Keyloggery

[senkelp]

Mistrzowie,

Zwracam się z takim oto problemem. Potrzebuję keyloggera [ethical mode] do prywatnego komputera, którego wykorzystuję do celów służbowych i którego użyczam w dobrej wierze paru osobom a nabrałem ostatnio poważnych podejrzeń, że moja dobroczynność jest nadużywana a komputer używany niezgodnie z przeznaczeniem [/ethical mode].

Problemy są jednak dwa. Po pierwsze, powinien to być raczej keylogger sprzętowy. Czemu? Ponieważ na komputerze zainstalowane jest solidne (legalne) oprogramowanie antywirusowe i firewall w pakiecie od pracodawcy i nie mogę go z różnych przyczyn odinstalować. Dla porządku: Windows 7, Eset Smart Security. Chyba, że ktoś zna skuteczny i bezpieczny keylogger programowy, najlepiej preinstalowany, którego antywirus nie będzie się czepiał. Po drugie, ten komputer to laptop. Czyli nie wchodzi w grę zainstalowanie przejściówki logującej między klawiaturą a portem USB.

Czy nie ma jakichś wtyczek do portów USB, które wyglądają niewinnie, ale logują każdy wciśnięty klawisz a nie są przejściówkami między klawiaturą a komputerem? Czy nie ma dobrych software'owych keyloggerów, które nie mają trojanów i nie czepia się ich antywirus?

Będę bardzo wdzięczny za uwagi.

 

[tomislav]

Łatwo takie coś namierzyć. Wpisujesz cmd, potem netstat -ano i enterujesz. Jeśli przy nasłuchiwaniu masz obce IP, znaczy się, że pewnikiem masz keyloggera.

 

[senkelp]

Bez wątpienia, większość "korporacyjnych" antywirusów namierza większość keyloggerów, nie mówiąc już o zaawansowanych narzędziach sieciowych oraz anty-szpiegowskich. Dlatego stosuje się raczej hardware'owe keyloggery. I przypominam, że ja nie chcę szukać keyloggera u siebie tylko chcę go u siebie założyć

 

[tolep]

Och, niby dlaczego na twoim PRYWATNYM komputerze (którego, w domysle, jesteś administratorem) miałbyś potrzebować sprzętowego keyloggera? To, ze antywirusy wykryją programowego to jakiś problem? Dodajesz [folder] keyloggera do wykluczeń programów antywirusa i jazda z tym koksem.

 

[senkelp]

Nie napisałem, że musi być sprzętowy, ale że może być programowy pod warunkiem, że nie będzie zawierał spyware/adware (większość zawiera) oraz że w ogóle się go da zainstalować. Owszem, jestem administratorem i mogę czasowo wyłączyć ochronę antywirusową, ale po jej przywróceniu zazwyczaj antywir znowu się czepia. Jestem leszczem komputerowym, dlatego szukam prostego i skutecznego rozwiązania.

 

[tolep]

Ten program http://www.dobreprogramy.pl/Revealer-Keylogger-Free,Program,Windows,45562.html jest darmowy i działa. W opisie stoi napisane, co robi a czego nie.

Nie powiedziałem, że masz czasowo wyłączać antywirusa. To może - ale nie musi - być potrzebne przy ściąganiu i instalacji. Sprawdziłem właśnie że Avast nawet nie kwiknął gdy zainstalowałem RK. Więc nie potrzeba nic robić.
W przypadku Microsoft Security Essentials trzeba było go wyłaczyć na okres instalacji programu, a potem tylko dodać do wyjatków (wykluczeń) folder gdzie został zainstalowany.

Każdy antywirus ma opcję dodawania programów/folderów do wykluczeń/wyjątków która powoduje, ze mimo włączenia programu, danego folderu się on nie czepia.

 

[Cngelx]

Łatwo takie coś namierzyć. Wpisujesz cmd, potem netstat -ano i enterujesz. Jeśli przy nasłuchiwaniu masz obce IP, znaczy się, że pewnikiem masz keyloggera.

Bullshit. Można przygotować keyloggera w taki sposób aby ta metoda była niemal całkowicie nieskuteczna.

Warunki to:
- nie będzie on działał jako serwer (czyli nie będzie nasłuchiwał) tylko jako klient i co jakiś czas (możliwie jak najrzadziej) wyśle dane na zdalny serwer, gdzie aplikacja serwerowa nasłuchuje najlepiej na porcie 443, a przesyłane dane są szyfrowane.
- sprawi się by proces keyloggera nazywał się np. firefox.exe,
- plik zlokalizuje się w odpowiednim podkatalogu %PROGRAMFILES% albo %LOCALAPPDATA% (w zależności od tego gdzie jest zlokalizowany "prawdziwy" firefox).
I te trzy rzeczy wystarczą, żeby metoda detekcji którą podałeś została zaorana. Trzeci punkt czasami pozwoli również na ominięcie reguł firewalla (np. jeżeli firefox został zainstalowany w ProgramFiles, a aktualizacja w LocalAppData to prawdopodobnie "prawdziwy" firefox.exe z obu tych lokalizacji został już dodany do wyjątków firewalla i wystarczy nadpisać jeden z nich, żeby firewall stał się bezużyteczny)

Żeby keylogger nie został namierzony przez antywirusa wystarczy zrobić go jako program unikatowy. Można pobrać kod źródłowy jakiegoś keyloggera, przerób w paru miejscach, skompilować samemu i być może to już wystarczy. Jeżeli nie to trzeba bardziej przerobić, bądź najlepiej napisać od podstaw. Praktycznie wszystkie programy antywirusowe działają na zasadzie dopasowywania do odpowiednich wzorców.
Natomiast dla ominięcia heurystyki trzeba trochę pokombinować, ale jest to jak najbardziej wykonalne i jest to poziom "easy". ;]

@senkelp: jaki masz budżet na ten cel?

 

[Kompowiec2]

co do zmiany kodu, obfuskacja tylko utrudni czy moze jednak dalaby jakis znaczacy efekt? wtedy OP leszcz moze by sobie poradzil, nie kazdy zna sie na asemblerze... i nie tylko

 

[senkelp]

Ten program http://www.dobreprogramy.pl/Revealer-Keylogger-Free,Program,Windows,45562.html jest darmowy i działa. W opisie stoi napisane, co robi a czego nie.

Dzięki, wypróbuję.

@senkelp: jaki masz budżet na ten cel?

Za uniwersalnego keyloggera sprzętowego byłem gotowy zapłacić do 1000 zł, traktując go jako zakup na lata. Za softwere'owy nieco mniej, ale wszystko zależy od jakości.

Przeglądając różne strony sklepów zajmujących się sprzedażą takich rozwiązań, trafiłem na różne nietypowe rozwiązania, np. video-grabber wpinany między monitor a wyjście hdmi, który co ileś tam minut robi zrzuty ekranu. Jednak wszystkie propozycje są dla komputerów stacjonarnych. Okazuje się, że nie ma prostego i skutecznego urządzenia, które można wsunąć w port USB czy gdziekolwiek indziej w laptopie i monitorować w ten sposób aktywność użytkowników. Wygląda mi to na dużą niszę rynkową

 

[Mad.lock]

Ostatnio obił mi się o oczy ten filmik. Nie testowałem.

 

[NoahWatson]

Klawiatura w laptopie (ta wbudowana) zwykle nie działa poprzez USB.
Nie było tutaj tego zdania

i8042: PNP: PS/2 Controller [ ] at   irq
serio: i8042 KBD port at   irq
input:   keyboard as /devices/platform/i8042/serio0/

http://theinvisiblethings.blogspot.com/2011/06/usb-security-challenges.html

Finally, the USB, as the names stands, is a bus interconnect, which means all the USB devices sharing the same USB controller are capable of sniffing and spoofing signals on the bus. This is one of the key differences between USB and PCI Express standards, where the latter uses a peer-to-peer interconnect architecture.

W każdym razie klawiatura wbudowana w laptop na szczęście nie jest zwykle przez USB łączona.

 

[Ram]

Dzień dobry,

Czasami keylogger jest dobrym rozwiązaniem.
Keylogger sprzętowy składuje wszystkie dane w jednym stosie, co jest niewygodne
Wypróbuj keylogger Refog, korzystam z niego od dwóch lat.

Wersja "Employee" jest darmowa i w pełni funkcjonalna przez 1 miesiąc - http://pl.refog.com/
Poniżej znajduje się instrukcja instalacji z Antywirusem (ESET):
support.refog.com/hc/en-us/articles/202937689-ESET-Smart-Security

 

[senkelp]

Oba programy zarówno Refog jak i Revealer nawet nie dają się ściągnąć bez dezaktywacji antywirusa. Nie mówiąc już o tym, że trzeba je instalować. Dobry keylogger działa w moim wyobrażeniu tak: ściągaszm uruchamiasz go na Windows z uprawnieniami administratora, podajesz kombinację klawiszy / hasło, nic nie musisz instalować, działa ci w tle dopóki sam go nie wyłączysz. Gdzie znaleźć taki program?

 

[Grzechotnik]

To jak on ma się uruchomić po restarcie jak będzie niezainstalowany? Jakiś daemon musi przecież chodzić...

Łatwo takie coś namierzyć. Wpisujesz cmd, potem netstat -ano i enterujesz. Jeśli przy nasłuchiwaniu masz obce IP, znaczy się, że pewnikiem masz keyloggera.

Bez jaj. Jak chcesz sprawdzić czy coś ci nie buszuje, to odpal sniffer.
Paranoicy powinni odpalić dwa - jeden na podejrzanym systemie, drugi na innym kompie, który ma być routerem dla tego pierwszego. Lepiej też nasłuchiwać kilka godzin, w razie jakby wirus miał przykazane by załączać się po pewnym uptime'ie. Później reboot i zmiana czasu (w przód) w biosie o kilka tygodni (później miesięcy) - może robić zrzutki co kilka dni. Przed tym krokiem należy wyłączyć synchronizacje czasu (ntp), inaczej nie ma sensu tego robić.
Tylko uważajcie żeby zawału nie dostać, jak zobaczycie IP serwera z którego antiwirusa ściąga aktualizacje. Jak logi są czyste, a wy nie jesteście z wykształcenia fizykami nuklearnymi, pracującymi dla irańskiego rządu, to możecie spać spokojnie.