Информация о поведении шпионского ПО
В рамках попытки описать угрозу, исходящую от шпионского ПО, и способы ее смягчения, я искал информацию о том, как различные распространенные трояны-шпионы в настоящее время захватывают данные паролей. Я предполагаю, что они либо регистрируют нажатия клавиш, либо перехватывают представления браузера, либо перехватывают сообщения графического интерфейса.
Я хотел бы получить более точную информацию, но не смог ее найти. Где мне найти такого рода анализ?
Ответы 1
Большинство вредоносных программ (я имею в виду продвинутые) написаны на ASM или C++. Многие из них используют API высокого уровня Windows для привязки действий нажатия клавиш клавиатуры к текущему окну, когда пользователь нажимает клавишу.
Например, для работы с клавиатурой в основном используется функция SetWindowsHookEx с перехватчиком WH_KEYBOARD_LL.
Также они используют GetActiveWindow API для определения заголовка текущего активного окна. Итак, в кейлоггерах в основном вы увидите что-то вроде этого:
[Gmail - Google Chrome Browser]
[email protected] {TAB} testpassword
Таким образом, человек, который получает кейлог, прочитает его, как вы можете видеть выше.
Другой метод - это внедрение некоторых специально написанных библиотек DLL или расширений в браузеры, я видел это в основном для Internet Explorer, они используют библиотеки DLL BHO для получения ВСЕХ данных GET / POST, поэтому вам не нужен активно работающий EXE-файл, просто DLL, которая запускается, когда вы открываете Internet Explorer, и DLL будет напрямую отправлять все ваши данные POST / GET на сервер хакера. В основном это делается в одно и то же время, и BHO ничего не хранит (в основном) и отправляет те же данные POST / GET, которые вы отправили в свой банк, в одно и то же время на сервер хакера. Но другие кейлоггеры в основном хранят кейлоггеры до тех пор, пока он не достигнет размера, например 5 КБ, а затем троян отправляет кейлог хакеру.
Есть также несколько «не очень распространенных» уловок для захвата нажатий клавиш, а именно наличие низкоуровневого драйвера, который работает в кольце-0 (режим ядра) и захватывает данные клавиатуры, он более сложен и труден для обнаружения, но также труден для хакера. используйте другое совместное приложение Ring-3 (пользовательский режим), чтобы получить текущее окно, текущую раскладку клавиатуры (английский, китайский, арабский и т. д.) в то же время, когда ядро получает клавиатуру, потому что без знания раскладки клавиатуры и окна какой пользователь нажал эти клавиши, это будет «почти» бесполезно.
Я также видел «непрофессиональный» способ записи нажатий клавиш, использующий GetAsynKeyState API. В основном они пишут функцию цикла и фиксируют ключевые события, вызывая этот API каждые 100 миллисекунд (например).
Итак, я думаю, что я рассмотрел множество техник, которые кейлоггеры используют для захвата нажатых клавиш, если у вас есть более конкретный вопрос, просто дайте мне знать.