Keylogger, kako ga otkriti?

• 3Ovo se svidja korisnicima: mcrule, pedja93, A.L.
  
  Registruj se da bi pohvalio/la poruku!

Mozda je nekome ovo trivijalno pitanje, ali ja ne znam odgovor.

Evo o cemu se zapravo radi.

Kako prepoznati, utvrditi, a pri tom ne koristiti neke komplikovane alate da bi se otkrilo da li je na nekom racunaru, kojeg koriste vise korisnika ili neki javni racunar, instaliran keylogger.

• 3Ovo se svidja korisnicima: Ričard, mcrule, A.L.
  
  Registruj se da bi pohvalio/la poruku!

Davno je bilo kad sam testirao par vrsta keylogger_a kod mene i na dosta slabijoj mašini i koliko znam teško da je moguće, jer je namenjen za da tako kažem špijuniranje i samim tim dobro sakriven.

Probao sam ove komercijalne koje možeš kupiti i ove što dolaze nepozvani.

File_ovi i jednih i drugih su sakriveni.

Neke komercijalne koji sam probao sam uspeo videti uklanjanjem atributa u Program Files_u gde se obično i instaliraju.

attrib -s -h "C:\Program Files\*.*"

Komercijalni obično koriste kombinacije tipki na tastaturi da bi se prikazali onome ko ih je instalirao. Na primer: Ctrl + Shift + Alt + K ili neka druga kombinacija...


Jedino što sam primetio je da kad pišeš neki tekst, na primer u Notepad_u
postoji kašnjenje, to jest jako mala vremenska razlika od klika na tastaturi do prikazivanja istog u tekstu.

Bude malo usporeno ispisivanje slova, nije brzo kao što obično treba da bude.

Znači neki delić sekunde kasni, ali dovoljno da se primeti vremenska razlika.


Kao što rekoh bilo je davno kad sam ih testirao, ali mislim da je bez alata to jako dug posao, morao bi da ceo sistem ručno pregledaš i proveravaš file po file, što ne verujem da ćeš raditi

• 4Ovo se svidja korisnicima: Ričard, mcrule, SlobaBgd, ThePhilosopher
  
  Registruj se da bi pohvalio/la poruku!

Program :

http://xfocus.net/tools/200509/IceSword_en1.12.rar

Gledas sekciju :

Message Hooks



Obracas paznju na type :

WH_Keyboard

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala na savetima.

Na žalost program ne radi na Visti i Win7.

• 1Ovo se svidja korisniku: A.L.
  
  Registruj se da bi pohvalio/la poruku!

pih..pa jeste taj program prilicno star..al je dobar za detekciju hook-based keyloggera.. Ne bih znao neki drugi nacin a da je jednostavan ...Posto je ovaj nacin prilicno jednostavan....

• 2Ovo se svidja korisnicima: Ričard, mcrule
  
  Registruj se da bi pohvalio/la poruku!

Uz pretpostavku da su komponente keyloggera skrivene, a traži se jednostavna detekcija, mogao bi biti od koristi neki standardan ARK skener:


XP/Vista/7 (32 & 64 bit):

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html



XP/Vista/7 (32 bit):

http://www.trendmicro.com/download/rbuster.asp



XP (32 & 64 bit)/Vista (32 bit):

http://www.f-secure.com/en_EMEA/security/security-.....index.html

• 2Ovo se svidja korisnicima: Cerberus, mcrule
  
  Registruj se da bi pohvalio/la poruku!

2 bora,

šta je ARK skener?

• 3Ovo se svidja korisnicima: Cerberus, mcrule, djolew
  
  Registruj se da bi pohvalio/la poruku!

ARK - antirootkit

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Može li da se proba Sophos, da preskenira komp i da obriše/popravi ono što treba da obriše/popravi (ne znam kako radi), bez sumnje da će obrisati ili nešto zeznuti postojeći OS - em?

Treba li na nešto posebno da obratim pažnju ili ne?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ne sećam se kako tačno Sophos ARK radi, ali... Funkcija ARK skenera je da pokažu ono što je sakriveno i većina njih ne pokušava da razlikuje malware od legitimnih programa (koji koriste rootkit tehnologiju).

U svakom slučaju, komponente Windowsa nikada ne bi trebale da "nastradaju".