برنامه های کی لاگر بهترین کی لاگر

چگونه می توانید بفهمید فرزند یا کارمند شما در رایانه چه می کند؟ او از چه سایت هایی بازدید می کند، با چه کسانی ارتباط برقرار می کند، چه چیزی و برای چه کسانی می نویسد؟

برای این منظور، برنامه های جاسوسی وجود دارد - نوع خاصی از نرم افزار که بدون توجه کاربر، اطلاعات مربوط به تمام اقدامات او را جمع آوری می کند. نرم افزار جاسوسی کامپیوتری این مشکل را حل خواهد کرد.

نرم افزارهای جاسوسی برای رایانه را نباید با تروجان اشتباه گرفت: اولی کاملاً قانونی است و با آگاهی مدیر نصب می شود، دومی به طور غیرقانونی وارد رایانه شخصی می شود و فعالیت های مخرب پنهانی را انجام می دهد.

با این حال، هکرها همچنین می توانند از برنامه های ردیابی قانونی استفاده کنند.

برنامه های جاسوسی اغلب توسط مدیران کسب و کار و مدیران سیستم برای نظارت بر کارمندان، والدین برای جاسوسی از فرزندان، همسران حسود و غیره نصب می شوند. در عین حال، "قربانی" ممکن است بداند که تحت نظارت است، اما اغلب او نمی داند. دانستن

بررسی و مقایسه پنج برنامه جاسوس افزار محبوب

NeoSpy

NeoSpy یک برنامه جاسوسی جهانی صفحه کلید، صفحه نمایش و فعالیت کاربر است. NeoSpy به صورت نامرئی کار می کند و می تواند حضور خود را حتی در هنگام نصب پنهان کند.

کاربری که برنامه را نصب می کند این امکان را دارد که یکی از دو حالت نصب - مدیر و مخفی را انتخاب کند. در حالت اول، برنامه به صورت باز نصب می شود - یک میانبر روی دسکتاپ و یک پوشه در فهرست فایل های برنامه ایجاد می کند، در حالت دوم - مخفی می شود.

فرآیندهای برنامه در Task Manager ویندوز یا مدیر وظیفه شخص ثالث ظاهر نمی شوند.

عملکرد NeoSpy بسیار گسترده است و این برنامه می تواند هم به عنوان مانیتورینگ خانه و هم در دفاتر برای نظارت بر کارمندان استفاده شود.

برنامه جاسوسی در سه نسخه تحت مجوز اشتراک‌افزار توزیع شده است. قیمت 820-1990 روبل است، اما همچنین می تواند به صورت رایگان (حتی در حالت مخفی) با محدودیت در هنگام مشاهده گزارش ها کار کند.

آنچه NeoSpy می تواند انجام دهد:

• نظارت بر صفحه کلید؛
• نظارت بر بازدید از وب سایت؛
• نمایش صفحه کاربر در زمان واقعی از طریق اینترنت از رایانه یا رایانه لوحی دیگر.
• اسکرین شات بگیرید و تصاویر را از وب کم خود ذخیره کنید.
• نظارت بر رویدادهای سیستم (روشن کردن، خاموش کردن، خرابی رایانه، اتصال رسانه های قابل جابجایی)؛
• رهگیری محتویات کلیپ بورد؛
• نظارت بر استفاده از پیام رسان های فوری اینترنتی، ضبط تماس های اسکایپ.
• رهگیری داده های ارسال شده برای چاپ و کپی شده در رسانه های خارجی؛
• نگه داشتن آمار کار کامپیوتری؛
• ارسال مختصات لپ تاپ (محاسبه شده از طریق Wi-Fi).

به لطف رابط روسی زبان، طیف گسترده ای از عملکردها، شنود صحیح صفحه کلید و حالت عملیات کاملاً پنهان در سیستم، NeoSpy حداکثر امتیاز را هنگام انتخاب دریافت می کند. برنامه های کنترل کاربر

مانیتور جاسوسی واقعی

جاسوس بعدی Real Spy Monitor است. این برنامه انگلیسی زبان نه تنها دارای عملکردهای ردیابی است، بلکه می تواند برخی از اقدامات را در رایانه مسدود کند. بنابراین، اغلب به عنوان یک ابزار کنترل والدین استفاده می شود.

برای هر حساب در تنظیمات Real Spy Monitor، می توانید خط مشی ممنوعیت خود را ایجاد کنید، به عنوان مثال، برای بازدید از سایت های خاص.

متأسفانه، به دلیل عدم وجود رابط انگلیسی زبان، درک عملکرد Real Spy Monitor، با وجود تصاویر کوچک گرافیکی برای دکمه ها، دشوارتر است.

این برنامه نیز پولی است. هزینه مجوز از 39.95 دلار است.

ویژگی های مانیتور جاسوسی واقعی:

• رهگیری ضربه های کلید، محتویات کلیپ بورد، رویدادهای سیستم، وب سایت ها، پیام رسان های فوری، ایمیل.
• کار در حالت نیمه پنهان (بدون پنجره فعال، اما با فرآیند نمایش داده شده در مدیر وظیفه)؛
• کار با چندین حساب؛
• شروع خودکار انتخابی برای حساب های مختلف

به طور کلی، بسیاری از کاربران Real Spy Monitor را دوست دارند؛ معایب آن شامل هزینه بالا، عدم وجود رابط روسی زبان و نمایش فرآیند در مدیر وظیفه است.

جاسوس واقعی

توسعه دهندگان Actual Spy را به عنوان یک keylogger (کی لاگر) قرار می دهند، اگرچه این برنامه می تواند کارهایی بیش از ضبط کردن ضربات کلید انجام دهد.

محتویات کلیپ بورد را نظارت می کند، اسکرین شات می گیرد، بازدیدهای سایت و سایر مواردی را که در مجموعه اصلی جاسوسی که ما بررسی کردیم را بررسی می کند.

هنگامی که نصب می شود، Actual Spy یک میانبر در منوی استارت ایجاد می کند تا بتواند توسط کاربر مورد توجه قرار گیرد. راه اندازی نیز آشکارا رخ می دهد - برای پنهان کردن پنجره برنامه باید کلیدهای خاصی را فشار دهید.

قابلیت های Actual Spy تفاوت چندانی با رقبای خود ندارد. در میان کاستی ها، کاربران خاطرنشان کردند که ضربات کلید را فقط در طرح انگلیسی به درستی ضبط می کند.

SpyGo

SpyGo - کیت جاسوسی برای استفاده خانگی. همچنین می تواند در ادارات برای نظارت بر کارمندان استفاده شود.

برای شروع نظارت، فقط روی دکمه "شروع" در SpyGo کلیک کنید.

SpyGo تحت مجوز shareware توزیع می شود و بسته به مجموعه عملکردها 990-2990 روبل هزینه دارد.

در نسخه های آزمایشی، مدت زمان نظارت به 20 دقیقه در روز محدود شده است و ارسال گزارش به ایمیل و FTP در دسترس نیست.

ویژگی های اصلی SpyGo:

• نظارت بر ضربه زدن به کلید؛
• ضبط تمام اقدامات روی رایانه (راه اندازی برنامه ها، عملیات با فایل ها و غیره)؛
• کنترل بازدید از منابع وب (تاریخچه، سوالات جستجو، سایت های پربازدید، مدت زمان اقامت در سایت)؛
• ضبط آنچه روی صفحه اتفاق می افتد؛
• ذخیره محتویات کلیپ بورد؛
• گوش دادن به محیط (در صورت وجود میکروفون)؛
• نظارت بر رویدادهای سیستم (زمان روشن و خاموش کردن رایانه، زمان از کار افتادن، اتصال درایوهای فلش، دیسک ها و غیره).

مهم! به گفته کاربران، معایب SpyGo شامل این واقعیت است که از همه نسخه‌های ویندوز پشتیبانی نمی‌کند، هنگام ارسال گزارش اغلب خطا ایجاد می‌کند و به راحتی از ماسک خارج می‌شود.

اسنیچ

Snitch - نام این برنامه به عنوان "snitch" ترجمه می شود و نسبت به کاربر بسیار غیر دوستانه است. جاسوسان در فعالیت های رایانه ای. مخفی کار می کند، نیازی به تنظیمات پیچیده ندارد و تأثیر کمی بر عملکرد سیستم دارد.

این برنامه در یک نسخه منتشر شده است.

ویژگی ها و ویژگی های Snitch:

• نظارت بر صفحه کلید، کلیپ بورد، رویدادهای سیستم، وب گردی و ارتباطات در پیام رسان های فوری؛
• گردآوری گزارش های خلاصه و نمودارهای رویدادهای نظارت شده؛
• پیکربندی شبکه بی نیاز؛
• محافظت در برابر خاتمه غیرمجاز فرآیند برنامه؛
• نظارت حتی در صورت عدم دسترسی به شبکه انجام می شود.

در میان کاستی ها، می توانید متوجه درگیری با آنتی ویروس ها شوید

چگونه یک جاسوس را در رایانه خود شناسایی کنیم؟

یافتن نرم افزارهای جاسوسی در رایانه ای که ظاهراً خود را نشان نمی دهد دشوار است، اما غیرممکن نیست.

بنابراین، با وجود مشروعیت آنها، برنامه هایی که ما بررسی کردیم توسط آنتی ویروس های خاص قابل تشخیص است،برای جستجوی نرم افزارهای جاسوسی (تروجان هایی با توابع جاسوسی) "طراحی شده" است، بنابراین توصیه می کنیم برنامه نصب شده را به لیست حذف این آنتی ویروس ها اضافه کنید.

و اگر نیازی به حذف جاسوس ندارید، بلکه فقط باید اعمال خود را از آن پنهان کنید، می توانید از ابزارهای ضد جاسوسی استفاده کنید که با وجود جاسوسی فعال از شما، از رهگیری رویدادها و اسکرین شات های صفحه کلید جلوگیری می کند.

سپس مکاتبات و رمزهای عبور شما به دست اشتباه نمی افتد.

Elite Keylogger تمام رمزهای عبور تایپ شده در رایانه را ضبط می کند، در حالی که برای کاربران کاملاً نامرئی می ماند! شما قادر خواهید بود رمزهای عبور، اسناد، ایمیل ها، پیام های چت و موارد دیگر را رهگیری کنید.

رمزهای عبور

Elite Keylogger در حالت درایور سطح پایین کار می کند و قبل از سیستم ویندوز شروع به کار می کند، که به شما امکان می دهد رمز عبور و ورود به سیستم را پیدا کنید. لطفاً توجه داشته باشید که نسخه مک نمی تواند رمزهای ورود به سیستم OS X را ضبط کند.

ضبط چت و نامه

Elite Keylogger برای Windows چت ها و پیام های فوری را از بسیاری از مشتریان مختلف، از جمله MSN، AOL، ICQ، AIM، GTalk، Skype ضبط می کند. Elite Keylogger برای مک می تواند مکالمات را از Skype، Viber، iChat/Messages و Adium و همچنین ایمیل های خروجی را از هر دو طرف ضبط کند.

کی لاگر شبکه

Elite Keylogger یک راه حل ایده آل برای نظارت از راه دور کامپیوتر است. شما فقط باید یک بار آن را نصب کنید - و گزارش ها از طریق ایمیل برای شما ارسال می شود یا در یک سرور FTP آپلود می شود. این باعث می شود این ابزار برای شرکت هایی که نیاز به نظارت بر رایانه کارکنان دارند ایده آل باشد. این برنامه کاملا نامرئی است و توسط نرم افزار آنتی ویروس یا آنتی جاسوس افزار (در صورت نصب صحیح) قابل شناسایی نیست.

بهترین رهگیری وب سایت

Elite Keylogger یکی از بهترین برنامه های جاسوسی است که به دلیل توانایی ضبط بازدید از وب سایت برای همه مرورگرهای محبوب است. این به طور کامل آدرس های وب سایت را در مرورگرهای Internet Explorer، Firefox، Safari، Opera، Google Chrome و سایر مرورگرها ثبت می کند. هر آدرس وب‌سایت همراه با مهر زمانی بازدید ثبت می‌شود، بنابراین می‌توانید به راحتی فعالیت اینترنتی فرزندانتان را کنترل کنید تا از ایمن بودن آنها مطمئن شوید.

رابط کاربری دوستانه

استفاده از آن بسیار آسان است. نصب سریع و بدون دردسر حتی برای مبتدیان است. برای کسانی که به آن نیاز دارند، Elite Keylogger گزینه های پیشرفته تری مانند نصب از راه دور یا تنظیمات اولیه را ارائه می دهد. فقط نصب کنید و می توانید در عرض چند دقیقه آن را پیکربندی و فعال کنید. فقط نحوه دریافت گزارش‌ها را مشخص کنید - و دیگر حتی نیازی به لمس رابط مدیر نرم‌افزار جاسوسی ندارید، زیرا اکنون همه چیز را به طور خودکار انجام می‌دهد!

گزینه های زیادی برای ارسال گزارش

Elite Keylogger گزینه های گزارش گیری زیادی را ارائه می دهد. آنها می توانند از طریق ایمیل برای شما ارسال شوند، در FTP آپلود شوند، به رایانه دیگری در شبکه محلی منتقل شوند، یا مخفیانه در درایو USB کپی شوند. هیچ محدودیتی در اندازه سیاهههای مربوط به ارسال وجود ندارد.

کی لاگربرنامه ای است که کلیدهای فشرده شده را خوانده و در یک فایل ذخیره می کند. در آینده، می توانید مشاهده کنید که شخص در رایانه چه نوشته است، چه پیام هایی تایپ کرده و چه رمزهایی را وارد کرده است. نام دیگر کی لاگر، کی لاگر است که از کلمه انگلیسی "keylogger" به معنای واقعی کلمه به معنای دکمه های ضبط است.

در برنامه NeoSpy، عملکرد keylogger به طور پیش فرض فعال است؛ در این حالت، برنامه متن، ترکیب کلیدهای میانبر و رمزهای عبور تایپ شده روی صفحه کلید را ضبط می کند. مدیریت تنظیمات keylogger در منوی "Tracking Settings" - "Log Recording" - "Keyboard" قرار دارد. شما می توانید یکی از دو حالت عملکرد برنامه را انتخاب کنید: استاندارد و جایگزین. توصیه می شود در 99 درصد مواقع از گزینه استاندارد استفاده کنید، اما در صورت تداخل با نرم افزار آنتی ویروس خود، می توانید حالت جایگزین را فعال کنید.

راه اندازی کی لاگر

گزارش صفحه کلید همیشه با فرمت کامل، از جمله کلیدهای سرویس، ضبط می شود. نمونه ای از چنین لاگ را می توان در تصویر مشاهده کرد. هنگام مشاهده گزارش، می‌توانید نمایش نویسه‌های غیرقابل چاپ را غیرفعال کنید و گزارش را به‌عنوان متن ساده مشاهده کنید که برای خواندن رایگان در دسترس‌تر است.

مثال کی لاگر

برای سهولت کار با گزارش ها، گذرواژه های تایپ شده در لیست ضربه های کلید برجسته می شوند. به این ترتیب می توانید رمزهای عبور فرزندتان را پیدا کنید و در صورت لزوم از او در برابر آشنایان ناخواسته محافظت کنید. اگر برنامه NeoSpy در یک شرکت برای نظارت بر کارمندان استفاده می شود، جمع آوری داده های شخصی و مکاتبات توسط قوانین اکثر کشورها ممنوع است، بنابراین این گزینه باید غیرفعال شود، یا به کارمند باید کتباً در مورد کنترل توسط مدیریت و اطلاع رسانی شود. عدم مجاز بودن استفاده از رایانه در سازمان برای مکاتبات شخصی.

دنیای هکرها را می توان به سه گروه از مهاجمان تقسیم کرد:

1) "Skids" (اسکریپت kiddies) - هکرهای تازه کار کوچکی که قطعات معروف کد و ابزارهای کمکی را جمع آوری می کنند و از آنها برای ایجاد بدافزار ساده استفاده می کنند.

2) «خریداران» کارآفرینان، نوجوانان و دیگر جویندگان هیجان بی‌وجدان هستند. آنها خدماتی را برای نوشتن چنین نرم افزارهایی در اینترنت می خرند، اطلاعات خصوصی مختلف را با کمک آن جمع آوری می کنند و احتمالاً آن را دوباره می فروشند.

3) "Black Hat Coders" - متخصصان برنامه نویسی و متخصصان معماری. آنها کد را در یک دفترچه یادداشت می نویسند و اکسپلویت های جدید را از ابتدا توسعه می دهند.

آیا کسی با مهارت های برنامه نویسی خوب می تواند آخرین نفر باشد؟ فکر نمی کنم پس از شرکت در چند جلسه DEFCON شروع به ایجاد چیزی مانند regin (پیوند) کنید. از سوی دیگر، من معتقدم که یک افسر امنیت اطلاعات باید به برخی از مفاهیمی که بدافزار بر اساس آنها ساخته شده است تسلط داشته باشد.

چرا پرسنل امنیت اطلاعات به این مهارت های مشکوک نیاز دارند؟

دشمنت را بشناس. همانطور که در وبلاگ Inside Out بحث کردیم، باید مانند مجرم فکر کنید تا جلوی او را بگیرید. من یک متخصص امنیت اطلاعات در Varonis هستم و با توجه به تجربه‌ام، اگر بدانید مهاجم چه حرکاتی انجام می‌دهد، در این حرفه قوی‌تر خواهید بود. بنابراین تصمیم گرفتم مجموعه‌ای از پست‌ها را درباره جزئیات مربوط به بدافزارها و خانواده‌های مختلف ابزارهای هک شروع کنم. هنگامی که متوجه شدید که ایجاد نرم افزار غیرقابل شناسایی چقدر آسان است، ممکن است بخواهید در سیاست های امنیتی شرکت خود تجدید نظر کنید. حالا با جزئیات بیشتر.

برای این کلاس غیررسمی "هک 101"، به دانش برنامه نویسی (C# و جاوا) و درک اولیه معماری ویندوز نیاز دارید. به خاطر داشته باشید که در واقعیت بدافزار به زبان C/C++/Delphi نوشته شده است تا به چارچوب‌ها وابسته نباشد.

کی لاگر

کی لاگر نرم‌افزار یا نوعی دستگاه فیزیکی است که می‌تواند ضربه‌های کلید را روی یک ماشین در معرض خطر رهگیری و به خاطر بسپارد. این را می توان به عنوان یک تله دیجیتال برای هر ضربه کلید روی صفحه کلید در نظر گرفت.
اغلب این عملکرد در سایر نرم افزارهای پیچیده تر، به عنوان مثال، تروجان ها (تروجان های دسترسی از راه دور RATS) اجرا می شود، که از تحویل داده های رهگیری شده به مهاجم اطمینان می دهد. کی لاگرهای سخت افزاری نیز وجود دارند، اما کمتر رایج هستند زیرا... نیاز به دسترسی فیزیکی مستقیم به دستگاه

با این حال، ایجاد توابع پایه کی لاگر برای برنامه ریزی نسبتاً آسان است. هشدار. اگر می خواهید هر یک از موارد زیر را امتحان کنید، مطمئن شوید که مجوزها را دارید و محیط موجود را مختل نمی کنید و بهتر است همه این کارها را روی یک VM ایزوله انجام دهید. بعد، این کد بهینه نمی شود، من فقط خطوط کدی را به شما نشان می دهم که می تواند کار را انجام دهد، این ظریف ترین یا بهینه ترین راه نیست. و در نهایت، من به شما نمی گویم که چگونه یک کی لاگر را در برابر راه اندازی مجدد مقاوم کنید یا سعی کنید آن را با استفاده از تکنیک های برنامه نویسی خاص و همچنین محافظت در برابر حذف حتی در صورت شناسایی، کاملا غیرقابل شناسایی کنید.

برای اتصال به صفحه کلید فقط باید از 2 خط در سی شارپ استفاده کنید:

1. 2. 3. عمومی استاتیک خارجی int GetAsyncKeyState (Int32 i);

می‌توانید درباره عملکرد GetAsyncKeyState در MSDN اطلاعات بیشتری کسب کنید:

برای درک: این تابع تعیین می کند که آیا یک کلید در زمان تماس فشرده یا رها شده است و اینکه آیا بعد از تماس قبلی فشار داده شده است یا خیر. اکنون ما دائماً این تابع را برای دریافت داده از صفحه کلید فراخوانی می کنیم:

1. while (true) 2. ( 3. Thread.Sleep(100)؛ 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

اینجا چه خبره؟ این حلقه هر 100 میلی ثانیه هر کلید را نظرسنجی می کند تا وضعیت آن را مشخص کند. اگر یکی از آنها فشار داده شود (یا فشرده شده باشد)، پیامی در این مورد روی کنسول نمایش داده می شود. در زندگی واقعی، این داده ها بافر شده و برای مهاجم ارسال می شود.

کی لاگر هوشمند

صبر کنید، آیا تلاش برای حذف تمام اطلاعات از همه برنامه ها فایده ای دارد؟
کد بالا ورودی خام صفحه‌کلید را از هر پنجره و فیلد ورودی که در حال حاضر فوکوس دارد می‌گیرد. اگر هدف شما شماره کارت اعتباری و رمز عبور است، پس این رویکرد چندان موثر نیست. برای سناریوهای دنیای واقعی، زمانی که چنین کی لاگرهایی بر روی صدها یا هزاران ماشین اجرا می شوند، تجزیه و تحلیل داده های بعدی می تواند بسیار طولانی و در نهایت بی معنی شود، زیرا اطلاعات ارزشمند برای یک مهاجم ممکن است تا آن زمان قدیمی باشد.

بیایید فرض کنیم که می‌خواهم برای فروش لایک، اعتبار فیس‌بوک یا جی‌میل را به دست بیاورم. سپس یک ایده جدید این است که keylogging را فقط زمانی فعال کنید که پنجره مرورگر فعال است و کلمه Gmail یا facebook در عنوان صفحه وجود دارد. با استفاده از این روش شانس دریافت مدارک را افزایش می دهم.

نسخه دوم کد:

1. while (true) 2. ( 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if (line.Contains("Gmail")|| line.Contains("Facebook - Log In or Sign Up")) 8. ( 9. //بررسی صفحه کلید 10. ) 11. ) 12. Thread.Sleep(100); 13. )

این قطعه هر 100 میلی ثانیه پنجره فعال را شناسایی می کند. این کار با استفاده از تابع GetForegroundWindow (اطلاعات بیشتر در مورد MSDN) انجام می شود. عنوان صفحه در متغیر buff ذخیره می شود، اگر حاوی gmail یا فیس بوک باشد، قطعه اسکن صفحه کلید فراخوانی می شود.

با انجام این کار، ما مطمئن شدیم که صفحه کلید تنها زمانی اسکن می شود که پنجره مرورگر در سایت های فیس بوک و جی میل باز است.

یک کی لاگر حتی هوشمندتر

بیایید فرض کنیم که مهاجم توانسته است داده ها را با استفاده از کدی مشابه کد ما بدست آورد. بیایید همچنین فرض کنیم که او به اندازه کافی جاه طلب است که ده ها یا صدها هزار دستگاه را آلوده کند. نتیجه: یک فایل عظیم با گیگابایت متن که هنوز باید اطلاعات لازم را در آن پیدا کنید. وقت آن است که با عبارات منظم یا regex آشنا شوید. این چیزی شبیه یک زبان کوچک برای ایجاد الگوهای خاص و اسکن متن برای مطابقت با الگوهای داده شده است. در اینجا می توانید اطلاعات بیشتری کسب کنید.

برای ساده کردن، من بلافاصله عبارات آماده ای را ارائه می دهم که با نام های ورود و رمز عبور مطابقت دارد:

1. //در جستجوی آدرس پستی 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* + \-/=؟\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) ( 3) (1،3))) $ 3. 4. 5. //به دنبال رمز عبور 6. (?=^.(6،)$)(?=.*\d)(?=.*)

این عبارات در اینجا به عنوان اشاره ای به آنچه می توان با استفاده از آنها انجام داد، آمده است. با استفاده از عبارات منظم، می توانید هر ساختاری را که فرمت مشخص و تغییرناپذیری دارند، به عنوان مثال، شماره پاسپورت، کارت اعتباری، حساب ها و حتی رمز عبور جستجو کنید (و پیدا کنید!).
در واقع، عبارات منظم خواناترین نوع کد نیستند، اما در صورت وجود وظایف تجزیه متن، یکی از بهترین دوستان برنامه نویس هستند. جاوا، سی شارپ، جاوا اسکریپت و سایر زبان‌های محبوب از قبل دارای توابع آماده‌ای هستند که می‌توانید عبارات منظم را به آن‌ها منتقل کنید.

برای سی شارپ به این صورت است:

1. Regex re = new Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=؟\^_`(|)~]+)*@((([\-\w]+\.)+(2،4))|(((1،3)\.) (3)(1،3)))$"); 2. Regex re2 = new Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. رشته ایمیل = " [ایمیل محافظت شده]"؛ 4. string pass = "abcde3FG"؛ 5. Match result = re.Match(email); 6. Match result2 = re2.Match(pass);

جایی که عبارت اول (re) با هر ایمیلی مطابقت دارد و دومی (re2) با هر ساختار الفبای عددی بیشتر از 6 کاراکتر مطابقت دارد.

رایگان و کاملا غیرقابل شناسایی

در مثالم، من از ویژوال استودیو - شما می توانید از محیط مورد علاقه خود استفاده کنید - برای ایجاد چنین کی لاگر در 30 دقیقه استفاده کردم.
اگر من یک مهاجم واقعی بودم، آنگاه هدف واقعی (سایت های بانکی، شبکه های اجتماعی و غیره) را هدف قرار می دادم و کد را برای مطابقت با این اهداف تغییر می دادم. البته، من یک کمپین ایمیل فیشینگ را نیز با برنامه‌مان اجرا می‌کنم، که به عنوان یک فاکتور معمولی یا پیوست دیگر ظاهر می‌شود.

یک سوال باقی می ماند: آیا واقعاً چنین نرم افزارهایی توسط برنامه های امنیتی قابل شناسایی نیستند؟

من کد خود را کامپایل کردم و فایل exe را در وب سایت Virustotal بررسی کردم. این یک ابزار مبتنی بر وب است که هش فایلی را که دانلود کرده اید محاسبه می کند و آن را در پایگاه داده ویروس های شناخته شده جستجو می کند. تعجب! طبیعتا چیزی پیدا نشد.

این نکته اصلی است! همیشه می توانید کد را تغییر دهید و توسعه دهید، همیشه چند قدم جلوتر از اسکنرهای تهدید. اگر بتوانید کد خود را بنویسید تقریباً غیرقابل شناسایی بودن آن تضمین شده است. تحلیل کامل را می توانید در این صفحه بخوانید.

هدف اصلی این مقاله نشان دادن این است که با استفاده از آنتی ویروس ها به تنهایی نمی توانید امنیت شرکت خود را به طور کامل تضمین کنید. ارزیابی عمیق تر از اقدامات همه کاربران و حتی سرویس ها برای شناسایی اقدامات بالقوه مخرب مورد نیاز است.

در مقاله بعدی نحوه ساخت یک نسخه واقعا غیرقابل شناسایی از چنین نرم افزاری را نشان خواهم داد.

برای بررسی امنیت رمزهای عبور وارد شده از طریق KeePass، تصمیم گرفتم یک کی لاگر ساده با جمع‌آوری داده‌های اضافی از کلیپ بورد بنویسم. کل کد چند خط در FreePascal طول کشید.

رمزهای عبور، بدون اقدامات امنیتی اضافی و پیکربندی مناسب KeePass، کاملاً آسیب پذیر بودند.

کد کی لاگر در یک حلقه تایمر قرار می گیرد که هر 10 میلی ثانیه به روز می شود. ماژول های مورد استفاده: Windows و ClipBrd.

//وضعیت فعلی کلیدها را برای f:= 0 تا 255 مقایسه کنید اگر a[f]<>GetAsyncKeyState(f) سپس شروع به //واکنش به فشار دادن یک کلید در صورت KeePass.Checked و (GetAsyncKeyState(f) = 0) سپس Memo1.Caption:= Memo1.Caption + chr(f); //واکنش به فشار دادن کلید اگر KeePass.Checked نیست و (GetAsyncKeyState(f)<>0) سپس Memo1.Caption:= Memo1.Caption + chr(f); پایان؛ //حالت فعلی کلیدها را در یک آرایه برای f:= 0 تا 255 ذخیره کنید a[f] := GetAsyncKeyState(f); //وقتی تغییراتی در کلیپ بورد ایجاد شد بنویسید اگر s<>Clipboard.AsText سپس شروع به s:= Clipboard.AsText; Memo2.Caption:= Memo2.Caption + s + " "; پایان؛
برنامه Simple Logger به شکل زیر است:

پنجره -Keyboard- کلیدها را بدون توجه به حروف کوچک و زبان ورودی نمایش می دهد. نمادی که عدد آن برابر با کد کلید است نمایش داده می شود: chr(f). این برنامه را می توان تغییر داد تا همه نمادها را به درستی نمایش دهد، اما این برای این مطالعه مورد نیاز نیست.

کپی کردن در پنجره -Clipboard- زمانی اتفاق می افتد که محتویات بافر تغییر کند.

نقاط ضعف KeePass و حذف آنها

1. رمز اصلی را وارد کنید

به طور پیش فرض، رمز اصلی در KeePass بدون حالت امن وارد می شود، بنابراین می توان آن را به راحتی در Simple Logger تعیین کرد. این بحرانی ترین مکان در امنیت است، زیرا ... در اینجا ما به یکباره به کل پایگاه داده رمز عبور دسترسی پیدا می کنیم.

برای رفع مشکل، باید تنظیمات امنیتی «رمز عبور اصلی را در حالت محافظت شده وارد کنید (مشابه UAC در ویندوز ویستا و بالاتر) را فعال کنید. این حالت از دسترسی لاگر به صفحه کلید جلوگیری می کند. علاوه بر این، گرفتن اسکرین شات برای تعیین محل فایل کلید غیرممکن است.

این حالت تنها زمانی فعال می شود که رمز اصلی وارد شود. حفاظت از سایر رمزهای عبور بیشتر مورد بحث قرار خواهد گرفت.

2. کلیپ بورد

Simple Logger به تغییرات کلیپ بورد 100 بار در ثانیه پاسخ می دهد. بنابراین، وارد کردن رمز عبور به بافر و سپس حذف آن پس از چند ثانیه محافظتی در این مورد ایجاد نمی کند.

برای حل این مشکل می توانید از AutoDial استفاده کنید.

3. شماره گیری خودکار

پاسخ به شماره گیری خودکار KeePass با فشار دادن یک کلید رخ می دهد، نه فشار دادن آن. این به شما امکان می دهد از برخی کیلاگرها محافظت کنید. برای دور زدن این موضوع، Simple Logger یک تنظیم اضافی دارد: "KeePass Auto-Type". اگر روشن باشد، با فشار دادن یک کلید، لاگر فعال می شود.

هنگام شماره گیری خودکار از طریق KeePass: MyLoginName LongPassword123

یک ورودی در Simple Logger ظاهر می شود:

Simple Logger به هیچ وجه میانبرهای صفحه کلید را در نظر نمی گیرد. همانطور که می بینید، کلید Shift به عنوان یک کاراکتر خاص (مشابه "+") و "؟" نمایش داده می شود. Shift هم ​​قبل و هم بعد از حروف بزرگ آزاد می شود. با این حال، این برای درک رمز عبور کافی است.

برای حل این مشکل، می‌توانید از تنظیمات «پیچیدگی شماره‌گیری خودکار دوگانه» در KeePass استفاده کنید. در این حالت، KeePass بخشی از رمز عبور را از صفحه کلید و بخشی را از طریق کلیپ بورد وارد می کند و مقادیر را به هم می زند. این به شما امکان می دهد برخی از کی لاگرها را دور بزنید.

Simple Logger به دو پیچیدگی شماره گیری خودکار به صورت زیر واکنش نشان می دهد:

• چسباندن از کلیپ بورد "Ctrl + V" به عنوان "V◄?" نمایش داده شد.
• فلش سمت چپ - "%" (کد کلید و نماد #37)؛
• فلش سمت راست - """ (کد کلید و نماد شماره 39).

می توانید یک الگوریتم کوچک بنویسید و رمز عبور صحیح را با استفاده از داده های هر دو ویندوز بازیابی کنید. این تنظیم کار keylogger را پیچیده می کند، اما محافظت را تضمین نمی کند - در صورت تمایل می توان رمز عبور را به راحتی بازیابی کرد.

اقدامات حفاظتی اضافی می تواند در برابر کی لاگر طراحی شده برای KeePass کمک کند.

4. حفاظت اضافی

برخی از بسته های نرم افزاری دارای ویژگی هایی مانند:

• حفاظت از داده های ورودی از صفحه کلید سخت افزاری؛
• مرورگر امن

هنگامی که محافظت از ورودی داده را از صفحه کلید سخت افزاری فعال می کنید، Simple Logger دیگر نمی تواند داده ها را از تایپ خودکار KeePass دریافت کند، اگر در فرم رمز عبور در مرورگر وارد شود. در این حالت، نقطه ضعف از طریق کلیپ بورد کار می کند.

هنگام استفاده از یک مرورگر محافظت شده، دسترسی به کلیپ بورد و صفحه کلید با استفاده از Simple Logger امکان پذیر نبود. علاوه بر این، هیچ راهی برای گرفتن اسکرین شات وجود نداشت.

به جای نتیجه گیری

پس از بررسی نحوه استفاده کارکنان ما از KeePass، متوجه شدم که برخی از موارد:

• از UAC استفاده نکنید.
• از شماره‌گیر خودکار استفاده نکنید، فقط رمزهای عبور را از طریق بافر کپی کنید.
• هنگام خروج از محل کار، برنامه را باز بگذارید.
• از تنظیمات پیش فرض بدون پیکربندی خط مشی امنیتی استفاده کنید.

من مدیر یک شرکت کوچک هستم، کمی به برنامه نویسی علاقه دارم. من یک متخصص فنی یا امنیتی نیستم، بنابراین خوشحال می شوم اگر متخصصان با تجربه تری به کاستی های تحقیقات کوچک من اشاره کنند.

من آخرین نسخه KeePass 2.36 را روی ویندوز 8.1 تست کردم. انصافاً باید توجه داشت که این مشکل فقط یک مشکل KeePass نیست. بسیاری از نگهدارنده های رمز عبور دیگر با درجه اطمینان بیشتر یا کمتر وجود دارند، اما این موضوع برای مطالعه دیگری است.

پیوندها

1. Logger ساده در GitHub
   //چه کسی اهمیت می دهد، می توانید یک فایل exe را در آرشیو "SimpleLogger_for_Win64.7z" پیدا کنید. این برنامه اجازه ورود به صفحه کلید را نمی دهد؛ این برنامه برای تحقیقات امنیتی و اهداف اطلاعاتی در نظر گرفته شده است.

UPD (2017/07/27)

افزونه مرورگر

همانطور که کاربر dartraiden اشاره کرد، امکان استفاده از ماژول وجود دارد KeepPassHttpهمراه با افزونه مرورگر PassIFoxیا ChromeIPass. این پلاگین (طبق گفته توسعه‌دهنده) امکان نمایش امن رکوردهای KeePass را از طریق HTTP فراهم می‌کند.

این ترکیب به شما اجازه می دهد تا زمانی که KeePass آنلاک است، به طور خودکار لاگین و رمز عبور خود را در مرورگر وارد کنید. Simple Logger به هیچ وجه در این مورد واکنش نشان نمی دهد.

نقطه ضعف ChromeIPass تولید رمز عبور جدید است، زیرا... از طریق کلیپ بورد کپی شده و روی صفحه قابل مشاهده است. در این صورت بهتر است یک رمز عبور جدید در خود KeePass تولید کنید.

ایجاد رمز عبور اصلی جدید

همانطور که توسط arthur_veber اشاره شده است:

هنگام تعویض رمز عبور اصلی و همچنین هنگام ایجاد رمز عبور جدید، از حالت ایمن استفاده نمی شود.

در این مورد، Simple Logger رمز اصلی وارد شده به KeePass را رهگیری می کند.

صفحه‌کلید مجازی روی صفحه‌نمایش از یک سازنده معروف نیز کمکی نمی‌کند، که مانند شماره‌گیر خودکار KeePass، بر اساس یک رویداد فشار کلید کار می‌کند.

در اینجا توصیه کردن دشوار است. احتمالاً باید توجه توسعه دهندگان را به این مشکل جلب کنیم.

سایر ابزارهای حمله

همانطور که کاربر qw1 اولین کسی بود که اشاره کرد، اگر سیستمی که KeePass روی آن نصب شده است به خطر بیفتد، می‌توان از سایر ابزارهای حمله به غیر از Keylogger استفاده کرد. در این مورد، فهرست اقدامات برای مقابله با حمله به موقعیت خاص بستگی دارد.

متأسفانه، نمی توان در یک مقاله تمام اقدامات امنیتی لازم برای ذخیره رمزهای عبور را پوشش داد.