Rootkits και Keyloggers

[Btsek]

Παίδες καλησπέρα.. Δεν είμαι σίγουρος αν το topic είναι για εδώ αλλά μου φαίνεται πως είναι Αν δεν είναι κάποιος να το μετακινήσει μιας και δεν γνωρίζω από forum γιατί γράφω πρώτη φορά.

 

Η ερώτηση μου είναι η εξής: Rootkis-Keyloggers. Βρήκα πως τα keyloggers είναι προγραμματάκια τα οποία καταγράφουν ότι γράφει το θύμα πχ και τα στέλνουν με mail κλπ στον "κακό". Τα rootkits από την άλλη βρήκα πως είναι προγράμματακια που μπαίνουν στον Kernel και αποκρύπτουν από τα αντιικά την ύπαρξη προγραμμάτων που επιθυμούν..

Η απορία μου είναι το πως συνδέονται αυτά τα δύο.. Δηλαδή για να στείλεις κάπως ένα keylogger σε κάποιον, πρέπει να του έχεις στείλει πιο πριν ένα rootkit για να αποκρύψει από το αντιικό το keylogger? Ή ένα rootkit μπορεί να εγκαταστήσει ένα keylogger? Γιατί από ότι σκέφτομαι κυρίως η ύπαρξη των rootkits είναι, να κρύβουν τα keyloggers και άλλα κακόβουλα για να πετύχει ο κακός το σκοπό του....

 Όποια ερώτηση να ξεδιαλύνει το τοπίο θα ταν χρήσιμη!

 

Ακαδημαικά ρωτάω κυρίως και ευχαριστώ για όποια απάντηση  

[hackerW32]

το forum λεγετε insomnia.gr οχι HackareTonGomeno-Gomena.gr

[Btsek]

φίλε σχολή αν σου λέει τπτ? είπα είναι ακαδημαικό το θέμα. το να βρω και να το βάλω κρυφά σιγά τ'αυγά...... μιλάω για υλοποίηση σε βάθος του όχι για χαζομάρες και επίσης μίλησα στοχευμένα για το τι είναι, όχι πως το κάνω! συγνώμη αν δεν έγινα αντιληπτός κιόλας βασικά..

[sanaeriko]

Και μένα με ενδιαφέρει, θέλω να δω που μπαίνει η ρουφια....  εεε για ακαδημαικούς λόγους

[Btsek]

Ρε παιδιά αφού λέω ΔΕ ΘΕΛΩ ΝΑ ΔΩ ΠΩΣ ΝΑ ΤΑ ΚΑΝΟΥΜΕ ΓΙΑ ΝΑ ΧΑΚΑΡΟΥΜΕ. Θελω να μάθω πως συνδέονται απλά αυτά τα δύο, αν συνδέονται και ποια η χρήση τους για να σιγουρέψω ότι όντως κάνουν αυτά που λένε, κυρίως για το rootkit, το άλλο το ξέρω προσωπικά.. και όντως είναι για εργασία και δεν το βρίκα πουθενά  

[gon1332]

Για δες μία εδώ το keylogger variants.

[Btsek]

The most commonly used kind of keylogger is a software-based tool, often installed as part of a larger piece of malware, such as a Trojan or rootkit.

Άρα τελικά ένα keylogger μπορεί να εγκατασταθεί μέσω rootkit σαν κομμάτι αυτού αν ο άλλος δε γνωρίζει. Άρα δεν είναι το ίδιο πράγμα.. Τέλεια, αυτό έψαχνα, ευχαριστώ πολύ φίλε!

[InfernoN]

εδω μονο whitehat συμβουλες

 

βαλε για να προστατευτεις προγραμματα τυπου Keyscrambler

 

για πως το φτιαχνεις και πως το στελνεις σε αλλο forum

[Btsek]

εδω μονο whitehat συμβουλες

 

βαλε για να προστατευτεις προγραμματα τυπου Keyscrambler

 

για πως το φτιαχνεις και πως το στελνεις σε αλλο forum

Είπα αν δεις πιο πάνω ότι δε με ενδιαφέρει το πως κλπ. Απλά ήθελα να δω αν είναι το ίδιο πράγμα γιατί είχα μια σύγχυση. Ο φίλος με το site στα αγγλικά με διαφώτισε. Δεν είναι το ίδιο πράγμα. Αυτό ζήταγα ουσιαστικά...

[devilfish]

εδω μονο whitehat συμβουλες

 

βαλε για να προστατευτεις προγραμματα τυπου Keyscrambler

 

για πως το φτιαχνεις και πως το στελνεις σε αλλο forum

Δηλαδή ο whitehat δεν πρέπει να ξέρει την διαφορά και τον τρόπο που λειτουργούν τα keyloggers και τα rootkits;;

 

Επίσης που είδατε το παιδί να ρωτάει για το πως να το φτιάξει και τον πήρατε από τα αυτιά;

[InfernoN]

whitehat και blackhat χωριζονται απο μια πολυ λεπτη γραμμη.

 

οταν ο αλλος εχει γνωσεις τοσες που να μπορει να βλαψει καποιον αν θελει, του δινεται μια δυναμη οποτε και μια ευθυνη.

 

τωρα για το πως θα σκεφτεις για τον ts ειναι στον καθε ανθρωπο, ποσο καχυποπτος ειναι. Αλλα παντα ολα παιζουν, και αν

δεν ξερεις τον ts μπορεις να σκεφτεις τα παντα.

 

αλλα νομιζω πηρε και τις "καλες" και τις "κακες" του απαντησεις για το ερωτημα του οποτε κομπλε.

[sundance_kid]

Ακαδημαικά ρωτάω κυρίως και ευχαριστώ για όποια απάντηση

 

Ακαδημαϊκά, θα σου απαντήσω πώς πρέπει να καταλάβεις για αρχή το hardware abstraction layer. Πως φεύγει το interrupt απο το πληκρολόγιο, μετατρέπεται σε scancode και μεταφέρεται στο λειτουργικό για να παρουσιαστεί στο χρήστη.

 

Το θέμα είναι πως κάποιος πρέπει να είναι in-the-middle απο την όλη διαδικασία, ή να καταφέρει να πείσει τον kernel να του στείλει τα

scancodes (και) σε αυτόν.

 

Εάν καταλάβεις τον παραπάνω τρόπο λειτουργίας, θα καταλάβεις και το πώς δουλεύει ο keylogger.

 

Το rootkit θα μπορούσε (και λεω θα μπορούσε γιατί μπορεί να κάνει πολλά διαφορα πράγματα) να πειράξει κάποιον driver για να στέλνει τα scancodes στον keylogger.

[M2000]

Μπορεί να μην φθάσει σε τόσο χαμηλό επίπεδο...π.χ. στο BIOS. Γενικά αν κατανοήσει ότι μπορούμε να εγκαταστήσουμε άγκιστρα (Hooks) για να βλέπουμε διερχόμενα μηνύματα....μπήκε στο νόημα. https://msdn.microsoft.com/en-us/library/windows/desktop/ms632589(v=vs.85).aspx

[sundance_kid]

Μπορεί να μην φθάσει σε τόσο χαμηλό επίπεδο...π.χ. στο BIOS. Γενικά αν κατανοήσει ότι μπορούμε να εγκαταστήσουμε άγκιστρα (Hooks) για να βλέπουμε διερχόμενα μηνύματα....μπήκε στο νόημα. https://msdn.microsoft.com/en-us/library/windows/desktop/ms632589(v=vs.85).aspx

 

Ναι, αλλά έτσι είναι κατα πολύ ευκολότερο να εντοπιστεί ο keylogger απο κάποιο antivirus. Επίσης, αν το θύμα χρησιμοποιεί sandboxing στα προγραμματά που τρέχει, τοτε σίγουρα θα αποκλείει global hooks οπότε δεν θα μπορεί να πάρει κάτι σαν είσοδο ο keylogger. Τέλος αν χρησιμοποιεί το on-screen keyboard το θυμά, τότε ο keylogger μας είναι παντελώς άχρηστος.

[M2000]

Εννοείς το OSK.exe ή κάποιο ειδικό on screen keyboard;

(αν θυμάμαι κάποτε ρώταγες για τη Μ2000... με Keyboard ! βγαίνει άμεσα το on screen keyboard)

 

Τα Hooks στα 95 έριχναν την ταχύτητα κατά 15% περίπου. Έχει μείνει από τότε ότι αν φας ιό θα σέρνεται το πρόγραμμα!