Keylogger Hooks

Iniciado por W0lFy, 27 Diciembre 2011, 16:41 PM

0 Miembros y 2 Visitantes están viendo este tema.

W0lFy

Buenas estoy desarrollando un keylogger con hooks

que es mas eficiente:

- implementar un timer y cada cierto intervalo de segundos guardar la cadena de caracteres
- o comprobar la longitud de caracteres y si es > x guardar la cadena de caracteres.

Se admiten sugerencias. Un saludo!
K@NuT0

x64core

sugerencias de que? :P
hook es bueno

Karcrack

Guardar caracteres por bloques de 100 es una buena idea... por supuesto en caso de cierre guardar los caracteres restantes!

x64core

no habia entendido :P
tambien que guarde cada cierta accion que suceda y si hay cierre, guardar :)

W0lFy

Cita de: Karcrack en 27 Diciembre 2011, 22:16 PM
Guardar caracteres por bloques de 100 es una buena idea... por supuesto en caso de cierre guardar los caracteres restantes!

Tienes un manual muy bueno con VB6 para desarrollar keylogger con hook, lo estuve mirando, el caso es que como controlas desde la misma aplicación que se a cerrado por un error o por que " alguien" ha matado el proceso.
Con un timer que recoge cada 10 segundos el string funciona de maravilla tb.
Cita de: RHL en 27 Diciembre 2011, 23:08 PM
no habia entendido :P
tambien que guarde cada cierta accion que suceda y si hay cierre, guardar :)

¿A que acciones te refieres? ¿Hacer click con el raton?( estuve pensando algunas acciones pero solo se me ocurrian cuando el usuario aprieta el ENTER o TAB...)


Estoy pensando en realizar el keylogger en ring0,aunque hay poca documentación y me tendre que mirar ASM...

realmente un keylogger en ring 0 es un driver virtual que controla las pulsaciones?¿ o me equivoco? Un saludo compañeros!
K@NuT0

Karcrack

Leete este paper, es imprescindible. Enumera todos los metodos de keyloggers conocidos:
http://www.securelist.com/en/analysis/204791931/Keyloggers_How_they_work_and_how_to_detect_them_Part_1
http://www.securelist.com/en/analysis/204792178/Keyloggers_Implementing_keyloggers_in_Windows_Part_Two


Solo podrías saber cuando tu aplicación se cierra por el mensaje WM_QUIT... el mismo que te advierte VB6 en su evento unload... cualquier otro cierre forzoso no podrías interceptarlo.

x64core

la del raton seria demasiado creo :S
estaria bien cada vez que presione enter... pero si nunca llegase a presionar enter :P
o tambien que digamos cada vez cambie el foco a otra ventana diferente... eso es mucho mas seguro

W0lFy

Cita de: Karcrack en 28 Diciembre 2011, 09:50 AM
Leete este paper, es imprescindible.
y que lo digas....  :rolleyes:
TNKX
K@NuT0

wachi

hola
bueno te diré que para la parte de saber  si alguien ha matado el proceso e impedirlo,te recomiendo hookear la apis TerminateProcess,donde verificas si el PID del proceso a matar es el tuyo,en caso de ser verdadero no lo matas,si quieres profundizar un poco mas puedes ver como hookear a su semejante ZwTerminateProcess,pero esto ya es un poco mas complicado......

saludos.
Si lo que vas a decir no es mas bello que el silencio : no lo digas

W0lFy

Cita de: wachi en  1 Febrero 2012, 05:30 AM
hola
bueno te diré que para la parte de saber  si alguien ha matado el proceso e impedirlo,te recomiendo hookear la apis TerminateProcess,donde verificas si el PID del proceso a matar es el tuyo,en caso de ser verdadero no lo matas,si quieres profundizar un poco mas puedes ver como hookear a su semejante ZwTerminateProcess,pero esto ya es un poco mas complicado......

saludos.

Lo de "hookear las APIS" siempre me ha llamado la atención. cuando tenga tiempo me lo miro,y ya casi me hago un rootkit ^^.
:p
K@NuT0