega keyloggerja v 30 minutah.
Če bi bil pravi napadalec, bi ciljal na neko pravo tarčo (bančne strani, družbena omrežja itd.) in spremenil kodo, da bi ustrezala tem ciljem. Seveda bi sprožil tudi lažno predstavljanje z po elektronski pošti z našim programom, pod krinko rednega računa ali druge naložbe.

Ostaja eno vprašanje: ali varnostni programi takšne programske opreme res ne bodo mogli zaznati?

Prevedel sem kodo in preveril datoteko exe na spletnem mestu Virustotal. To je spletno orodje, ki izračuna zgoščeno vrednost datoteke, ki ste jo naložili, in jo poišče v bazi podatkov znani virusi. Presenečenje! Seveda ni bilo nič najdenega.

To je bistvo! Vedno lahko spremenite kodo in se razvijate, pri čemer ste vedno nekaj korakov pred skenerji groženj. Če ste sposobni napisati svojo kodo, je skoraj zagotovljeno, da je ni mogoče zaznati. Celotno analizo si lahko preberete na tej strani.

Glavni namen tega članka je pokazati, da samo z uporabo protivirusnih programov ne boste mogli v celoti zagotoviti varnosti v vašem podjetju. Za prepoznavanje potencialno zlonamernih dejanj je potrebna bolj poglobljena ocena dejanj vseh uporabnikov in celo storitev.

V naslednjem članku bom pokazal, kako narediti resnično nezaznavno različico takšne programske opreme.