Клавиатурные шпионы

Клавиатурные шпионы - это программы, регистрирующие нажатия клавиш на компьютере. Принцип их действия прост - все нажатия на клавиши перехватываются программой, и полученные данные записываются в отдельный файл, который далее может быть отослан по сети на компьютер взломщика.

Клавиатурный шпион IKS можно назвать весьма популярной программой - по утверждению авторов на сайте http://www.amecisco.com, кейлоггер Invisit - KeyLogger 97 вошел под номером 8 в список 10 изделий, которые способны «напугать вас до смерти». Текущая версия кейлоггера функционирует на системах Windows NT/2000/XP, внедряясь в ядро системы, что позволяет программе перехватывать все нажатия клавиш, включая Ctrl+Alt+Delete. Поэтому IKS позволяет даже перехватывать нажатия клавиш при входной регистрации в системе Windows NT/2000/XP. Таким образом, программа IKS действует подобно драйверу клавиатуры, перехватывая все нажатые клавиши записывая их в журнальный файл.

Установка программы IKS не вызывает трудностей. После запуска загруженного с Web-сайта файла iks2k20d.exe отображается диалог, представленный на Рис. 20.

Рис. 20. Инсталляция кейлоггера IKS весьма проста

Щелчок на кнопке Install Now (Установить сейчас) устанавливает демо-версию кейлоггера. Полная версия IKS допускает замену имен установочных файлов произвольными именами для сокрытия работы программы. Единственным файлом, необходимым кейлоггеру IKS для работы, является файл iks.sys, который может быть переименован с целью сокрытия его от пользователей. Все нажатые пользователем клавиши записываются в текстовый и двоичный файл, просматриваемый с помощью программы dataview.exe, окно которой представлен на Рис. 21.

Рис. 21. Диалог управления регистрацией клавиш и хранением журнальных файлов

Щелчок на кнопке Go! (Вперед) открывает файл журнала, хранящий все нажатые клавиши. С помощью диалога на Рис. 22 можно настроить работу кейлоггера так, что будут отфильтровываться все нажатые функциональные клавиши на клавиатуре, а также очищаться содержимое журнала.

Как мы уже говорили, кейлоггер IKS функционирует как низкоуровневый драйвер, что скрывает его присутствие в системе. Однако файл iks.sys этого кейлоггера записывается в каталог корень системы/system32/drivers, а в системном реестре появляется регистрационная запись (эта запись выделена в диалоге редактора системного реестра Regedt32 на Рис. 22).

Рис. 22. В системном реестре Windows появилась предательская запись

С помощью таких записей в системном реестре все установленные в системе кейлоггеры идентифицируются без всяких проблем (например, это с успехом делает программа The Cleaner, особенно полезная для поиска троянских коней). Чтобы преодолеть такой недостаток кейлоггера IKS, на вкладке Stealth Inste (Скрытая установка) инсталляционного диалога (Рис. 21) можно изменить имя устанавливаемого драйвера на какое-нибудь безобидное, типа calc.sys, чтобы запутать систему защиты (собственно, отсутствие этой возможности - основное отличие демо-версии от полной).

Некоторым недостатком IKS является отсутствие поддержки средств передачи накопленных данных по сети. Этого недостатка лишен кейлоггер 007 Stealth Monitor, который умеет отслеживать посещения пользователем Web-сайтов, введенные пароли, запущенные программы, время обращения к файлам и другие действия пользователя. Однако эта программа плохо маскирует свою работу - её процесс виден в диспетчере задач Windows, хотя хакер может заменить название процесса каким-то другим, например, notepad.exe.

Запуск утилит планировщиком заданий

Наконец, последний метод создания потайных ходов - это запуск хакерских утилит планировщиком задний Windows. Установив в планировщике заданий запуск утилит в определенное время, хакер сможет удаленно связываться с ним для выполнения различных операций, например, удаленного управления компьютером с помощью предварительно установленного троянского коня, или программ удаленного управления компьютером. Как работают утилиты удаленного хакинга компьютера, мы расскажем в уроках 14 и 15.