Keyloggery programowe - wykrywanie i obrona

Archiwum

Cytat

Długie szaty krępują ciało, a bogactwa duszę. Sokrates
I byłem królem. Lecz sen przepadł rankiem. William Szekspir (właść. William Shakespeare, 1564 - 1616)
Dalsza krewna: Czy śmierć to krewna? - życia pytasz się kochanie, tak krewna, ale dalsza, już na ostatnim planie. Sztaudynger Jan
Dla aktywnego człowieka świat jest tym, czym powinien być, to znaczy pełen przeciwności. Luc de Clapiers de Vauvenargues (1715 - 1747)
A ludzie rzekną, że nieba szaleją, a nieba rzekną: że przyszedł dzień Wiary. Cyprian Kamil Norwid (1821-1883)

aaaaLATANIE W KATARZEaaaa

Witam :sport001: jestem nev i postanowiłem wstawić sprawdzony poradnik wykrywania Keyloggera źródło pochodzi z innej stronki ale sam sprawdziłem i daje 100% gwarancj na działanie

Często a może i wszyscy twórcy Keyloggerów piszą w swoich ofertach reklamowych coś takiego:
- tego keyloggera nie można wykryć żadnym oprogramowaniem
- logi są zaszyfrowane i ofiara nie ma możliwości ich podejrzenia itd itd.
Problem jest w tym, że kilka takich programików przejrzałem samym oprogramowaniem narzędziowym zawartym w Windowsach iiii
i bez żadnego problemu odnalazłem ich wynik pracy, czyli pliki ze zrzutami ekranowymi i
i bez żadnego problemu przejrzałem te pliki nie stosując nawet programu matki, czyli Keylogger.exe i nawet bez żadnego problemu oślepiłem je uniemożliwiając im prowadzenie inwigilacji/zapisu na dysku !! bez konieczności ich hibernacji czy remowania !!
Dopiszę może jeszcze takie spostrzeżenie a mianowicie, jak takiemu ZWIERZOWI popatrzy się dłużej prosto w oczy, to będzie bezczelnie ujadał i zasypywał komunikatami - przykład

Nie mogę dokonać zapisu do pliku ....... ponieważ aplikacja jest używana przez
inny program !!!

Muszę uczciwie jednak dopisać, że testowałem tylko kilka Keyloggerów, więc może i są jakieś CUDOWNE WYNALAZKI, które są bardziej zakamuflowane w strukturze innych folderów lub nawet plików zainstalowanych programów lub bezpośrednio w samym Windowsie i nie dają się żadnymi metodami podejrzeć ani wykryć, choć jednak z natury w cuda osobiście nie wierzę.

Bardzo ważna informacja dla Czytelników czytających ten tekst !!
Wszystko to, co tutaj jest napisane jest naprawdę bardzo proste w wykonaniu, trwa najwyżej kilkanaście - kilkadziesiąt sekund, jest bezwarunkowo LEGALNE, nawet gdy robimy to na służbowych i tajnych komputerach państwowych i najważniejsze, nie jest wykrywalne przez szefa !!! a nawet informatyka nadzorującego nasz komputer. Napiszę może jeszcze bardziej precyzyjnie, gdyż opisując zjawiska techniczne nie powinno budować się zdań wieloznacznych, Jest widoczne to co będziemy robić o ile mamy w tej maszynie zainstalowanego szpiega,
ale nie jest i nie będzie skojarzone z techniką kontrwywiadowczą, nawet gdy całą tą naszą operację ZAREJESTRUJE .właśnie ten Keylogger którego szukamy.
Wiedza informatyczna a tym bardziej logika w tym Kraju jest utopią, gdyż w szkołach lub na uczelniach uczy się przymusowo modłów i skakania po drzewach lub kopania piłki.
I ważna uwaga, warto to mieć na uwadze !!!
Wszystkie niżej opisane operacje o ile trochę poćwiczymy w domku, możemy bezczelnie wykonywać nie tylko na oczach swojego szefa
ale i informatyka dbającego o ten nasz służbowy System !!!.
Niewiarygodne ??, może i tak, ale jak najbardziej prawdziwe. Nie ma takiego mądrego, który by te wszystkie nasze operacje połączył z szukaniem Keyloggera, którego sam zamontował !!.
Dlaczego tak jest ?, o tym napiszę na samym końcu.

Pewnie wielu osobom nasuwa się pytanie, to dlaczego nie zamontować w tym systemie jakiegoś specjalistycznego oprogramowania anty szpiegowskiego i nie robić tak, jak to uczą w polskich szkołach ?. Problem jest wieloraki. Jeżeli to jest komputer uczelniany czy nawet służbowy w naszej firmie to raz, że takiego oprogramowania nie wolno nam zamontować, bo w stu procentach one same nie są obojętne dla systemu a nawet są bardzo dużym zagrożeniem, po drugie może nam się nie udać takiego anty szpiega zainstalować, gdyż może być Rejestr zablokowany, a po trzecie, Keylogger wcześniej zainstalowany w tym komputerze zarejestruje całą procedurę instalacyjną łącznie z naszym poszukiwaniem i z naszych dociekań będą nie tylko nici ale i kłopoty !!!.

Groźne antywirusy

Nasilenie ataku groźnych antywirusów spowodowało ostatnio wzrost zainteresowania aplikacjami, które mają chronić komputer przed elektronicznymi zagrożeniami. Jednak jak wynika z raportu Microsoftu, użytkownicy którzy sięgają po programy antywirusowe, często padają ofiarą oszustwa i instalują i instalują na swoich komputerach aplikacje, które zamiast zabezpieczyć system operacyjny, ułatwiają robakom przeprowadzenie ataków. Producenci tzw. scareware`u żerują na panice jaką wywołały ataki wirusa Conficker. Fałszywe programy zabezpieczające stanowią według danych Microsoftu - siódme w kolejności zagrożenie na liście 25 najczęściej wykrywanych.
[Only registered and activated users can see links. Click Here To Register...]

To jest informacja która została zamieszczona w polskim czasopiśmie
PC Format w numerze 6 / 2009

Problem w tym, że to co tutaj obok zostało napisano jest tylko częścią prawdy, gdyż problematyka jest dużo bardziej skomplikowana i poważniejsza, ale o tym może w dalszej części dokumentu.

O ile będzie to kogoś w tym Kraju interesowało ?

Opis działania Keyloggerów programowych

Krótka definicja wg. Wikipedii. Keyloggery są to programy, które działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego służącymi do obsługi klawiatury.
Każde wciśnięcie klawisza jest odnotowywane w specjalnym pliku. Opcjonalnie informacje
o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna. Keyloggery zawierają funkcje chroniące je przed wykryciem przez niedoświadczonego użytkownika komputera, a plik w którym zapisywane są dane ukryty jest np. w katalogach systemowych. Dzięki temu długo mogą rezydować nie wykryte na komputerze ofiary i przyczyniać się do ujawnienia wszystkich wykorzystywanych haseł. Większość Keyloggerów ma specjalnie stworzoną funkcję, która pozwala na wysłanie pliku z hasłami na wyznaczony adres pocztowy.
Inaczej ujmując, każdy Keylogger umożliwia odczytanie:
» Logów klawiatury - tego co było pisane na klawiaturze,
» Zrzutów ekranu monitora, tzw. print screenów,
» Poznanie aplikacji i programów, które były uruchamiane,
» Wszystkie dane zapisywane są z dokładną datą i godziną.

Tak to wygląda w olbrzymim uproszczeniu, gdyż dokładne opisanie pracy Keyloggera wymagało by napisania setek stron tekstu.

Wykrywanie Keyloggerów programowych

W praktyce, jak widzę to wykrycie zarówno samego Keyloggera, oraz jego zapisek do pliku nie stanowi praktycznie żadnego problemu, nie potrzeba używać nawet do tego celu żadnego oprogramowania anty szpiegowskiego, wystarczy tylko sam Szlachetny Windows, ale jeżeli użyjemy do pomocy dodatkowo znanego powszechnie Total Commandera, to praktycznie możemy robić z takim Keyloggerem w swoim komputerze wszystko.

Uwaga !! wywalenie Keyloggera z dysku jest najbardziej złym rozwiązaniem !! W takiej sytuacji możemy się już nigdy nie dowiedzieć, kto nam go zainstalował, oraz najważniejsze - nie możemy PODSYŁAĆ fałszywych informacji !! czyli oszukiwać swojego wroga !!.
Jeżeli jesteśmy bardzo słabi w informatyce, to szanse na ponowne jego wykrycie będą żadne, gdyż przeciwnik zastosuje lepsze metody lub nawet ich kilka i praktycznie to będzie oznaczało koniec z naszą poufnością !.

Takim charakterystycznym objawem zainstalowania Keyloggera jest SAMO ? przestawienie się nastawień w Eksploratorze, które będzie polegało na ukryciu plików z atrybutem UKRYTY !.

Jeżeli zauważyliśmy jakiegoś dnia, że zniknęły ??? nam pewne pliki w Eksploratorze z atrybutem ukryty, to na 100% jest już pewne, że mamy zainstalowanego Keyloggera.

Czyli, o ile było do tej pory w Eksploratorze odhaczone / włączone menu
Narzędzia/Opcje Folderów/Widok/ Pokaż ukryte pliki i foldery
i pewnego dnia to ustawienie SAMO się zmieniło to - mamy już zainstalowanego Keyloggera !!

Jest tylko jeden mały problem z tym menu, dowcipnisie z Microsoftu zaszydzili ze zdrowego rozsądku i tak jak w całym Winie wszystko zrobili na odwrót czyli tak, by PRZESTĘPCA miał maksymalną wygodę w swoich kryminalnych działaniach,
więc domyślnie ta opcja jest wyłączona po zainstalowaniu Windowsów !!!.
To jest jeden z wielu przykładów, że Keylogger programowy nie jest niewidzialny jeżeli chodzi o sam program, ale także to się odnosi do bazy/katalogu logów/plików/zrzutów ekranowych, które rosną do monstrualnych rozmiarów o ile nie zostanie taki szpieg wyłączony przez włamywacza. Dlatego po istnieniu takiej gigantycznej bazie logów jest bardzo prosta i łatwa możliwość wykrycia pracy każdego Keyloggera, choć samego programu możemy nigdy nie odnaleźć o ile nie mamy odpowiedniej wiedzy informatycznej.

Techniki wykrywania Keyloggerów programowych
Legalne metody pasywne i neutralne dla Systemu

Za pomocą znacznika
Za pomocą tej metody możemy wykryć bardzo dokładny moment/czas w którym w naszym systemie zostaje zainstalowany jakiś Keylogger programowy. Jeżeli nasz system operacyjny został zainstalowany ileś miesięcy temu, to w tym przypadku nie bardzo ma sens stosowanie takiego znacznika, gdyż szpiegów możemy mieć w komputerze już od liku, ale jeżeli dopiero niedawno skonfigurowaliśmy system i całość oprogramowania, to warto stracić trzy minutki na taki BEZPIECZNIK- ZNACZNIK.

Tak jak napisałem wyżej, opcja nie pokazywania plików z atrybutem UKRYTY jest domyślnie włączona, więc ją musimy odhaczyć. Czyli w
Eksploratorze/Narzędzia/Opcje folderów/Widok/Pokaż ukryte pliki i foldery
musimy zaznaczyć ten wpis. Następnie robimy PUSTY np. katalog na pulpicie, tylko po to by mieć na ekranie jego ikonkę. Jeżeli zrobimy nie katalog, a np. skrót do dokumentu czy programu [nawet pustego !!] to będziemy mogli takiej ikonie nadać całkiem dowolny wygląd, włącznie z możliwością wyedytowania odpowiedniej jakiejś "wściekłej" ikony w programie graficznym, która będzie się bardzo wrzucała w oczy.
I tak, jeżeli to jest nasz prywatny komputer, to możemy tej ikonie nadać nazwę np. KEYLOGGER, ale ikony nie uda się zmienić więc pozostaje jako typowy FOLDER. Ale jeżeli jest to komp firmowy, to taki numer nie ma sensu gdyż pracodawca natychmiast się nim zainteresuje, wiec ten nowy folder musimy nazwać tak, by nigdy nie był obiektem żadnego nawet najmniejszego podejrzenia że coś spiskujemy. Nazywamy wiec go MOJE DOKUMENTY, nic nie szkodzi że jest już inny folder systemowy o takiej samej nazwie, ale ma on i tak inną ikonkę.
W następnym kroku z menu kontekstowego nadajemy temu folderowi atrybuty UKRYTY i umieszczamy ten nasz DETEKTOR keyloggerów w jakimś bardzo widocznym miejscu, choćby w samym centrum ekranu.
Tak więc, od tego momentu możemy natychmiast wyłapać czas w którym zostaje zainstalowany Keylogger zarówno przez naszą przemiłą zazdrosną żoneczkę jak i przez pracodawcę. Zniknięcie tej ikonki jednoznacznie informuje nas o fakcie zainstalowania szpiega w Systemie.
Dodatkowe wyjaśnienie
Tym znacznikiem wykryjemy moment zainstalowania nie tylko Keyloggera ale i pewnych wirusów włącznie z trojanami, czyli wszelkie robactwo które ROBI ZMIANĘ WPISU W REJESTRZE odnośnie nie pokazywania plików i folderów z atrybutem UKRYTY.
Ale jest pewne ale - jeżeli twórca takiego robactwa robił je byle jak, szedł na skróty i nie używał logiki, to takiego TYFUSU już nie wykryjemy tego rodzaju znacznikiem i musimy się posługiwać inną bardziej złożoną metodą analityczną.

**********************

Metoda przez komparację plików i katalogów

To jest najszybsza i najbardziej precyzyjna metoda wykrywania nie tylko Keyloggerów, ale wszystkiego co zostało dopisane na dysk w określonym przez nas czasie. Ale żeby tej metody używać musimy wiedzieć, jak zapisywane są tzw. BAZY DANYCH Keyloggerów, gdyż w jednym dniu może [ale nie musi] być tworzony tylko jeden KATALOG z wieloma plikami, których za pomocą zrzutu drzewa katalogów nie zobaczymy.
Przez komparację katalogów możemy wykryć dosłownie nawet i pchłę na dysku o ile ona zapisze się w osobnym katalogu. Oczywiście dosłownie w tym przypadku chodzi o wirusa, trojana czy jakiegoś innego szpiega.
Listingu katalogów całego dysku [ lub wszystkich dysków] nie zrobimy za pomocą żadnego Widowsa, ale idealnie zrealizujemy to za po mocą dowolnej wersji Total Commandera. Po otwarciu Total Commandra wchodzimy do zakładki POLECENIA i Na samej górze menu klikamy na CD Drzewo o ile mamy program po polsku. Ale uwaga !!!, ten zrzut działa tylko jeden jedyny raz !!! i każde następne kliknięnie w tą zakładkę nie tworzy nam nowego listingu, ale odczytuje, czyli pokazuje w okienku informacyjnym już istniejący, który jest zapisany w katalogu głównym dysku, którego był robiony zrzut katalogów. Jeszcze jedno, ten plik z obrazem całego drzewa katalogów ma atrybuty UKRYTY, więc normalnie go nie zobaczymy, więc w Eksploratorze Windowsa musimy odhaczyć opcję Pokaż Ukryte Pliki i Foldery.
A więc, na początku dnia pracy z komputerem robimy powyższy listing wszystkich katalogów dysku C [ nie warto robić zrzutu innych dysków, chyba że mamy wyjątkowo dobrego wroga w logice !!]. I następnie go WYCINAMY [ nie kopiujemy !!!] na inny nośnik albo REMujemy ten plik z tą bazą, czyli będzie to plik o nazwie Treeinfo.wc z atrybutem H czyli ukryty. Po zaremowaniu może on mieć nazwę dla przykładu REMTreeinfo.wc ale gdy mamy podejrzenia że nasz wróg jest wyjątkowo bystry, to możemy zmienić nawet rozszerzenie tego pliku na przykład na Treeinfo.cba lub całkiem inne dowolne. Proszę nie zwracać uwagi na komunikaty Windowsa, jak będzie krzyczał, że tego pliku później nie otworzymy lub go zniszczymy. To nie jest absolutna prawda a jedynie zagrywanie w głąba z ludźmi prze Tim Microsoftu.

Identyczną operację możemy wykonać na końcu dnia pracy, następną na początku następnego dnia itd. Gdy chcemy wroga rozpracowywać naukowo i systematycznie to najlepiej będzie jak zamiast oryginalnej nazwy pliku czyli TREEINFO, będziemy wpisywali [ zmieniali nazwę pliku na dysku ] na informacje z konkretną datą, czyli dla przykładu może to być np. 19-04-2009R.wc lub 19-04-2009P.wc itp. Literką R oznaczyłem plik z listingu rannego a literką P, popołudniowego.
Jeszcze raz przypominam, po każdym zrzucie musimy dany plik USUNĄĆ !!! przez wycięcie go z dysku na inny najlepiej zewnętrzny nośnik, inaczej nie będziemy mieli żadnych nowych zrzutów folderów !!. Jeżeli nie możemy podpinać do portu USB ani pamięci przenośnej ani PenDrivera, bo tego nam zakazuje pracodawca, to nie musimy tego robić. Tworzymy dowolny katalog np. o nazwie BDD, czyli Baza Danych Dysku i w nim umieszczamy wszystkie pliki typu WC.

Jeżeli mamy już przynajmniej dwa takie pliki, to i tym razem korzystamy z pomocy Total Commandera, ale z innego polecenia. Nie robimy operacji [ komparacji ] na folderach, ale na plikach, czyli wchodzimy do menu Pliki i otwieramy zakładkę Porównaj wg zawartości. Dokładnie robimy tak, w jednym oknie otwieramy jeden plik a w drugim drugi i mamy wyróżnioną na czerwono różnicę zwartości obu plików. W praktyce oznacza to, że jak nie jest tworzony w ukryciu żaden folder to oba pliki będą identyczne a jak jest jakiś nowy, to będzie on wyróżniony na czerwono.

Zakładam, że wiemy jakie sami tworzymy nowe katalogi z dokumentami na naszym dysku, gdyż one też będą wyróżnione.

**********************

Wykrywanie za pomocą wewnętrznych narzędzi samego Windowsa
Tą metodą możemy praktycznie wszystko [ ale po za wirusami które są instalowane lub nadpisywane we wnętrzu już istniejących podprogramów ] wykrywać w naszym komputerze, ale ona ma też i słabą stronę a mianowicie musimy dosyć dobrze znać procesy zachodzące w Systemie, gdyż możemy wykryć to czego szukamy, ale nigdy poprawnie wyniku szukania nie zinterpretujemy. Problem jest tym większy im więcej mamy zainstalowanego w Systemie oprogramowania użytkowego jak i narzędziowego.

Takim idealnym narzędziem jest Start/Wyszukaj/Pliki i foldery plus wewnętrzne opcje ustawień wyszukania. Za pomocą tego programiku, bez żadnego problemy znajdziemy nie tylko bazę logów każdego Keyloggera ale nawet i samego Keyloggera.
Przypominam, w tej zakładce omawiamy metody szukania Keyloggerów programowych a nie sprzętowych. Keyloggerów sprzętowych za pomocą wyżej wymienionych metod absolutnie nie wykryjemy !!.

Tekst w pisaniu

**********************

Co robić jeżeli mamy przypuszczenia że mamy szpiega - Keyloggera ?
Jest jedyna fundamentalna prawda odnośnie wszystkich Windowsów
Żadnego Windowsa nigdy nie udaje się naprawić żadnymi dostępnymi programami.
Wszystko co będziemy robić, włącznie z całą masą odpalanych systemów antywirusowych, czy antyszpiegowskich, nigdy żaden program nie naprawi Windowsa !!!. Testowałem to setki razy i zawsze był ten sam efekt - Windows nadawał się na śmietnik !!.

Dla laika, to brzmi wręcz katastroficznie, ale dla kogoś z odrobiną wiedzy informatycznej, to tylko świetna zabawa z Geniuszami z Redmond. Przecież skoro nie udaje się to CUDO naprawić, to po co je naprawiać ??.
Dajemy dobrego kopa Windzie i wysyłamy go w Kosmos, i w piętnaście minut robimy cofkę systemu [ lustra ] z PenDrvera i mamy System idealnie nowiutki.
Oprogramowanie do tego wyczynu jest całkowicie darmowe i ogólnodostępne !!.
Ja używam od bardzo dawna Paragon System Recover - Paragon Drive Backup - Boot Manager Configure

Teraz każdy logicznie myślący czytelnik zapyta, to po cholerę wymyśla się tyle drogiego oprogramowania antywirusowego i antyszpiegowskiego, by marnować całe dni na kontrolę i naprawianie, skoro to i tak nic nie daje !!. I stawia dobre pytanie, gdyż nie ma na nie żadnej logicznej odpowiedzi. A może jest jedna, producenci zakładają, że każdy użytkownik komputera to totalny debil i wszystko co jemu się zareklamuje i podsunie pod nos, to wykona bez namysłu no i oczywiście zaaaaarobić można nieźle na takim koksie !!.
Ta moja preferowana metoda COFKI LUSTRA jest idealna dla ludzi, którzy nie chcą tracić czasu na naprawianie, czegoś czego nie da się naprawić, ale jeżeli chcemy popracować naukowo lub poznęcać się na swoim wrogu, albo faszerować go taką informacją jaką jemu sami sfabrykujemy i podeślemy, to oczywiście jest wyjątkowo skuteczna. Ale o tym będzie w następnych artykułach.

>>>>>> <<<<<<

Jak zrobić szybko swojego Keyloggera ?

Co musimy mieć i jaką posiadać wiedzę, by taki program w swoim kompie zmajstrować ? Odpowiadam już w tej chwili, żeby nie zniechęcić do dalszej nauki informatyki i eksperymentowania - prawie nic !!.

Do tego wystarczy pewien jeden ogólno dostępny programik i sam nasz Podły Windows !!!, w którym aktywujemy tylko jedną jedyną funkcję. Jedyne co musimy wiedzieć, to znać miejsce dokonywanego zapisu edytowanego dokumentu przez ofiarę. Takim najczęściej używanym miejscem jest katalog Moje Dokumenty, ale może to być całkiem inne dowolne miejsce na każdym dowolnym dysku wymiennym czy karcie pamięci.

Najpierw tworzymy odpowiedni pliczek/programik SFX / EXE, .którego zadaniem jest kopiowanie plików albo nowo utworzonych albo przyrostowych do innego naszego ukrytego katalogu z równoległą i automatyczną zmianą rozszerzenia danego pliku w celu jego ukrycia jak i uniemożliwieniem jego otwarcia przez właściwy program, a następnie uruchamiamy aktywator dla naszego programiku/Keyloggera jakim jest Harmonogram Zadań, który posiada każdy Windows. Czyli mamy idealnie zmajstrowany Keylogger w 5 minut i to całkiem za darmo. Jedynym objawem działania takiego ukrytego intruza jest bardzo krótkie mignięcie ekranu, dla zwykłego szaraka to z niczym się i tak nie skojarzy, ale dla trochę bardziej bystrego użytkownika może dać coś do przemyślenia o ile zapis do ukrytego katalogu będzie dokonywany np. co jedną minutę, ale jeżeli ten SFX będziemy aktywować np. co 5/10 minut to szanse na wykrycie są raczej mizerne.