Keylogger The Rat. scris de un om cu pseudonimul HandyCat, este o mostră a acestei arte de asamblare. Aceasta este o serie întreagă de keyloggeri, unele versiuni oferă chiar și o instalare la distanță.
Separat, există doar vechiul The Rat v.10, optimizat pentru Windows XP. Ultima versiune - The Rat v.13 Lucille a fost creată în luna mai a acestui an. Puteți descărca atât versiuni complete, cât și demo.
Keylogger The Rat!
Întregul set de fișiere ocupă 1,6 MB, însă cea mai mare parte a acestui volum intră pe interfața grafică a centrului de control. Datorită ambalatorului, keyloggerul se poate încadra în 20 KB de cod, iar versiunea neambalată - în 50 KB.
Funcționează cu orice aspect de tastatură, inclusiv arabă și japoneză. Compatibilitatea este testată pe toate versiunile de Windows de la XP la 8.1. Pe "top zece" nu a fost încă testat, dar ar trebui să funcționeze.
Implicit, setările indică opțiunea de a notifica utilizatorul că sunt urmărite. În demonstrație, acesta nu se oprește și de fiecare dată când reporniți Windows, fereastra corespunzătoare programului apare cu un singur buton O ^. În versiunea completă, puteți dezactiva demascarea.
În plus, are o componentă unică - programul pentru combinarea mai multor fișiere FileConnector. Acesta poate atașa un keylogger la orice fișier executabil sau multimedia. Rezultatul lucrării FileConnector va fi întotdeauna un nou executabil care conține codul programului sursă și The Rat. Este adevărat că este relevant doar pentru monitorizarea utilizatorilor neexperimentați care nu vor fi confundați de apariția bruscă a extensiei .exe.
Limitări: Fișierele sursă și destinație trebuie să conțină numai nume latine și numere în nume.
Versiunea completă a The Rat folosește de asemenea pachetul / encryptorul fișierelor executabile pentru a reduce dimensiunea "greutății" și a face dificilă detectarea.
În plus față de toate funcțiile tradiționale ale keyloggerilor, The Rat poate urmări acțiunile în ferestrele aplicațiilor pre-selectate și poate răspunde cuvintelor cheie, poate face capturi de ecran după un anumit interval de timp sau cu fiecare apăsare a tastei Enter. Acest lucru reduce semnificativ cantitatea de resturi din jurnale și simplifică transferul acestora.
Versiunea complet dotată îndeplinește, de asemenea, sarcinile sniffer-ului: înregistrează toate lucrările pe Internet și în rețeaua locală cât mai mult posibil. Spre deosebire de alte keyloggeri, The Rat poate intercepta înlocuirea parolelor stocate și a datelor din formulare de completare automată.
De asemenea, în The Rat există o funcție interesantă a motorului de căutare local. El poate găsi ascunse una sau mai multe fișiere pe o mască predeterminată, și apoi să le trimită o copie, împreună cu jurnalul prin e-mail sau FTP, configurate Rat (Kid) Center. Cum de a căuta FTP cu intrare anonimă și abilitatea de a scrie, am scris în articol despre metodele pentru transferul ascuns al fișierelor mari.
Multe dintre vechile keyloggeri nu mai sunt relevante datorită migrării serverelor SMTP la o conexiune securizată. Șobolanul acceptă protocolul TLS și, prin urmare, este capabil să trimită jurnale prin intermediul serviciilor de e-mail moderne.
O caracteristică-cheie a tuturor celor mai recente versiuni ale TheRat este lucrul pe principiul virușilor neimplicați. Când rulați The RatKid, precum și The Rat v.11 și mai târziu, nu sunt create fișiere executabile separate. Se rulează o dată din centrul de control sau din fișierul modificat, apoi ascunde complet urmele șederii și există numai în memoria RAM. Orice oprire normală și chiar o resetare printr-o apăsare scurtă de Reset îl lasă în sistem.
Șterge Șobolanul (Kid) poate fi un utilitar separat Rat (Kid) Finder de la versiunea completă corespunzătoare. Detectează keylogger-ul în sine, găsește jurnalul creat de acesta, vă permite să modificați setările și să înveți comenzi rapide pentru a dezactiva keylogger-ul.
O versiune alternativă a descărcării sale este defectarea instantanee a alimentării calculatorului. Funcționează numai dacă nu au fost luate măsuri de securitate suplimentare în timpul instalării keyloggerului. În sistemele desktop, acest lucru necesită scoaterea cablului de alimentare, iar laptopurile au o baterie. Un buton simplu de oprire este inutil. Dimensiunea "Rat" de 50 kilobytes este ușor de salvată nu numai în memoria RAM, ci și în memoria cache a procesorului, unității, CMOS și a oricărei alte memorii disponibile care nu se resetează dacă există o sursă de energie la datorie.
Dacă șobolanul a fost atașat la orice fișier executabil din lista autorun, atunci pentru a elimina interceptorul tastaturii după ce ați dezactivat computerul, trebuie să încărcați mai întâi un alt sistem de operare și să găsiți fișierul modificat. Acest lucru este cel mai bine realizat de către auditorii de disc (o astfel de funcție este, de exemplu, AVZ) și programe care pot calcula funcțiile hash.
De exemplu, Autoruns nu va verifica numai ele, dar semnăturile digitale ale obiectelor autorun și toate fișierele suspecte vor fi trimise la serviciul de scanare online VirusTotal. Cu toate acestea, acest lucru nu este un panaceu. Un mic fișier keylogger nu va fi neapărat încorporat în altul. Poate exista ca satelit - de exemplu, în fluxuri alternative NTFS.
Acum hai să rezumăm. Ce mi-a plăcut și ce nu mi-a plăcut despre acest keylogger.
Avantajele Rat includ, de asemenea invizibilitatea în lista de procese pentru toate vizualizator cunoscut, o lipsă totală de intrări în registru, posibilitatea de a obține unele firewall-uri software (inclusiv verificarea fișierelor checksum) și capacitatea de a se autodistruga la un moment specificat in care nu exista ramasite urmărește și nu necesită repornire.
Minus keyloggerul - previzibil și semnificativ: în prezent fișierele sale sunt determinate de majoritatea antivirusurilor.
Articolul folosește materialele site-ului x @ ker
Articole similare
Trimiteți-le prietenilor: