Trojancilere Bir Sorum Var
-
Şimdi hacılar farzedin ki benim Win 7 de trojan yada keylogger var.Ben win7 ye virtual box kurup onun içinede XP kursam bu kurduğum XP deki parolalarım,yazışmalarım keylogger yada trojan tarafından loglanır mı bilen var mı?
-
Tamamen keyloggerın yeteneğine bağlı hocam. Çoğu keylogger basit windows hooklarını kullanır. Genelde low level keyboard hook. Virtual box da bunu kullanıyor.
Şimdi olay şöyle, sen bir LL keyboard hook fonksiyonu set ettiğinde, kuyruğun en başına sen yerleşirsin, eğer istersen önceden var olan hook fonksiyonlarına kontrolü verirsin, istemezsen vermezsin.
Mesela, önce keylogger çalıştı diyelim, genelde startup da çalışır, daha sonra virtual box u açtın, virtual box içinde bastığın tuşları virtual box sonraki hook fonksiyonlarına geçirmez, böylece basit hooklarla yazılmış keylogger lar (%99.999) yakalayamaz.
Şuradan SetWindowsHookEx diye aratarak görebilirsin.
Bir de ileri seviye keyloggerlar var, mesela kbdclass filter driver gibi. Bunlar kernel modda çalışır ve direkt keyboard driverından alır tuşları. Bunlar hook filan dinlemez doğal olarak, ama 64 bit sistemlere yüklenmez eğer driver signature enforcement'i kapatmadıysan. Bununla ilgili kaspersky blogundan ;
-
Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.
-
Tugberk bunu yazdı
Tamamen keyloggerın yeteneğine bağlı hocam. Çoğu keylogger basit windows hooklarını kullanır. Genelde low level keyboard hook. Virtual box da bunu kullanıyor.
Şimdi olay şöyle, sen bir LL keyboard hook fonksiyonu set ettiğinde, kuyruğun en başına sen yerleşirsin, eğer istersen önceden var olan hook fonksiyonlarına kontrolü verirsin, istemezsen vermezsin.
Mesela, önce keylogger çalıştı diyelim, genelde startup da çalışır, daha sonra virtual box u açtın, virtual box içinde bastığın tuşları virtual box sonraki hook fonksiyonlarına geçirmez, böylece basit hooklarla yazılmış keylogger lar (%99.999) yakalayamaz.
Şuradan SetWindowsHookEx diye aratarak görebilirsin.
Bir de ileri seviye keyloggerlar var, mesela kbdclass filter driver gibi. Bunlar kernel modda çalışır ve direkt keyboard driverından alır tuşları. Bunlar hook filan dinlemez doğal olarak, ama 64 bit sistemlere yüklenmez eğer driver signature enforcement'i kapatmadıysan. Bununla ilgili kaspersky blogundan ;
hacım pes 2013 ü yükledim trojan uyarısı falan verdi.Zaten PES calısmayınca sildim ama hala uyarı veriyor anti.
Normalde biliyor crackleri virüs olarak yakaladığını programların ama beni biraz kuşkulanırdı bu.
-
Alır sonuçta bastığın tuşlar kendi bilgisayarından virtual box a gidiyor keylogger alıverir
Paralomı hatırla olayıyla virtual box içersinde kaydettiğin paraloları alamaz
-
HolyOne bunu yazdı
Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.
Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|
-
fatX bunu yazdıHolyOne bunu yazdı
Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.
Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|
Az mantıklı düşün sorunun cevabı açık aslında
-
Wine bunu yazdıfatX bunu yazdıHolyOne bunu yazdı
Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.
Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|
Az mantıklı düşün sorunun cevabı açık aslında
ama şimdi ben virtualboxa geçince ayrı bir işletim sistemine geçmişim gibi çalışıyorsa aynen bence kaydetmemeside mantıklı geliyor.
-
u235 bunu yazdıWine bunu yazdıfatX bunu yazdıHolyOne bunu yazdı
Hocam o senin keystrokelar önce Virtual Machine programının penceresine gidip ordan içerdeki sanal makinaya redirect olduğu için evet loglanır.
Tugberk'in açıklamasıyla hiç alakası yok bunun, hanginizinki doğru :|
Az mantıklı düşün sorunun cevabı açık aslında
ama şimdi ben virtualboxa geçince ayrı bir işletim sistemine geçmişim gibi çalışıyorsa aynen bence kaydetmemeside mantıklı geliyor.
İstediğin kadar geç istersen sanal makine içersine sanal makine kur denedim ve benim kullandığım program aldı logları diyorum :D
Çok korkuyorsan keyscrambler kullan ama bunuda bypass eden programlar var
-
Yahu ne meraklısınız tartışmaya teknik konuda bile alaycı tavırlar küçümsemeler. Tek tek hangi metod alır hangisi alamaz diye yazmaya kalksak bitmez. Keylogger ların en çok kullandığı 4 yöntemi yazacağım neden alabileceğini ya da alamayacağını belirterek.
1) GetAsyncKeyState, alamaz. Low level keyboard hook prosedürü kontrolü yollamazsa (CallNextHookEx) yani bu metodla yazılmış keyloggerlar VM içindeki yazışmaları loglayamaz.
2) SetWindowsHookEx + WH_KEYBOARD, alamaz. Bu hook metodu LL den biraz farklı, her penceresi olan exeye bir dll inject eder sistem. Hangi pencereye yazarsanız, onun içinde inject olmuş dll de çalışan hook prosedürü tuşları kaydeder. LL keyboard hook kontrolü yollamazsa böyle bir tuş zaten gelmez o pencereye.
3) SetWindowsHookEx + WH_KEYBOARD_LL, deminden beri bahsettiğim low level keyboard hook. Burada hiç bir dll inject işlemi olmaz. Normal hook ta sadece o processin penceresinde yazıyorsanız, o processin dll i sizin yazdıklarınızı logluyordu, burda ise olay tamamen farklı, tek bir exe kendi hook prosedürünü set eder, en önce sistem tuşu bu prosedüre yollar, ancak o izin verirse diğerlerine yollar, hangi pencerenin aktif olduğu filan önemli değildir.
VM ler de bu yüzden bunu kullanır. Ancak burada da bir timeout süresi vardır, eğer hook prosedürü çok yavaş ise, sistemde basılan tuşlar hep yavaş gelir. Yani sistemin genelini yavaşlatır. Özetleyecek olursak, hook fonksiyonu normal hook ta her processin kendi içinde çalışırken, LL hook ta tek bir kanaldan geçer, o izin verirse diğerleri o tuşu görebilir.
4) kernel mode yöntemler, bunlar özel önlem alınmazsa, her türlü her tuşu alırlar, çünkü LL keyboard hook bile user modda çalışır, yani asıl tuşun geldiği yerde çalışan bir logger herşeyi her durumda loglar. İnternetten indirebileceğiniz bazı profesyonel keyloggerlar (elite keylogger gibi) bu yöntemleri kullanır. Ancak kötü tarafı driver load etmek zorunda olmak.
Tüm bunlar dışında, aslında keyboard hook bile olmayan, çok basit yöntemlerle log alınabilir, benim kullandığım basit bir yöntem mesela piyasadaki çoğu anti keylogger ve key scrambleri aşabiliyor.
-
Tuğberk'in söyledikleri teknik olarak doğru. Ayrıca kaçırmışsınız: "Çalışıp çalışmaması keylogger'ın yeteneğine bağlıdır" diyor. Kısaca internette bulacağınız getasynckey ile yazılmış vb6 kodu büyük ihtimalle çalışmayacaktır da ring-0 çalışan filtre çalışacaktır. Neyin davası bu anlamadım?