ШПИОН ДЛЯ САМОГО СВЯТОГО

ЗАЙЦЕВ ОЛЕГ

Спецвыпуск: Хакер, номер #070, стр. 070-040-4

C:\WINDOWS\system32\CTF\ctfs.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\CTF\ctfs.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, мышь, оконные события

C:\WINDOWS\system32\CTF\ctfmon.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\CTF\ctfmon.dll>>> Поведенческий анализ:

1. Реагирует на события: клавиатура

2. Работает с файлом: c:\windows\system32\ctf\ctfmon.txt

3. Записывает данные в файл: \windows\system32\ctf\ctfmon.txt

4. Выясняет, какое окно находится в фокусе ввода

5. Опрашивает состояние клавиатуры

6. Опрашивает активную раскладку клавиатуры

7. Определяет ASCII-коды по кодам клавиш

Как видно из лога, невидимость налицо :). Причем хорошо видна тенденция: две библиотеки, так же как и в ActualSpy. Ctfs.dll – простенький руткит на базе домены адреса в таблице импорта процесса, а ctfmon.dll – сам логгер. Причем если ActualSpy передавал данные своему процессу, то этот пишет их напрямую в файл ctfmon.txt, причем без кэширования.

[антикейлоггеры]

PrivacyKeyboard

Сайт: http://www.bezpeka.biz

Программа PrivacyKeyboard является одним из самых известных коммерческих продуктов. Ее можно скачать с официального сайта, стоимость копии – около $90.

Принцип действия программы основан на установке драйвера, производящего мониторинг вызовов применяемых кейлоггерами функций (перехват GUI-функций производится путем правки адресов в KeServiceDescriptorTableShadow с защитой от снятия перехвата за счет его периодического восстановления). Блокировка подозрительных действий производится автоматически, при этом есть возможность разблокировки любой программы.

Тестирование программы показало, что она эффективно нейтрализует классические кейлоггеры на основе ловушек, циклическом опросе и клавиатурном драйвере-фильтре. Руткит-кейлоггеры данная программа не детектирует и не нейтрализует. Кроме того, сам PrivacyKeyboard «немного руткит», так как он маскирует свой процесс по DKOM-методике.

Advanced Anti Keylogger

http://www.anti-keylogger.net/

По функциональности данная программа аналогична PrivacyKeyboard — ее можно скачать с сайта www.anti-keylogger.net/, объем около 800 Кб. Принцип действия также основан на мониторинге функций из режима ядра.

С точки зрения продвинутого пользователя, эта утилита гораздо интереснее предыдущей, поскольку не просто блокирует подозрительные действия, но и достаточно подробно рассказывает о них пользователю.

Сообщения весьма информативны – например, указывается, какой процесс пытается установить ловушку (с указанием как содержащей ловушку библиотеки, так и процесса, который ее устанавливает).

Пользователь может либо разрешить дальнейшую работу клавиатурного перехватчика, либо блокировать ее. Несомненным достоинством программы можно считать информативные сообщения, выводимые в ходе обучения — Advanced Anti Keylogger определяет тип перехватчика, а в случае с установкой ловушки указывает не только содержащую ловушку библиотеку, но и приложение, которое пытается установить эту ловушку. Создание правил может вестись в режиме обучения и сильно напоминает процесс обучения Firewall.