Повесть о разведчиках

Зайцев Олег (z-oleg.com/secur)

Спецвыпуск: Хакер, номер #060, стр. 060-054-2

/hooked=IEFrame+MozillaWindowClass+AOL~Frame25+MSN6~Window+CabinetWClass+Internet~Explorer_Frame+ExploreWClass

Процесс soap.exe в реальном масштабе времени шпионит за браузером, регистрируя все вводимые URL (со всеми параметрами). Другим интересным наблюдением является появление на диске библиотеки saaphook.dll, которая внедряется в экземпляры GUI-процессов, а по совместительству является BHO для Explorer. Существует множество вариантов этой библиотеки, один из них устанавливает Hook типа 0Ch (WH_CALLWNDPROCRET - перехватчик, который просматривает сообщения, только что обработанные оконной процедурой приложения) для процессов iexplore.exe в памяти (и не только - настройка задается ключом /hooked в скрипте управления). Другой вариант устанавливает Hook типа 0Ah (WH_SHELL).

Кейлоггеры

Кейлоггер (он же клавиатурный шпион, клавиатурный снифер, снупер) - это утилита для протоколирования нажатия клавиш. Современный кейлоггер не ограничивается банальной регистрацией кодов нажимаемых клавиш. Он, как правило, умеет протоколировать запуск приложений, привязывать ввод данных к активному окну, снимать скриншоты по расписанию, передавать собранную информацию разными методами (как правило, по почте и по FTP). С технической точки зрения, кейлоггер может быть построен по трем базовым принципам:

1. Установка хука на клавиатуру и мышку. Это самый распространенный метод, и поймать такой кейлоггер проще всего.

2. Установка драйвера-фильтра. Этот путь сложнее в реализации, но и менее заметен. Пример такого драйвера можно найти на www.wasm.ru.

3. Циклический опрос клавиатуры с большой скоростью.

Конечно, можно придумать и другие методы слежения за клавиатурой, но подавляющее большинство кейлоггеров работают именно по указанным методикам. Вред от кейлоггера очевиден, и самое неприятное в том, что многие антивирусы не детектируют кейлоггеры. Тот же AVP если и видит кейлоггер, то только с расширенной базой (сложный вопрос: последний AVP предлагает мне снести даже MIRC, как потенциально опасную программу :) – прим. Лозовского).

В интернете существует великое множество готовых кейлоггеров. В качестве примера можно взять ActualSpy.

Этот кейлоггер умеет шпионить за клавиатурой, буфером обмена, принтерами, делать скриншоты, следить за хождениями пользователя в интернет и т.п. Все это пишется в зашифрованные логи, по которым могут строиться отчеты. Естественно, он умеет посылать логи различными способами. Как пример простого кейлоггера можно взять Family Keylogger, который гораздо примитивнее и по функциям, и по интерфейсу.