Key loggers... what is going on?

[Ziomisław]

Ostatnio czytałem w necie o key loggerach gdyż chciałem dokładniej się dowiedzieć na jakiej zasadzie to wogole działa. Przeczytałem - zrozumiałem, ale intryguje mnie jedno. Wszędzie jest napisane, że to taki programik, który zapisuje wszystkie ruchy, które wykonuje się na komputerze na którym jest ten key logger. Wszystko pięknie w takim razie jak hakerzy zamieszczają key loggery do jakiś programów i robią tak, że to co zostało wykonane na baaaardzo daleko położonym komputerze to oni dostają na maila albo widzą to w jakimś edytorze tekstu?
Czy może mi to ktoś wyjaśnić?

[Nosso Mc'Furry]

Keyloogery najczęściej występują w plikach exe. Po kliknięciu na taki właśnie plik keylooger aktywuje się. Po aktywacji keyloogera może on wyczytać wszystkie wpisywane przez Ciebie kody (passy) po czym wysyła na meila osoby która jest "właścicielem" danego keyloogera.

[Thero]

Jest kilka opcji, czy wolsiz maila czy FTP czy nie jesteś lamą, czy jesteś? Zostaw kl w spokoju bo takiej pedałówy świat nie widział.

[Matek]

Cytuj:

Oryginalnie napisane przez Ziomisław

Ostatnio czytałem w necie o key loggerach gdyż chciałem dokładniej się dowiedzieć na jakiej zasadzie to wogole działa. Przeczytałem - zrozumiałem, ale intryguje mnie jedno. Wszędzie jest napisane, że to taki programik, który zapisuje wszystkie ruchy, które wykonuje się na komputerze na którym jest ten key logger. Wszystko pięknie w takim razie jak hakerzy zamieszczają key loggery do jakiś programów i robią tak, że to co zostało wykonane na baaaardzo daleko położonym komputerze to oni dostają na maila albo widzą to w jakimś edytorze tekstu?
Czy może mi to ktoś wyjaśnić?

Tak, klg zazwyczaj sa 'wyposazone' w oblusge smtp, ostatnio nawet widzialem kod klg, ktory wysylal info za pomoca sieci IM.

[Cafe]

Chciałem tylko dodać ze śa rózniez KG ktore robia SS i wysylaja je do "hax0rka"

[Blanca]

Cytuj:

Oryginalnie napisane przez Matek

Tak, klg zazwyczaj sa 'wyposazone' w oblusge smtp, ostatnio nawet widzialem kod klg, ktory wysylal info za pomoca sieci IM.

Chyba zawsze Smtp to minimum, czasem dodatkowo ftp. A keylogger umieszczany jest w pliku exe dzięki użyciu pakerów plików wykonywalnych(to nie to samo co np winrar )- dzięki temu stają się częscią pliku exe.

O ile autor tematu nie wiem co to smtp, proszę - http://pl.wikipedia.org/wiki/SMTP

[Radek 666]

Cytuj:

Oryginalnie napisane przez Cafe

Chciałem tylko dodać ze śa rózniez KG ktore robia SS i wysylaja je do "hax0rka"

Jeśli takie coś jest co w większości przypadków całkowicie nieużytecze. A czemu? A bo, do "hackera" (niech będzie, że go tak nazwę, ale to w sumie wcale nie jest hacker ) dojdze screen, a zamiast hasła będzie miał piękne kilka gwiazdek (bo przecież prawie zawsze zamiast hasła wyświetlają się *).

[moo]

Keyloggery sa najczesciej bindowane z jakims plikiem np. winampem. Sa mozliwosci aby logi wysylane byly na maila, ftp, nawet na gg np VSK. Loggery lapia wszystko co wpisujesz z klawiatury lecz dodatkowo moga wylapywac cos ze schowka czyli np. masz w notatniku haslo do Tibii i wklejasz je zamiast wpisywac i myslisz (nie mowie tu akurat o Tobie) ze kl tego nie lapia, a tu zonk. Duzo keyloggerow ma opcje wysylania screenow ale po co to ja jzu nie wiem
http://pl.wikipedia.org/wiki/Keylogger

[Thero]

@Up
Bo twórca uważa, że jego dzieło (tj. klg) nie jest lamowate i może być wykorzystywane do innych rzeczy niż tylko przechwytywanie tekstu, ale choćby spojrzenie na to po jakich folderach chodzi ofiara, po jakich stronach internetowych itp.

[Radek 666]

Cytuj:

Oryginalnie napisane przez Thero

@Up
Bo twórca uważa, że jego dzieło (tj. klg) nie jest lamowate i może być wykorzystywane do innych rzeczy niż tylko przechwytywanie tekstu, ale choćby spojrzenie na to po jakich folderach chodzi ofiara, po jakich stronach internetowych itp.

Tylko nasuwa mi się jedno pytanie... Po co ktoś ma widzieć po jakich folderach chodzisz/na jakie strony wchodzisz? ^^'

[Cebix]

Cytuj:

Oryginalnie napisane przez Radek 666

Tylko nasuwa mi się jedno pytanie... Po co ktoś ma widzieć po jakich folderach chodzisz/na jakie strony wchodzisz? ^^'

A wszelakie spyware/malware to co głównie robią? Właśnie to. A po co? A na przykład, żeby firmy wiedziały, gdzie ludzie wchodzą i tym samym mogły robić efektywniejsze bannery, reklamy, itp. wiedząc, co ludzie chcą widzieć. Jak zawsze chodzi o $$$. Taki keylogger to wcale nie musi być dziełem jednej osoby. 'Tibijskie' keyloggery przeważnie służą na korzyść pojedyńczego gracza, ale nie każdy keylogger, a właściwie zaledwie ich mały procent dotyczy Tibii.

Pozdrawiam.

[Descartes]

Odnośnie łapania screenów: Sprawdza się, gdy ktoś używa klawiatury ekranowej. Z tym, że to już nie jest pure keylogger.

[Rothes]

Dodam tylko, iż poza najczęsciej spotykanymi formami przesyłania logów (smtp, ftp) zdarzają się czasami naprawdę niestandarowe metody. Przedstawię wam schemat działania keyloggera napisanego przez mojego kolegę (nie był on wykorzystywany do kradzieży kont w Tibii):

a) po uruchomieniu kasował plik z folderu w którym został usunięty, a przekopiowywał się do folderu c:/windows/system32 (program sprawdzał wersję systemu i jeżeli był to win 9x to folderem tym był c:/windows/system)
b) proces w menedżerze zadań był bardzo podobny do jednego z systemowych, ponieważ prócz zabiegu w punkcie a, program zmieniał także nazwę pliku
c) keylogger zaczął zapisywać logi, jedynie gdy uruchomiony był proces określonego wcześniej programu (np. gadu-gadu)
d) podczas tworzenia logów, program uwzględniał wszystkie klawisze typu ctrl, shift, itp. oraz kliknięcia zarówno prawym jak i lewym przyciskiem myszy z uwzględnieniem położenia kursora w momencie klikania, a także w przypadku wciśnięcia kombinacji ctrl+v, ctrl+c, ctrl+x wyświetlał zawartość schowka
e) logi wysyłał co pewną ilość znaków, poprzez uruchomienie internet explorera, wejście na stronę, która z kolei przy pomocy naprawdę prostego skryptu php dopisywała log do bazy (ie uruchamiał się w taki sposób, że dla przeciętnego użytkownika komputera proces ten był nie widoczny)
f) jak już wcześniej wspomniałem logi zapisane przez keyloggera były zapisywane do specjalnej bazy, więc całe podpatrzenie logów ofiary polegało na wejściu na odpowiednią stronę zawierające skrypt php wyświetlający efekty pracy
g) oczywiście jak każdy pisany ręcznie keylogger nie był wykrywalny przez antyvirusy, a ponieważ znaczna część użytkowników w swoich firewallach domyślnie pozwala na dopuszczenie połączenia przez ie, firewalle również były nieskuteczne

Mam nadzieję, iż analiza powyższego schematu działania, wyjaśni jak mniejwięcej działają keyloggery.

Pozdrawiam
Rothes