[HaBo]

PapaJanus · 27.09.07, 17:35

Ich hab mich bis jetzt auch noch nicht getraut. Das PHP Script hat ja nen Fehler (wie oben schon genannt) und die beiden .exe Dateien werden bei Virustotal (http://www.virustotal.com/) allenfalls mal durch die heuristik bemerkt.

Mit dem Code könnte man wirklich eher was anfangen. (Egal ob er jetzt gut oder schlecht ist. *g*)

Grüße

edurne · 27.09.07, 18:21

wie gesagt, ich möchte den Quellcode jetzt noch nicht veröffentlichen. Es kann sein, dass ich es irgendwann machen werde, jetzt aber noch nicht.

Habt ihr denn keinen Testrechner mit beschränkten Nutzerrechten auf denen ihr das Ding testen könnt, ich dachte die meisten von euch haben einen? Wenn ihr es als beschränkter Benutzer und am Testrechner ausführt, kann nun wirklich nichts schlimmes passieren...Ich habe aber kein Interesse irgendjemandem hier zu schaden.

Gnome · 27.09.07, 18:46

Und was sollen wir daran testen? Wer nen keylogger braucht schreibt sich einen selber. Was sollte mich denn dazu bewegen das Ding zu testen? Hat doch für uns null nutzen, da starte ich doch nichtmal ne vm für. Erklär mir was ich davon habe es zu testen und dann mache ich es vielleicht.

edurne · 27.09.07, 19:12

Ich dachte es interessiert eben jemanden, sonst nichts. Ist ja schon gut, wenn ihr es nicht interessant findet braucht ihr es nicht zu verwenden/testen. Ich hatte nicht vor, irgendjemanden hier zu nahe zu treten. Ich habe ein Tool programmiert und natürlich, ich hätte gerne einige Meinungen gehört. Zur Zeit möchte ich den Code noch nicht veröffentlichen. Wenn ihr aus diesem Grund kein Interesse habt, ist es auch ok.

@Gnome: Wozu brauchst du denn überhaupt den Quellcode, wenn du sowiesonichts testen/ausprobieren möchtest und überhaupt alles so sinnlos findest?

thyrael.lu · 27.09.07, 20:52

Ich möchte einfach mal meine Meinung dazu loswerden:

Was mich an deinem Keylogger z.B. brennend interessiert, ist dein Code, um die Tastatur abzufragen. Ich hab GetAsyncKeyState() benutzt. Weder perfekt noch sauber, hat aber seinen Zweck erfüllt. Vielleicht hast du beim Programmieren fünf Minuten mehr nachgedacht als ich und was klügeres benutzt, würde mich ehrlich gesagt sehr freuen.

Es läuft also darauf hinaus, dass ich und wahrscheinlich die meisten anderen dein Programm mit unseren eigenen geistigen Ergüssen vergleichen wollen. Wenn ich das einfach nur mal ausprobiere, kriegst du als Antwort "Ja, geht" oder "Nein, geht nicht".

Ansonsten kann ich dir vom Funktionsumfang nur sagen, dass das Ding ganz praktisch ist, nicht mehr und nicht weniger.

Mein Desinteresse liegt nicht am Zweck des Programms. Wofür das Ding eingesetzt wird, muss jeder für sich selbst entscheiden, da erlaube ich mir kein Urteil.

+++ATH0 · 27.09.07, 23:53

Zitat:

Was mich an deinem Keylogger z.B. brennend interessiert, ist dein Code, um die Tastatur abzufragen. Ich hab GetAsyncKeyState() benutzt.

same.

Code:

0040339C   A1 B8B64000      MOV EAX,DWORD PTR DS:[40B6B8]
004033A1   0BC0             OR EAX,EAX
004033A3   74 02            JE SHORT WinUpdat.004033A7
004033A5  -FFE0             JMP EAX                                  ; USER32.GetAsyncKeyState
004033A7   68 84334000      PUSH WinUpdat.00403384
004033AC   B8 80144000      MOV EAX,<JMP.&MSVBVM60.DllFunctionCall>
004033B1   FFD0             CALL EAX
004033B3   FFE0             JMP EAX

edurne · 28.09.07, 13:38

Das Programm ist in VB geschrieben. Ich habe es auch mit GetAsyncKeyState() ... implementiert...in dieser ersten version.

Ich habe jedoch den Quellcode für eine Implementation mit Hook. Diesen werde ich in einer zweiten version implementieren und auch hier posten, um eure Meinung zu hören. Posten werde ich es morgen oder übermorgen (bin nicht zu hause...)

Zudem habe ich einen anderen Code gefunden, den ich auch posten werde, den ich auch interessant finde.

Was ich zudem an dem Keylogger interessant finde ist folgendes:

Zum einen die Art, wie die Keystrikes an den Sever geschickt werden. Denn ich öffne dazu eine Instanz des IE und übergebe die Strokes an einen PHP Skript als Variable. Das Skript schreibt die Variable, also die Keystrokes, in eine Datei. Auch diese Weise wird die Firewall umgangen, ohne eine Technik wie Process injection oder ähnliches zu verwenden. Denn der IE hat immer die Erlaubnis, eine Verbindung mit dem Internet herzustellen. Das klappt sogar in der Firma!

Als zweites ist interessant, dass die Instalation auch als beschränkter Benutzer greift. Denn das Programm schreibt sich in den MyDocument Folder. Daher wird das auch in der Firma funktionieren.

Eins wollte ich noch dazu sagen: Ich habe das Programm eher aus Spaß und interesse programmiert, es sollte nicht dazu verwendet werden, irgendwelche Passwörter anderer Leute oder ähnliches auszuspionieren. Ich denke ein Keylogger ist sowieso nicht so wirksam für solche Zwecke. Ein Keylogger ist wahrscheinlich nur für den Eigengebraucht gedacht, ich habe jedenfalls noch nie dafür verwendet. Eine Phishing Seite oder ein Remote Administration Tool halte ich für die bessere Wahl dafür :-) Trotzdem ist sowas nicht erlaubt und sollte nicht gemacht werden!

lookshe · 28.09.07, 19:46

Zitat:

Original von edurne
Denn der IE hat immer die Erlaubnis, eine Verbindung mit dem Internet herzustellen.

Fast immer! Solch einer Software erlaube ich es nicht, irgendeine Verbindung herzustellen, nicht mal lokal, sodass man ihn per Tunnel nutzen könnte.

AceKiller73 · 29.09.07, 10:24

Ich würde auch immer Hooks benutzen...
Wenn du BSP Code brauchst: Brauchst nur fragen.
MFG
Ace

tino1503 · 24.01.08, 11:16

konfigurier mal den download link so das er funktioniert, dankeschön.

.:L · 24.01.08, 18:37

funktioneirt doch...

Harry Boeck · 24.01.08, 23:27

Hmmm, hört sich alles ganz offensichtlich danach an, daß der "Anwender" hintergangen werden soll. Sprich: Der Keylogger soll ausgeführt werden, um jemandem zu schaden. Anders sind exakt DIE Punkte, die sich der Autor selbst als besonders intelligent auf seine Fahne schreibt, nicht zu erklären.

Mal angesetzt, DASS wir hier seinem Gedankengang folgen, sind die Techniken noch nicht sonderlich ausgefeilt. Es fehlt das grundlegende: Das totale Verstecken des Schädlings vor jeder Registrierung...

Zitat:

ich öffne dazu eine Instanz des IE

Das funktioniert nicht mit anständigen Firewalls (z.B. Comodo), ohne den "betroffenen" Benutzer zu alarmieren. Es sei denn, der Keylogger wird in einen ohnehin laufenden Prozeß injiziert. Und zwar ohne Systemfunktionen zu benutzen!

Zitat:

Denn der IE hat immer die Erlaubnis, eine Verbindung mit dem Internet herzustellen. Das klappt sogar in der Firma!

Da würde ich dem Admin dieser Firma einen Berufswechsel anraten.
Auf einem anständig eingerichteten System hat der IE höchstens die Erlaubnis, sich mit Update-Servern von Microsoft zu verbinden. (Wobei natürlich ein Potential darin steckt, daß Microsoft die in allen möglichen Netzen der Welt verteilt, was ich als eine Sauerei empfinde...)

Aber vom Prinzip her geht die Idee in eine für den Anwendungsfall sinnvolle Richtung - hinsichtlich dessen, daß man irgendein Programm auf dem Zielsystem sucht, das sich regelmäßig ins Internet verbinden darf, und diesem als blinde Passagiere ein paar extra Pakete mitgibt.

Selbst WENN ein IE sowas machen dürfte, ist es doch recht auffällig, wenn dieses Dingens laufend immer wieder mal unaufgefordert startet. DAS ist dann doch wieder der ursprünglichen Intention stark hinderlich. Man sollte also stets warten, bis sich ein Programm von sich aus ins Internet verbindet.

Zitat:

Denn das Programm schreibt sich in den MyDocument Folder. Daher wird das auch in der Firma funktionieren.

DAS wäre in MEINER Firma ein Grund für fristlose Kündigung des Admins! WENN ich mich nochmal auf so ein Abenteuer mit einer eigenen Firma einlassen würde.
In keinem anständig eingerichteten Linux noch Windows (ab NT) KANN sowas funktionieren.

Fazit:

Das ganze ist immerhin ein Beweis der Beschäftigung mit der Materie. Etwa auf dem Niveau eines ersten selbstgeschriebenen Zufallszahlengenerators, wenn man sich in die Materie gerade einarbeitet. Immerhin führt dies auch schnell mal zu Einsichten, wie man sich gegen sowas schützen kann.

Für hinreichend bewußte Bürger keine Gefahr.

In der Praxis der Masse würde das Ding aber wahrscheinlich ausreichend Dussel finden, die es ohne den geringsten Anklang einer Wahrnehmung für einen Klick auf einen ausreichend dünnen Slip in einem ausreichend schlüpfrigen Mini-Spiel freiwillig installieren.

**bitmuncher** · 24.01.08, 23:44

@Harry Boeck: In deiner Firma möchte ich nicht arbeiten müssen. Die Mitarbeiter dürfen bei dir offenbar keinen Browser für Recherchen im Internet nutzen und nichts in ihren eigenen Dateien speichern. Wenn sie es doch dürfen wird der Admin entlassen... Na viel Spass bei der Admin-Suche.

Ich jedenfalls kenne keine Firma, in der der IE nur auf die Windows-Updates zugreifen kann, sofern nicht die Nutzung des WWW für die Mitarbeiter komplett untersagt ist.

Harry Boeck · 25.01.08, 00:18

Nein, wer sagt denn sowas?! Der IE ist nur eben kein vertrauenswürdiges Werkzeug. Es gibt zwei ganz hervorragende Alternativen dazu, die zudem viel sicherer eingerichtet werden können - für einen administrierten Bereich kein Problem.

Und in den Gesamtfinanzen ist es letztlich besser, einmalig die Mitarbeiter zu gewinnen, das Firefox- oder Opera-Logo in der Browserecke zu akzeptieren, als regelmäßig alle paar Monate einmal quer durch das Unternehmen zu pflügen und so gut wie alle Rechner neu aufsetzen zu müssen. Oder gar mit dem Staatsanwalt vor der Tür umgehen zu müssen.

Und SPEICHERN ist NICHT AUSFÜHREN!

Sie bedeuten unterschiedliches und sind unabhängig nutzbare Dinge im Dateisystem...

Ich habe Klassenräume schon nach dieser Methode eingerichtet und nachhaltigen Erfolg mit der Verhinderung von Schädlingsbefall gehabt. UND naturgemäß Anfeindungen, weil es den Typen, die immer mal wieder gern Raubkopien von irgendwelchen Ballerspielen in ihren eigenen Dateien installiert hatten, das Zocken auf Arbeitsamtskosten versalzen hat.
Wir hatten hier allerdings auch schon Threads, wo das eingehend diskutiert wurde..

Jedenfalls ist die Beschäftigung mit den von beiden Seiten dahintersteckenden Ideen schon eine ganz sinnvolle Sache...

**bitmuncher** · 25.01.08, 00:37

Ich hatte auch mit IE bisher in keiner Firma einen höheren Schädlingsbefall als mit anderen Browsern. Die meisten Viren haben sich Mitarbeiter eh meist via Email eingefangen. Hinzu kommt, dass es Unternehmensstrategien gibt, wo man Mitarbeitern einerseits den Zugriff auf's Unternehmens-LAN und andererseits Admin-Rechte auf ihren Rechnern einräumen muss (Stichwort: Teleworker). Aber das wird jetzt wirklich sehr offtopic und wie du schon richtig sagtest, hatten wir zu dem Thema schon genug Threads. Ich wollte nur nochmal drauf aufmerksam gemacht haben, dass IE und Ausführen von Dateien im "Eigene Dateien" verbieten nicht immer erwünscht oder möglich ist und es keinesfalls immer "Schuld" des Admins sein muss, wenn ein Unternehmen den Einsatz von IE oder das Ausführen von Dateien zulässt. Man sollte das immer im Kontext mit dem entsprechenden Unternehmen sehen und in Zeiten wo Büros immer teurer werden und fast jeder Internet hat, geht gerade in IT-Unternehmen der Trend Richtung Home-Office mit Anbindung an's Unternehmens-LAN.

Allerdings bin ich auch froh, dass ich in meiner neuen Firma nichts mehr mit Windows zu tun und damit zumindest solche Probleme nicht mehr habe.

Empfehlung

24.01.08, 11:16	#25 (permalink)
tino1503 gesperrt Registriert seit: 30.08.07 Likes: 0	RE: Keylogger konfigurier mal den download link so das er funktioniert, dankeschön.

24.01.08, 18:37	#26 (permalink)
.:L Senior Member Registriert seit: 05.05.06 Likes: 20	funktioneirt doch... __________________ fat people are hard to kidnap

24.01.08, 23:44	#28 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	@Harry Boeck: In deiner Firma möchte ich nicht arbeiten müssen. Die Mitarbeiter dürfen bei dir offenbar keinen Browser für Recherchen im Internet nutzen und nichts in ihren eigenen Dateien speichern. Wenn sie es doch dürfen wird der Admin entlassen... Na viel Spass bei der Admin-Suche. Ich jedenfalls kenne keine Firma, in der der IE nur auf die Windows-Updates zugreifen kann, sofern nicht die Nutzung des WWW für die Mitarbeiter komplett untersagt ist. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

25.01.08, 00:37	#30 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Ich hatte auch mit IE bisher in keiner Firma einen höheren Schädlingsbefall als mit anderen Browsern. Die meisten Viren haben sich Mitarbeiter eh meist via Email eingefangen. Hinzu kommt, dass es Unternehmensstrategien gibt, wo man Mitarbeitern einerseits den Zugriff auf's Unternehmens-LAN und andererseits Admin-Rechte auf ihren Rechnern einräumen muss (Stichwort: Teleworker). Aber das wird jetzt wirklich sehr offtopic und wie du schon richtig sagtest, hatten wir zu dem Thema schon genug Threads. Ich wollte nur nochmal drauf aufmerksam gemacht haben, dass IE und Ausführen von Dateien im "Eigene Dateien" verbieten nicht immer erwünscht oder möglich ist und es keinesfalls immer "Schuld" des Admins sein muss, wenn ein Unternehmen den Einsatz von IE oder das Ausführen von Dateien zulässt. Man sollte das immer im Kontext mit dem entsprechenden Unternehmen sehen und in Zeiten wo Büros immer teurer werden und fast jeder Internet hat, geht gerade in IT-Unternehmen der Trend Richtung Home-Office mit Anbindung an's Unternehmens-LAN. Allerdings bin ich auch froh, dass ich in meiner neuen Firma nichts mehr mit Windows zu tun und damit zumindest solche Probleme nicht mehr habe. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

27.09.07, 17:35	#16 (permalink)
PapaJanus Registriert seit: 10.04.07 Likes: 0	Ich hab mich bis jetzt auch noch nicht getraut. Das PHP Script hat ja nen Fehler (wie oben schon genannt) und die beiden .exe Dateien werden bei Virustotal (http://www.virustotal.com/) allenfalls mal durch die heuristik bemerkt. Mit dem Code könnte man wirklich eher was anfangen. (Egal ob er jetzt gut oder schlecht ist. g) Grüße

27.09.07, 18:21	#17 (permalink)
edurne Themenstarter Registriert seit: 23.10.05 Likes: 1	wie gesagt, ich möchte den Quellcode jetzt noch nicht veröffentlichen. Es kann sein, dass ich es irgendwann machen werde, jetzt aber noch nicht. Habt ihr denn keinen Testrechner mit beschränkten Nutzerrechten auf denen ihr das Ding testen könnt, ich dachte die meisten von euch haben einen? Wenn ihr es als beschränkter Benutzer und am Testrechner ausführt, kann nun wirklich nichts schlimmes passieren...Ich habe aber kein Interesse irgendjemandem hier zu schaden.

27.09.07, 18:46	#18 (permalink)
Gnome Senior Member Registriert seit: 16.11.05 Likes: 0	Und was sollen wir daran testen? Wer nen keylogger braucht schreibt sich einen selber. Was sollte mich denn dazu bewegen das Ding zu testen? Hat doch für uns null nutzen, da starte ich doch nichtmal ne vm für. Erklär mir was ich davon habe es zu testen und dann mache ich es vielleicht.

27.09.07, 19:12	#19 (permalink)
edurne Themenstarter Registriert seit: 23.10.05 Likes: 1	Ich dachte es interessiert eben jemanden, sonst nichts. Ist ja schon gut, wenn ihr es nicht interessant findet braucht ihr es nicht zu verwenden/testen. Ich hatte nicht vor, irgendjemanden hier zu nahe zu treten. Ich habe ein Tool programmiert und natürlich, ich hätte gerne einige Meinungen gehört. Zur Zeit möchte ich den Code noch nicht veröffentlichen. Wenn ihr aus diesem Grund kein Interesse habt, ist es auch ok. @Gnome: Wozu brauchst du denn überhaupt den Quellcode, wenn du sowiesonichts testen/ausprobieren möchtest und überhaupt alles so sinnlos findest?

27.09.07, 20:52	#20 (permalink)
thyrael.lu Registriert seit: 08.04.07 Likes: 0	Ich möchte einfach mal meine Meinung dazu loswerden: Was mich an deinem Keylogger z.B. brennend interessiert, ist dein Code, um die Tastatur abzufragen. Ich hab GetAsyncKeyState() benutzt. Weder perfekt noch sauber, hat aber seinen Zweck erfüllt. Vielleicht hast du beim Programmieren fünf Minuten mehr nachgedacht als ich und was klügeres benutzt, würde mich ehrlich gesagt sehr freuen. Es läuft also darauf hinaus, dass ich und wahrscheinlich die meisten anderen dein Programm mit unseren eigenen geistigen Ergüssen vergleichen wollen. Wenn ich das einfach nur mal ausprobiere, kriegst du als Antwort "Ja, geht" oder "Nein, geht nicht". Ansonsten kann ich dir vom Funktionsumfang nur sagen, dass das Ding ganz praktisch ist, nicht mehr und nicht weniger. Mein Desinteresse liegt nicht am Zweck des Programms. Wofür das Ding eingesetzt wird, muss jeder für sich selbst entscheiden, da erlaube ich mir kein Urteil.

28.09.07, 13:38	#22 (permalink)
edurne Themenstarter Registriert seit: 23.10.05 Likes: 1	Das Programm ist in VB geschrieben. Ich habe es auch mit GetAsyncKeyState() ... implementiert...in dieser ersten version. Ich habe jedoch den Quellcode für eine Implementation mit Hook. Diesen werde ich in einer zweiten version implementieren und auch hier posten, um eure Meinung zu hören. Posten werde ich es morgen oder übermorgen (bin nicht zu hause...) Zudem habe ich einen anderen Code gefunden, den ich auch posten werde, den ich auch interessant finde. Was ich zudem an dem Keylogger interessant finde ist folgendes: Zum einen die Art, wie die Keystrikes an den Sever geschickt werden. Denn ich öffne dazu eine Instanz des IE und übergebe die Strokes an einen PHP Skript als Variable. Das Skript schreibt die Variable, also die Keystrokes, in eine Datei. Auch diese Weise wird die Firewall umgangen, ohne eine Technik wie Process injection oder ähnliches zu verwenden. Denn der IE hat immer die Erlaubnis, eine Verbindung mit dem Internet herzustellen. Das klappt sogar in der Firma! Als zweites ist interessant, dass die Instalation auch als beschränkter Benutzer greift. Denn das Programm schreibt sich in den MyDocument Folder. Daher wird das auch in der Firma funktionieren. Eins wollte ich noch dazu sagen: Ich habe das Programm eher aus Spaß und interesse programmiert, es sollte nicht dazu verwendet werden, irgendwelche Passwörter anderer Leute oder ähnliches auszuspionieren. Ich denke ein Keylogger ist sowieso nicht so wirksam für solche Zwecke. Ein Keylogger ist wahrscheinlich nur für den Eigengebraucht gedacht, ich habe jedenfalls noch nie dafür verwendet. Eine Phishing Seite oder ein Remote Administration Tool halte ich für die bessere Wahl dafür :-) Trotzdem ist sowas nicht erlaubt und sollte nicht gemacht werden!

29.09.07, 10:24	#24 (permalink)
AceKiller73 Registriert seit: 16.02.06 Likes: 0	Ich würde auch immer Hooks benutzen... Wenn du BSP Code brauchst: Brauchst nur fragen. MFG Ace

25.01.08, 00:18	#29 (permalink)
Harry Boeck Registriert seit: 17.02.06 Likes: 0	Nein, wer sagt denn sowas?! Der IE ist nur eben kein vertrauenswürdiges Werkzeug. Es gibt zwei ganz hervorragende Alternativen dazu, die zudem viel sicherer eingerichtet werden können - für einen administrierten Bereich kein Problem. Und in den Gesamtfinanzen ist es letztlich besser, einmalig die Mitarbeiter zu gewinnen, das Firefox- oder Opera-Logo in der Browserecke zu akzeptieren, als regelmäßig alle paar Monate einmal quer durch das Unternehmen zu pflügen und so gut wie alle Rechner neu aufsetzen zu müssen. Oder gar mit dem Staatsanwalt vor der Tür umgehen zu müssen. Und SPEICHERN ist NICHT AUSFÜHREN! Sie bedeuten unterschiedliches und sind unabhängig nutzbare Dinge im Dateisystem... Ich habe Klassenräume schon nach dieser Methode eingerichtet und nachhaltigen Erfolg mit der Verhinderung von Schädlingsbefall gehabt. UND naturgemäß Anfeindungen, weil es den Typen, die immer mal wieder gern Raubkopien von irgendwelchen Ballerspielen in ihren eigenen Dateien installiert hatten, das Zocken auf Arbeitsamtskosten versalzen hat. Wir hatten hier allerdings auch schon Threads, wo das eingehend diskutiert wurde.. Jedenfalls ist die Beschäftigung mit den von beiden Seiten dahintersteckenden Ideen schon eine ganz sinnvolle Sache...

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Keylogger??	jeireff	(In)security allgemein	14	05.08.11 02:18
Keylogger	inso	(In)security allgemein	2	24.05.07 19:02
Keylogger	niedriger noob	Code Kitchen	11	06.12.01 23:28

[HaBo]

Keylogger