Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Реализация keylogging под WIN32 12.02.04 19:25
Publisher: dl <Dmitry Leonov>
|
Реализация keylogging под WIN32
Марк Ермолов ermolov_mark@mail.ru
Одним из самых простых методов съёма информации с персонального компьютера является установка на компьютер пользователя программы, производящей учёт нажатий клавиш. Данный метод можно легко осуществить при физическом доступе на интересующий компьютер. Установить кейлоггер можно также и удаленно, используя ошибки в реализациях сервисов объекта, но мы опустим методы установки в данной статье.
Существует большое количество уже готовых программ-кейлоггеров. Однако во-первых большинство из них уже определяются антивирусными программами, во-вторых, зачастую, их функциональность оставляет желать лучшего, либо они работают крайне нестабильно. Одним из видов программ, осуществляющих съём информации, являются KeyLogger-ы (дословно регистратор клавиш). Они регистрируют все нажатые клавиши на клавиатуре, обрабатывают полученную информацию и сохраняют её в файл. Поскольку закрытая информация (пароли, документы, и т.д.) набирается с клавиатуры, KeyLogger...
Полный текст
|
|
Ну скажем в NT-Based OS самым простым способом получить... 04.05.04 15:05
Автор: Ilya Knyazev Статус: Незарегистрированный пользователь
|
|
Ну скажем в NT-Based OS самым простым способом получить пароль, и написать кейлогер являтся написание gina.dll которая потом вешается потоком на winlogon...
|
|
Автор рассматривает стандартный механизм перехвата,... 13.02.04 05:50
Автор: kr0m Статус: Незарегистрированный пользователь
|
Автор рассматривает стандартный механизм перехвата, рписанный во множистве источников.
Было бы интересно прочитать что либо новое, например, снятие информации с помощью внедрения собственного драйвера, или, например, перехватом системных функций.
|
| |
Ага в рамках одной статьи рассказать 13.02.04 15:58
Автор: amirul <Serge> Статус: The Elderman
|
> Автор рассматривает стандартный механизм перехвата,
> рписанный во множистве источников.
> Было бы интересно прочитать что либо новое, например,
> снятие информации с помощью внедрения собственного
> драйвера, или, например, перехватом системных функций.
О написании WDM filter driver-а для kbdclass-а
А к тому же еще и описать решение весьма нетривиальной задачи мэппинга сканкодов в юникод из ядра.
Согласен, что это ГОРАЗДО интересней. Для читателя. Но вот если кто напишет это, автору будет гораздо интереснее сделать коммерческий продукт, чем выкладывать все в общий доступ.
;-)
|
| | |
Кстати 13.02.04 17:32
Автор: DgtlScrm Статус: Member
|
|
Кстати это проделать не так уж и сложно! Только мороки много в плане реадизации... получить сисю права а атам гляди и DDK пойдет в ход :)
|
| | | |
Я и не говорил, что сложно 13.02.04 19:45
Автор: amirul <Serge> Статус: The Elderman
|
В DDK есть пример фильтра (только он фильтр i8042 порта, так что на USB-шную клаву реагировать не будет совершенно). Только в этом фильтре (ничего кроме собственно встраивания в стек клавиатуры не делающем) 30 кило исходников - в коротенькую статью вряд ли влезет, если еще и объяснять пытаться :-)
Сложности возникают при реалзации MapVirtualKeyEx + ToUnicode в режиме ядра. Причем делать это надо в той локали (KBDTABLE), которая установлена для потока, владеющего окном, которое находится в фокусе, а сканкоды всегда возвращаются в контескте системного потока (KeyboardThreadMain). Повторюсь, все это сделать надо в режиме ядра. Тоже не так уж и сложно, но полагаться надо только на недокументированные вещи.
Хотя есть еще один способ: вывести сканкод в третье кольцо, обработать там, а потом вернуть обратно в драйвер. Но в таком случае возникает проблема маскировки левого процесса. Тоже несложно сделать, но в принципе надо обладать не меньшими знаниями потрохов винды, чем если все делать прямо в ядре.
> Кстати это проделать не так уж и сложно! Только мороки
> много в плане реадизации... получить сисю права а атам
> гляди и DDK пойдет в ход :)
Согласен. У меня даже наброски есть :-)
|
| | | | |
А нащет USB... 16.02.04 02:13
Автор: DgtlScrm Статус: Member
|
|
И USB можно осилить... только тут не нужно залезать на такой низкий уровень... В MSDN есть множество информации о работе с HID. Ее хватает вполне... и немножно воображения по вкусу :)
|
| | | | | |
Можно даже не париться с HID-ом 16.02.04 11:52
Автор: amirul <Serge> Статус: The Elderman
|
> И USB можно осилить... только тут не нужно залезать на
> такой низкий уровень... В MSDN есть множество информации о
> работе с HID. Ее хватает вполне... и немножно воображения
> по вкусу :)
Все равно что HID-порт, что i8042-порт имеет UpperFiter-ом (причемм class-фильтром) kbdclass. Вот над ним и надо становиться (еще одним class-фильтром). Дальше все практически тривиально (в плане перехвата, а не декодирования; с декодированием сканкодов возникают некоторые вопросы описанные выше :-) ) - вот только писанины много.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
