Môj keylogger a ako som vyriešil bypass

HackForum

Môj keylogger a ako som vyriešil bypass#
Zdravím v tomto poste sa podelím o tom ako som vyriešil bypass win 10 defendera a bypass Riadeného prístupu k priečinkom ..

myšlienka bola naprogramovať keylogger ktorý bude funkčný a nedetekovatelný na najpoužívanejšiej platforme os win 10 . kde kto vie nakodovať keylogger ktorý je nepoužitelný lebo funguje len na starých os alebo zle zabezpečených PC , je toho plný github,youtube a internet obecne.. tak som sa rozhodol tento keylogger ktorý bypassne vstavané funkcie win10 nakodovať .

zvolil som jazyk python kvôli jednoduchosti ((script kidies si myslia že čím viac nízko úrovnoví jazyk tým menšia detekcia , čo je absolutný nezmysel, dokonca ked prepíšem c++ kod do autoitu či vbs či powershelu má to menšiu detekciu.)))

prvá test verzia zachytávala klávesnice do pamäte a pri každom entery zapisuje informácie do log.txt .. po kompilácii a spustení podla očakávania tento keylogger zastavila funkcia Riadeného prístupu k priečinkom.. takže v tejto chvíli som zistil že zapisovať na disk je blbosť lebo to proste na tých desinách bez certifikátu od certifikačnej autority nejde , chcete premiestniť či modifikovať súbor je to problem .. tak som sa rozhodol ukladať informácie priamo na ftpčko , či iný cloud konkrétne som naprogramoval aby informácie odosielal do verejného cloud google formuláru resp tabulky (google doc) . po spustení kompilovaného súboru všetko fungovalo ako má čo ma prekvapilo že je bypass win 10 ochrany tak jednoduchý ..

po nahrani súboru na virustotal(viem že by sa to robiť nemalo) detekcia bola 2/64 , detekovaný bol iba esetom a nejakým "trapmine"antivirom .

podelím sa o kod ked chcete(free) , ale pošlite mi váš mail




(odpovědět)
_DrCry_ | 178.143.94.*7.1.2019 0:31
re: Môj keylogger a ako som vyriešil bypass#
I když to pravděpodobně nemám kde použít rád se na ten kód podívám. faith00@tutanota.de
(odpovědět)
faith | 89.24.156.*7.1.2019 23:43
re: Môj keylogger a ako som vyriešil bypass#
Srovnávat nízkoúrovňové kompilované a vysokoúrovňové interpretované jazyky je dost zcestné. Jazyky jako C/C++ nebo ASM umožňují programátorovi pracovat efektivněji jak s pamětí výsledného programu, tak s velikostí výsledného kódu (jednoduchý keylogger přepsaný do formy shellkódu má maximálně několik stovek bajtů), ale za cenu hlubších znalostí jak programování tak operačních systémů.

Vyšší jazyky jako třeba právě Python naopak umožňují velmi rychle a efektivně vytvářet programy a to bez nutnosti nějakých hlubších znalostí. A to díky vysoké míře abstrakce těchto jazyků. Platí za to ale poměrně vysokou daň v podobě právě výsledné velikosti zkompilované binárky. Ve skutečnosti se totiž nejedná o reálnou binárku jako takovou, ale o interpret jazyka a potřebné knihovny. Díky tomu mají výsledné EXE soubory velikost kolem 5MB.

Co se týká toho 'bypassu': Podařilo se ti znovuobjevi kolo, protože tohle už se používá poměrně dlouho. Ale abych jen nekritizoval: I znovuobjevené kolo je kolo a ukazuje, že autor o problémech přemýšlí. Já bych na exfiltraci stisknutých kláves použil třeba DNS nebo triviální webserver, kterým může být i putty. Nepotřebuješ k tomu žádné externí knihovny a napíšeš to na pár řádků kódu i v C/C++ nebo ASM.

----------
Sec-Cave.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website8.1.2019 19:07

Zpět
 
 
 

 
BBCode