PDA

مشاهده نسخه کامل : نوشتن keylogger نرم‌افزاری



smh
27-11-07, 00:04
در این مقاله به معرفی ساختار keylogger‌های نرم‌افزاری و روش نوشتن برنامه‌های keylogger پرداخته می‌شود.

Windows hook
هسته بسیاری از keyloggerها با استفاده از مکانیزم Windows hookبنا شده است. Hookنقطه‌ای در مکانیزم مدیریت پیام‌های سیستم ویندوز است که برنامه‌های مختلف می‌توانند با نصب یک زیربرنامه ترافیک پیام‌ها را قبل از رسیدن به برنامه مقصد شنود نمایند. Hook پانزده نوع دارد که هر یک از آنها به رویدادی خاصی از سیستم مرتبط هستند. پروتوتایپ hook به صورت زیر است:


Only the registered members can see the link

زنجیره hook‌ لیستی از اشاره‌گرها به زیربرنامه‌های hook‌ است. همزمان با ایجاد پیام جدیدی از یک نوع hook خاص، سیستم پیام را یک به یک به همه زیربرنامه‌هایی که در زنجیره hook‌ به آنها اشاره شده است ارسال می‌نماید.
یک زیربرنامه hook‌ می‌تواند بر ارسال پیام در زنجیره hook‌ نظارت داشته و یا آن را تغییر دهد. علاوه ‌بر این امکان ممانعت از رسیدن پیام به زیربرنامه بعدی در لیست و یا به برنامه مقصد وجود دارد.
تابع SetWindowsHookEx که پروتوتایپی مشابه زیر دارد یک زیربرنامه در ابتدای زنجیره hook قرار می‌دهد.


Only the registered members can see the link

نمونه‌های مختلفی از متن برنامه‌های Keylogger از سایت Only the registered members can see the link (Only the registered members can see the link de.com%2F) قابل دریافت است. در صورتی آشنایی با طرز کار windows hooksنوشتن keylogger‌ دشوار نبوده و نیاز به کد زیادی ندارد. تابع InstallHookکه از یکی از keyloggerها برداشته شده است فایلی که برای ثبت گزارشات استفاده می‌شود را مشخص نموده، زیربرنامه ثبت فعالیت‌های صفحه‌کلید KeyboardProcرا در زنجیره hook نصب می‌کند. این کار با فراخوانی تابع SetWindowsHooksExانجام می‌شود.


Only the registered members can see the link

در شرایطی که کلا ۱۵ نوع hook وجود دارد، WH_KEYBOARD و WH_MOUSEبرای نوشتن keylogger ضروری هستند. در اینجا WH_KEYBOARD شرح داده می‌شود و شرح سایر انواع hook‌ در سایت Only the registered members can see the link (Only the registered members can see the link %2F) قابل دسترسی است.

WH_KEYBOARD
این hook برنامه‌ها را قادر می‌سازد که بتوانند ترافیک پیام‌های WM_KEYDOWN و WM_KEYUPکه توسط GetMessageو PeekMessageبازگردانده می‌شوند را مانیتور نمایند. هرگاه یکی از توابع GetMessageو PeekMessage فراخوانی شوند و یک پیام مربوط به صفحه کلید (WM_KEYUPیا WM_KWYDOWN‌) فراخوانی شود، سیستم‌عامل اقدام به فراخوانی این زیربرنامه می‌نماید. پروتوتایپ تابع به شکل زیر است:


Only the registered members can see the link

متن زیر KeyboardProc است که از یکی از keyloggerها گرفته شده است. این تابع فایل خروجی را باز نموده و حرف مرتبط با کلید فشرده شده را در آن می‌نویسد. در مواقعی که لازم باشد با فراخوانی تابع ToAscii کد کلید مجازی مشخص شده و وضعیت صفحه کلید به حرف یا حروف متناظر ترجمه می‌گردد.


Only the registered members can see the link

هرگاه رویدادی رخ ‌دهد که توسط hook خاصی مانیتور می‌شود، سیستم عامل اولین زیربرنامه در زنجیره hook را فراخوانی می‌کند. هر زیربرنامه hookدر لیست تصمیم می‌گیرد که رویداد را به زیربرنامه بعدی ارسال نماید یا خیر. در صورتی که بنا بر ارسال رویداد باشد از تابع CallNextHookExاستفاده می‌شود.

مخفی کردن keylogger

روش‌های مختلفی برای جلوگیری از نمایش نام یک keylogger فعال در مدیر وظیفه (task manager) یا لیست پردازنده وجود دارد. یک از این روش‌ها باز کردن یک پنجره مخفی در هنگام روشن شده دستگاه و مقداردهی مناسب به پارامتر‌های لازمه به صورت زیر است.


Only the registered members can see the link