Кейлоггер The Rat!

Phantom Mode.

Родительская категория: Помощь онлайн

Категория: Общие вопросы

Опубликовано 07 Ноябрь 2015

Автор: HandyCat

Обход фаервола (firewall bypassing)реализовантехникой Phantom Mode. Не будем вдаваться в технические подробности реализации данного режима невидимости. Практически это выглядит так. The Rat! выдает себя за другую программу. Полностью!!! Он будет функционировать от имени программы путь, которой указывается пользователем:

Клавиатурный шпион

Если Вы полностью доверяете кейлоггеру, то установите переключатель на "Кейлоггер сам выбирает программу". Перебор возможных вариантов внедрения идет в следующем порядке:

броузер по умолчанию (кейлоггер сам определит какой установлен на Вашей системе) -> svchost.exe -> explorer.exe -> notepad.exe

Если Вы понимаете, что делаете, установите переключатель на "Выдавать себя за..." (не беспокойтесь, если программы не будет на машине, кейлоггер перейдет в автоматический режим).

По умолчанию - Вам предлагается текстовый редактор notepad, который имеется практически на любой машине с установленной системой Windows. Если надо "притвориться" программой, которая находится в системной дирректории, путь полностью можно не указывать, вписав лишь имя модуля. Например, "svchost.exe". Что это дает? Например, у Вас установлен фаервол, который разрешает выход в интернет только определенным вами программам (как в общем случае и бывает), в частности The Bat! - почта, Opera - интернет - броузер, FlashGet - качалка, ну и еще какие-либо. Так вот, притворившись The Bat! мы преспокойно обманем фаервол и отошлем лог-файл на наш почтовый ящик ! Можно также "закосить" непосредственно под сам фаервол :).

Для демонстрации маскировки, - несколько примеров.

- Настройки The Rat! по умолчанию. Формируем файл, запускаем, появляется окошко с предупреждением, что за системой следят. Внимательно осмотримся. А что это у нас в панели задач :) ?

Кейлоггер невидимый

- Жмем Ctrl+Alt+Del, в таскменеджере смотрим на список процессов.

Кейлоггер скачать

Видали? Медитируем...

- Настройки The Rat! по умолчанию. Формируем файл, запускаем кейлоггер, появляется окошко с предупреждением, что за системой следят, жмем ОК. Есть такая програмка Unlocker . Она служит для удаления "заблакированных файлов". Например, если файл открыт для чтения-записи какой-либо программой, его можно "разблокировать" и удалить с помощью Unlocker, а заодно посмотреть, процесс какой программы "блокирует" файл. Наша цель - это лог-файл (c:\rat.log)

Невидимый кейлоггер

Ну и какая программа отслеживает нажатия клавишь :) ?

- Эксперименты с обходом фаервола, установленного в вашей системе можете провести сами.

Вперёд >

А Вы знаете, что...

Принцип работы Fileconnector

В наш клавиатурный шпион, кейлоггер входит джойнер файлов - Fileconnector.

Принцип работы Fileconnector прост:

1. Берем в качестве данных один файл
2. Берем в качестве данных другой файл
3. Добавляем дополнительный код
4. Добавляем иконку
5. Создаем совокупный ассемблерный код
6. Ассемблируем и получаем результат - исполняемый файл при запуске которого запустятся оба файла.

Результат работы - исполняемый (*.exe) файл. Один из соединяемых файлов может быть html, avi, mp3 и т.п файлами (желательно все-таки .ехе). Например, можно соединить с самораспаковывающимся архивом и иконку от архиватора подвесить, можно присоединить к главному файлу игрушки какой-либо (для перестраховки лучше поставить галочку "Совместимость с запуском зависимых от ехе приложений") или к какой-либо электронной книге с расширением ехе, которых в интернете навалом.
Джойнер фалов