Forum Tibia.pl - Zobacz pojedynczy post

Rothes · 04-03-2006, 14:55

Dodam tylko, iż poza najczęsciej spotykanymi formami przesyłania logów (smtp, ftp) zdarzają się czasami naprawdę niestandarowe metody. Przedstawię wam schemat działania keyloggera napisanego przez mojego kolegę (nie był on wykorzystywany do kradzieży kont w Tibii):

a) po uruchomieniu kasował plik z folderu w którym został usunięty, a przekopiowywał się do folderu c:/windows/system32 (program sprawdzał wersję systemu i jeżeli był to win 9x to folderem tym był c:/windows/system)
b) proces w menedżerze zadań był bardzo podobny do jednego z systemowych, ponieważ prócz zabiegu w punkcie a, program zmieniał także nazwę pliku
c) keylogger zaczął zapisywać logi, jedynie gdy uruchomiony był proces określonego wcześniej programu (np. gadu-gadu)
d) podczas tworzenia logów, program uwzględniał wszystkie klawisze typu ctrl, shift, itp. oraz kliknięcia zarówno prawym jak i lewym przyciskiem myszy z uwzględnieniem położenia kursora w momencie klikania, a także w przypadku wciśnięcia kombinacji ctrl+v, ctrl+c, ctrl+x wyświetlał zawartość schowka
e) logi wysyłał co pewną ilość znaków, poprzez uruchomienie internet explorera, wejście na stronę, która z kolei przy pomocy naprawdę prostego skryptu php dopisywała log do bazy (ie uruchamiał się w taki sposób, że dla przeciętnego użytkownika komputera proces ten był nie widoczny)
f) jak już wcześniej wspomniałem logi zapisane przez keyloggera były zapisywane do specjalnej bazy, więc całe podpatrzenie logów ofiary polegało na wejściu na odpowiednią stronę zawierające skrypt php wyświetlający efekty pracy
g) oczywiście jak każdy pisany ręcznie keylogger nie był wykrywalny przez antyvirusy, a ponieważ znaczna część użytkowników w swoich firewallach domyślnie pozwala na dopuszczenie połączenia przez ie, firewalle również były nieskuteczne

Mam nadzieję, iż analiza powyższego schematu działania, wyjaśni jak mniejwięcej działają keyloggery.

Pozdrawiam
Rothes

04-03-2006, 14:55	#13
Rothes Książe Cieni Data dołączenia: 03 06 2004 Lokacja: Suwałki / Wrocław Wiek: 35 Posty: 1,132 Stan: Na Emeryturze Imię: Rothes Tavelon Profesja: Master Sorcerer Gildia: Tranquilibrium Świat: Guardia Poziom: 130 Skille: 22/29 Poziom mag.: 73	Dodam tylko, iż poza najczęsciej spotykanymi formami przesyłania logów (smtp, ftp) zdarzają się czasami naprawdę niestandarowe metody. Przedstawię wam schemat działania keyloggera napisanego przez mojego kolegę (nie był on wykorzystywany do kradzieży kont w Tibii): a) po uruchomieniu kasował plik z folderu w którym został usunięty, a przekopiowywał się do folderu c:/windows/system32 (program sprawdzał wersję systemu i jeżeli był to win 9x to folderem tym był c:/windows/system) b) proces w menedżerze zadań był bardzo podobny do jednego z systemowych, ponieważ prócz zabiegu w punkcie a, program zmieniał także nazwę pliku c) keylogger zaczął zapisywać logi, jedynie gdy uruchomiony był proces określonego wcześniej programu (np. gadu-gadu) d) podczas tworzenia logów, program uwzględniał wszystkie klawisze typu ctrl, shift, itp. oraz kliknięcia zarówno prawym jak i lewym przyciskiem myszy z uwzględnieniem położenia kursora w momencie klikania, a także w przypadku wciśnięcia kombinacji ctrl+v, ctrl+c, ctrl+x wyświetlał zawartość schowka e) logi wysyłał co pewną ilość znaków, poprzez uruchomienie internet explorera, wejście na stronę, która z kolei przy pomocy naprawdę prostego skryptu php dopisywała log do bazy (ie uruchamiał się w taki sposób, że dla przeciętnego użytkownika komputera proces ten był nie widoczny) f) jak już wcześniej wspomniałem logi zapisane przez keyloggera były zapisywane do specjalnej bazy, więc całe podpatrzenie logów ofiary polegało na wejściu na odpowiednią stronę zawierające skrypt php wyświetlający efekty pracy g) oczywiście jak każdy pisany ręcznie keylogger nie był wykrywalny przez antyvirusy, a ponieważ znaczna część użytkowników w swoich firewallach domyślnie pozwala na dopuszczenie połączenia przez ie, firewalle również były nieskuteczne Mam nadzieję, iż analiza powyższego schematu działania, wyjaśni jak mniejwięcej działają keyloggery. Pozdrawiam Rothes __________________ ~~~ Proud to be bestowed the honorary title of Senator by CipSoft ~~~ Proszę do mnie nie pisać w sprawach związanych z moderacją forum. Zrezygnowałem z pełnienia tej funkcji. Ostatnio edytowany przez Rothes - 04-03-2006 o 14:57.