Trojancilere Bir Sorum Var

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    u235
    u235's avatar
    Kayıt Tarihi: 31/Mart/2008
    Erkek

    Şimdi hacılar farzedin ki benim Win 7 de trojan yada keylogger var.Ben win7 ye virtual box kurup onun içinede XP kursam bu kurduğum XP deki parolalarım,yazışmalarım keylogger yada trojan tarafından loglanır mı bilen var mı?

  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tugberk
    Tugberk's avatar
    Kayıt Tarihi: 04/Ekim/2009
    Erkek

    Tamamen keyloggerın yeteneğine bağlı hocam. Çoğu keylogger basit windows hooklarını kullanır. Genelde low level keyboard hook. Virtual box da bunu kullanıyor. 

    Şimdi olay şöyle, sen bir LL keyboard hook fonksiyonu set ettiğinde, kuyruğun en başına sen yerleşirsin, eğer istersen önceden var olan hook fonksiyonlarına kontrolü verirsin, istemezsen vermezsin. 

    Mesela, önce keylogger çalıştı diyelim, genelde startup da çalışır, daha sonra virtual box u açtın, virtual box içinde bastığın tuşları virtual box sonraki hook fonksiyonlarına geçirmez, böylece basit hooklarla yazılmış keylogger lar (%99.999) yakalayamaz.

    Şuradan SetWindowsHookEx diye aratarak görebilirsin. 

    http://www.virtualbox.org/svn/vbox/trunk/src/VBox/Frontends/VirtualBox/src/runtime/UIKeyboardHandler.cpp

    Bir de ileri seviye keyloggerlar var, mesela kbdclass filter driver gibi. Bunlar kernel modda çalışır ve direkt keyboard driverından alır tuşları. Bunlar hook filan dinlemez doğal olarak, ama 64 bit sistemlere yüklenmez eğer driver signature enforcement'i kapatmadıysan. Bununla ilgili kaspersky blogundan ; 

    http://www.securelist.com/en/analysis/204792178/Keyloggers_Implementing_keyloggers_in_Windows_Part_Two#23

     

  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tarikat Şeyhi
    HolyOne
    HolyOne's avatar
    Kayıt Tarihi: 01/Haziran/2002
    Erkek

    Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.


    Nush ile uslanmayanı etmeli tekdir, Tekdir ile uslanmayanın hakkı kötektir!
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    u235
    u235's avatar
    Kayıt Tarihi: 31/Mart/2008
    Erkek
    Tugberk bunu yazdı

    Tamamen keyloggerın yeteneğine bağlı hocam. Çoğu keylogger basit windows hooklarını kullanır. Genelde low level keyboard hook. Virtual box da bunu kullanıyor. 

    Şimdi olay şöyle, sen bir LL keyboard hook fonksiyonu set ettiğinde, kuyruğun en başına sen yerleşirsin, eğer istersen önceden var olan hook fonksiyonlarına kontrolü verirsin, istemezsen vermezsin. 

    Mesela, önce keylogger çalıştı diyelim, genelde startup da çalışır, daha sonra virtual box u açtın, virtual box içinde bastığın tuşları virtual box sonraki hook fonksiyonlarına geçirmez, böylece basit hooklarla yazılmış keylogger lar (%99.999) yakalayamaz.

    Şuradan SetWindowsHookEx diye aratarak görebilirsin. 

    http://www.virtualbox.org/svn/vbox/trunk/src/VBox/Frontends/VirtualBox/src/runtime/UIKeyboardHandler.cpp

    Bir de ileri seviye keyloggerlar var, mesela kbdclass filter driver gibi. Bunlar kernel modda çalışır ve direkt keyboard driverından alır tuşları. Bunlar hook filan dinlemez doğal olarak, ama 64 bit sistemlere yüklenmez eğer driver signature enforcement'i kapatmadıysan. Bununla ilgili kaspersky blogundan ; 

    http://www.securelist.com/en/analysis/204792178/Keyloggers_Implementing_keyloggers_in_Windows_Part_Two#23

     

    hacım pes 2013 ü yükledim trojan uyarısı falan verdi.Zaten PES calısmayınca sildim ama hala uyarı veriyor anti.

    Normalde biliyor crackleri virüs olarak yakaladığını programların ama beni biraz kuşkulanırdı bu.

  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    srsr_mnyk
    srsr_mnyk's avatar
    Kayıt Tarihi: 11/Şubat/2010
    Erkek

    Alır sonuçta bastığın tuşlar kendi bilgisayarından virtual box a gidiyor keylogger alıverir

    Paralomı hatırla olayıyla virtual box içersinde kaydettiğin paraloları alamaz

  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    fatX
    fatX's avatar
    Kayıt Tarihi: 06/Mart/2007
    Erkek
    HolyOne bunu yazdı

    Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.

    Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|


    Altan naptın oğlum :|
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    srsr_mnyk
    srsr_mnyk's avatar
    Kayıt Tarihi: 11/Şubat/2010
    Erkek
    fatX bunu yazdı
    HolyOne bunu yazdı

    Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.

    Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|

    Az mantıklı düşün sorunun cevabı açık aslında

  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    u235
    u235's avatar
    Kayıt Tarihi: 31/Mart/2008
    Erkek
    Wine bunu yazdı
    fatX bunu yazdı
    HolyOne bunu yazdı

    Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.

    Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|

    Az mantıklı düşün sorunun cevabı açık aslında

    ama şimdi ben virtualboxa geçince ayrı bir işletim sistemine geçmişim gibi çalışıyorsa aynen bence kaydetmemeside mantıklı geliyor.

  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    srsr_mnyk
    srsr_mnyk's avatar
    Kayıt Tarihi: 11/Şubat/2010
    Erkek
    u235 bunu yazdı
    Wine bunu yazdı
    fatX bunu yazdı
    HolyOne bunu yazdı

    Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.

    Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|

    Az mantıklı düşün sorunun cevabı açık aslında

    ama şimdi ben virtualboxa geçince ayrı bir işletim sistemine geçmişim gibi çalışıyorsa aynen bence kaydetmemeside mantıklı geliyor.

    İstediğin kadar geç istersen sanal makine içersine sanal makine kur denedim ve benim kullandığım program aldı logları diyorum :D

    Çok korkuyorsan keyscrambler kullan ama bunuda bypass eden programlar var

  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tugberk
    Tugberk's avatar
    Kayıt Tarihi: 04/Ekim/2009
    Erkek

    Yahu ne meraklısınız tartışmaya teknik konuda bile alaycı tavırlar küçümsemeler. Tek tek hangi metod alır hangisi alamaz diye yazmaya kalksak bitmez. Keylogger ların en çok kullandığı 4 yöntemi yazacağım neden alabileceğini ya da alamayacağını belirterek.

    1) GetAsyncKeyState, alamaz. Low level keyboard hook prosedürü kontrolü yollamazsa (CallNextHookEx) yani bu metodla yazılmış keyloggerlar VM içindeki yazışmaları loglayamaz.

    2) SetWindowsHookEx + WH_KEYBOARD, alamaz. Bu hook metodu LL den biraz farklı, her penceresi olan exeye bir dll inject eder sistem. Hangi pencereye yazarsanız, onun içinde inject olmuş dll  de çalışan hook prosedürü tuşları kaydeder. LL keyboard hook kontrolü yollamazsa böyle bir tuş zaten gelmez o pencereye.

    3) SetWindowsHookEx + WH_KEYBOARD_LL, deminden beri bahsettiğim low level keyboard hook. Burada hiç bir dll inject işlemi olmaz. Normal hook ta sadece o processin penceresinde yazıyorsanız, o processin dll i sizin yazdıklarınızı logluyordu, burda ise olay tamamen farklı, tek bir exe kendi hook prosedürünü set eder, en önce sistem tuşu bu prosedüre yollar, ancak o izin verirse diğerlerine yollar, hangi pencerenin aktif olduğu filan önemli değildir.

    VM ler de bu yüzden bunu kullanır. Ancak burada da bir timeout süresi vardır, eğer hook prosedürü çok yavaş ise, sistemde basılan tuşlar hep yavaş gelir. Yani sistemin genelini yavaşlatır. Özetleyecek olursak, hook fonksiyonu normal hook ta her processin kendi içinde çalışırken, LL hook ta tek bir kanaldan geçer, o izin verirse diğerleri o tuşu görebilir.

    4) kernel mode yöntemler, bunlar özel önlem alınmazsa, her türlü her tuşu alırlar, çünkü LL keyboard hook bile user modda çalışır, yani asıl tuşun geldiği yerde çalışan bir logger herşeyi her durumda loglar. İnternetten indirebileceğiniz bazı profesyonel keyloggerlar (elite keylogger gibi) bu yöntemleri kullanır. Ancak kötü tarafı driver load etmek zorunda olmak.

    Tüm bunlar dışında, aslında keyboard hook bile olmayan, çok basit yöntemlerle log alınabilir, benim kullandığım basit bir yöntem mesela piyasadaki çoğu anti keylogger ve key scrambleri aşabiliyor. 

  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    YeniHarman
    YeniHarman's avatar
    Kayıt Tarihi: 17/Haziran/2012
    Erkek

    Tuğberk'in söyledikleri teknik olarak doğru. Ayrıca kaçırmışsınız: "Çalışıp çalışmaması keylogger'ın yeteneğine bağlıdır" diyor. Kısaca internette bulacağınız getasynckey ile yazılmış vb6 kodu büyük ihtimalle çalışmayacaktır da ring-0 çalışan filtre çalışacaktır. Neyin davası bu anlamadım?


    Olaylara karışmayın!
Toplam Hit: 2333 Toplam Mesaj: 14