Anti-Keylogger Portable
- Thread starter MusX
- Rozpoczęty
FDJ
Były Moderator
- Dołączył
- Maj 23, 2005
- Posty
- 1044
fl3a jestes przeciwnikiem keyloggerow i calego tego trojangowna moze napiszesz jakiego antykeyloggera i ten post nie jest skierowany tylko do Ciebie ale tagze do innych ludzi potrafiacych programowac ,a nie lubiacych trojanow/keyloggerow ? Gotowi na wyzwanie ?
Dobry antykeylogger powinien być wbudowany do aplikacji. Bo niestety jak ktoś napisze aplikację która pozwala na wstawianie tekstu bezpośrednio do kontrolek(może zrobię jak skończę aktualną pracę) to zostanie przygotowany program który z nich czyta, albo ktoś zrobi app robiącą screeny po kliknięciu myszą...
Nie zapisalem nigdzie rezultatow analizy dostepnych AntiKeyloggerow poniewaz stwierdzilem ze umieszczanie oczywistych wynikow nie ma sensu. Tylko jeden lub dwa programy przechwytywaly usluge NtUserSetWindowsHook - ale nie jestem tego pewien. Reaszta programow zapewnie uzywala SetWindowsHookEx z flaga Debug pozwalajaca monitorowac inne hooki. Z posrod wielu mozliwych sposobow z ktorych moga skorzystac keyloggery dwa sa najpopularniejsze: SetWindowsHookEx oraz GetAsyncKeyState. Tworzac AntiKeylogger nie mozna zapominac o innych metodach. Prawidlowe dzialanie polega na wczesnym wykryciu podejrzanego procesu i zabiciu go zanim system stworzy i "ozywi" glowny watek.
Podchodzac do tego w sposob w jaki podchodza tworcy tego typu programow - faktycznie minimalnym nakladem mozna by bylo je poblokowac... Tylko czy publikacja czegos co dziala gdy spelniony jest warunek x ma sens?
[ Dodano: 16-12-2006, 13:22 ]
Przyklejcie temat jesli mozna... Oraz jak ktos zna jakies narzedzia typu AntiKeylogger ktore nie zostaly podane na liscie niech poda linki. Moze komus wystarczy taka "ochrona" jaka zapewniaja tego typu produkty:
- Advanced Anti Keylogger
- PrivacyKeyboard
- Keylogger Hunter
- Anti-Keylogger
- Anti-Keylogger Elite
- UnLogger
- KeyScrambler
- Keylogger Stopper
- Elite Anti Keylogger
Podchodzac do tego w sposob w jaki podchodza tworcy tego typu programow - faktycznie minimalnym nakladem mozna by bylo je poblokowac... Tylko czy publikacja czegos co dziala gdy spelniony jest warunek x ma sens?
[ Dodano: 16-12-2006, 13:22 ]
Przyklejcie temat jesli mozna... Oraz jak ktos zna jakies narzedzia typu AntiKeylogger ktore nie zostaly podane na liscie niech poda linki. Moze komus wystarczy taka "ochrona" jaka zapewniaja tego typu produkty:
- Advanced Anti Keylogger
- PrivacyKeyboard
- Keylogger Hunter
- Anti-Keylogger
- Anti-Keylogger Elite
- UnLogger
- KeyScrambler
- Keylogger Stopper
- Elite Anti Keylogger
Nie powinienes kierowac sie przy wyborze programu jego licencja. Jak znajde czas to przedstawie test wyzej wymienionego oprogramowania...
Anti-Keylogger 7.4 sklada sie z dwoch komponentow - programu user mode i driver'a. Oba pliki sa zabezpieczone. Anti-Keylogger 7.4 bez problemu wykryl testowy keylogger operujacy na syscall'ach - czyli najnizszym poziomie user mode. W rezultacie wykrycia keyloggera program pokazal komunikat ale nie zapytal uzytkownika o decyzje co z danym procesem czy modulem zrobic.
PrivacyKeyboard 7.4 to nic innago jak Anti-Keylogger 7.4! Dlatego tez by zainstalowac ten program trzeba usunac poprzedni! Tak jak w poprzednim przypadku plik keyloggera zostaje dodany do listy zas proces dalej dziala...
UnLogger stosuje prosta metode. Zaklada hook'a (SetWindowsHookA) z flaga Debug - #define WH_DEBUG 9. Co widac na przedstawionym fragmencie biblioteki dll:
KeyloggerHunter jak poprzednik czuwa na najnizszym z mozliwych poziomow. Dzieki czemu keylogger testowy zostaje niezauwazony. Oto fragment kodu biblioteki dll:
Keylogger Stopper kolejny nieprzydatny program...
Elite Antikeylogger zostal zainsalowany razem z Advanced AntiKeyloggerem - oba programy wymagaly restartu. Po restarcie Elite Antikeylogger wystosowal komunikat o znalezionej bibliotece bedacej komponentem Advanced AntiKeyloggera przechwytujacej "Debug info capturing". Komunikat zostal pokazany w przystepnej formie dzieki ktorej uzytkownik moze podjac stosowna decyzje. Program bez problemu wykryl testowy keylogger - czyli zadzialal filtr kernel mode. Keylogger zostaje zatrzymany - "zatrzymanie watkow" lecz proces nie jest zabijany.
KeyScramble zgodnie z opisem posiada fragment kernel mode w ktorym mozna znalezc ciekawe stringi potwierdzajace dzialanie programu - "e:qzwangworkspaceinputsafewinsrccryptolibrsa_gen.c". Troche duzo tych stringow... Program pozwala zainstalowac plugin dla IE i FF. Program zamieszczony jako ciekawostka.
Advanced AntiKeylogger dziala na podobnej zasadzie co Elite Antikeylogger czyli posiada filtr kernel mode ale jedyne informacje jakich dostarcza uzytkownikowi to sciezka dostepu do podejrzanego pliku. Uzytkownik nie ma mozliwosci podjecia jakiej kolwiek decyzji - proces zostaje zatrzymany i na tym koniec.
Jeden program nie zostal przetestowany poniewaz wymagal min Windows 2000 SP4 zas test przeprowadzalem na 2000 SP2.
Krotkie podsumowanie.
Z powyzej przetestowanych programow jedynie Elite Antikeylogger zasluguje na uwage. Program ma swietny wyglad i ciekawe opcje. Dziala prawie idealnie poniewaz przechwytuje i zatrzymuje proces w momencie wywolania hook'a a nie w momencie przygotowywania procesu. Dzieki czemu aplikacja moze swobodnie wykonac pewien kod i dopiero uruchomic kod keyloggera. Do testow uzylem native keylogger napisany w Assemblerze. Nie testowalem kilku innych mozliwosci przechwytywania klawiszy w tym kodu dzialajacego w trybie jadra. Niestety Elite Antikeylogger w wersji testowej dziala tylko 7 dni! Aczkolwiek warto przetestowac ten program.
Elite Antikeylogger posiada tez filtr na kod kernel mode. Dlatego komunikowal o dzialaniu drivera KeyScramble. Interesujacy program
Anti-Keylogger 7.4 sklada sie z dwoch komponentow - programu user mode i driver'a. Oba pliki sa zabezpieczone. Anti-Keylogger 7.4 bez problemu wykryl testowy keylogger operujacy na syscall'ach - czyli najnizszym poziomie user mode. W rezultacie wykrycia keyloggera program pokazal komunikat ale nie zapytal uzytkownika o decyzje co z danym procesem czy modulem zrobic.
PrivacyKeyboard 7.4 to nic innago jak Anti-Keylogger 7.4! Dlatego tez by zainstalowac ten program trzeba usunac poprzedni! Tak jak w poprzednim przypadku plik keyloggera zostaje dodany do listy zas proces dalej dziala...
UnLogger stosuje prosta metode. Zaklada hook'a (SetWindowsHookA) z flaga Debug - #define WH_DEBUG 9. Co widac na przedstawionym fragmencie biblioteki dll:
Kod:
CODE:00407DAC public RunStopHook
CODE:00407DAC RunStopHook proc near
CODE:00407DAC
CODE:00407DAC arg_0 = byte ptr 8
CODE:00407DAC arg_4 = dword ptr 0Ch
CODE:00407DAC
CODE:00407DAC push ebp
CODE:00407DAD mov ebp, esp
CODE:00407DAF cmp [ebp+arg_0], 1
CODE:00407DB3 jnz short loc_407DE0
CODE:00407DB5 mov eax, ds:lpBaseAddress
CODE:00407DBA mov edx, [ebp+arg_4]
CODE:00407DBD mov [eax+8], edx
CODE:00407DC0 push 0 ; dwThreadId
CODE:00407DC2 mov eax, ds:hmod
CODE:00407DC7 push eax ; hmod
CODE:00407DC8 mov eax, offset fn
CODE:00407DCD push eax ; lpfn
CODE:00407DCE push 9 ; idHook
CODE:00407DD0 call SetWindowsHookExAKeyloggerHunter jak poprzednik czuwa na najnizszym z mozliwych poziomow. Dzieki czemu keylogger testowy zostaje niezauwazony. Oto fragment kodu biblioteki dll:
Kod:
CODE:004035B8 Hook proc near
CODE:004035B8
CODE:004035B8 arg_8 = dword ptr 10h
CODE:004035B8
CODE:004035B8 push ebp
CODE:004035B9 mov ebp, esp
CODE:004035BB mov eax, ds:lpBaseAddress
CODE:004035C0 cmp dword ptr [eax], 0
CODE:004035C3 jz short loc_4035C9
CODE:004035C5 xor eax, eax
CODE:004035C7 jmp short loc_4035EF
CODE:004035C9 loc_4035C9: ; CODE XREF: Hook+Bj
CODE:004035C9 push 0 ; dwThreadId
CODE:004035CB mov eax, ds:hmod
CODE:004035D0 push eax ; hmod
CODE:004035D1 mov eax, offset fn
CODE:004035D6 push eax ; lpfn
CODE:004035D7 mov eax, [ebp+arg_8]
CODE:004035DA add eax, 3
CODE:004035DD push eax ; idHook
CODE:004035DE call SetWindowsHookExAKeylogger Stopper kolejny nieprzydatny program...
Elite Antikeylogger zostal zainsalowany razem z Advanced AntiKeyloggerem - oba programy wymagaly restartu. Po restarcie Elite Antikeylogger wystosowal komunikat o znalezionej bibliotece bedacej komponentem Advanced AntiKeyloggera przechwytujacej "Debug info capturing". Komunikat zostal pokazany w przystepnej formie dzieki ktorej uzytkownik moze podjac stosowna decyzje. Program bez problemu wykryl testowy keylogger - czyli zadzialal filtr kernel mode. Keylogger zostaje zatrzymany - "zatrzymanie watkow" lecz proces nie jest zabijany.
KeyScramble zgodnie z opisem posiada fragment kernel mode w ktorym mozna znalezc ciekawe stringi potwierdzajace dzialanie programu - "e:qzwangworkspaceinputsafewinsrccryptolibrsa_gen.c". Troche duzo tych stringow... Program pozwala zainstalowac plugin dla IE i FF. Program zamieszczony jako ciekawostka.
Advanced AntiKeylogger dziala na podobnej zasadzie co Elite Antikeylogger czyli posiada filtr kernel mode ale jedyne informacje jakich dostarcza uzytkownikowi to sciezka dostepu do podejrzanego pliku. Uzytkownik nie ma mozliwosci podjecia jakiej kolwiek decyzji - proces zostaje zatrzymany i na tym koniec.
Jeden program nie zostal przetestowany poniewaz wymagal min Windows 2000 SP4 zas test przeprowadzalem na 2000 SP2.
Krotkie podsumowanie.
Z powyzej przetestowanych programow jedynie Elite Antikeylogger zasluguje na uwage. Program ma swietny wyglad i ciekawe opcje. Dziala prawie idealnie poniewaz przechwytuje i zatrzymuje proces w momencie wywolania hook'a a nie w momencie przygotowywania procesu. Dzieki czemu aplikacja moze swobodnie wykonac pewien kod i dopiero uruchomic kod keyloggera. Do testow uzylem native keylogger napisany w Assemblerze. Nie testowalem kilku innych mozliwosci przechwytywania klawiszy w tym kodu dzialajacego w trybie jadra. Niestety Elite Antikeylogger w wersji testowej dziala tylko 7 dni! Aczkolwiek warto przetestowac ten program.
Elite Antikeylogger posiada tez filtr na kod kernel mode. Dlatego komunikowal o dzialaniu drivera KeyScramble. Interesujacy program
hmm
Ja polecam program antywirusowy o nazwie: "Kaspersky Internet Security 6.0"
Na moim komputerze zastępuje 3antywirusy :] bardzo popularne wdodatku
Kaspersky ma więcej zbadanych wirusów i mniej ich dopuszcza ja skanowałem komputer 3 bardzo znanymi i publicznie dobrymi programami i miałem niby czysty komputer. a Kaspersky wyczaił 8 koni trojańskich i 3wiry ;] a po zatym blokuje banery jak chcesz spamery itd. cały antywir jest po polsku :]
Ja polecam program antywirusowy o nazwie: "Kaspersky Internet Security 6.0"
Na moim komputerze zastępuje 3antywirusy :] bardzo popularne wdodatku
Kaspersky ma więcej zbadanych wirusów i mniej ich dopuszcza ja skanowałem komputer 3 bardzo znanymi i publicznie dobrymi programami i miałem niby czysty komputer. a Kaspersky wyczaił 8 koni trojańskich i 3wiry ;] a po zatym blokuje banery jak chcesz spamery itd. cały antywir jest po polsku :]
Jestem Michał
Użytkownik
- Dołączył
- Czerwiec 9, 2007
- Posty
- 43
z kasperskym fakt, też go używam jest dobry ale nie raz blokuje mocno gg. Ale ja polecam spyware doctor trzeba się zarejestrować to antivir który ma ochronę On-guard np. File guard i keylogger guard
Kanciastoporty
Były Moderator
- Dołączył
- Grudzień 19, 2006
- Posty
- 1137
u mnie opcja "dodaj do zaufanej strefy" jest aktywna, nie wiem jak u was
M
maciek_
Gość
Kaspersky dobry z jednego powodu, informuje mnie o wszystkim, że 'coś' chce się dostać do rejestru i zmienić wartość/dodać klucz, że 'coś' chce wyjść na zewnątrz i, że 'coś' się kopiuje tam gdzie nie trzeba ;p
