Кейлоггер. Невидимость в системе.
- Категория: Кейлоггеры The Rat! и The RatKid!
- Опубликовано 10 Январь 2015
- Автор: HandyCat
- Просмотров: 5017
Кейлоггер The Rat! является одним из самых скрытных програмных клавиатурных шпионов, которые возможно найти в Интернете. В статье мы попытаемся раскрыть каким образом и на каком уровне кейлоггер маскируется в системе. Слова "невидимость" и "виртуальность" будут использоваться как синонимы.
Наибольшей степенью виртуальности облядает кейлоггер The Rat! 11 "Inca". После настроек кейлоггера при помощи RatCenter, можно сразу запустить программу, нажав клавишу "Запустить!" либо выбрав пункт меню Файл->Запустить кейлоггер.
При необходимости удаленной установки можно сгенерировать крохотный исполняемый файл (кнопка "Сохранить!" либо пункт главного меню "Сохранить как *.exe") и замаскировать его под другую программу, видео-, аудио-файл или рисунок при помощи джойнера FileConnector. Все эти возможности доступны только в полной версии программы.
После запуска кейлоггер проецируется в оперативную память системы и запускается оттуда. Причем после запуска сгенерированный *.exe файл можно удалить. Он больше не нужен. Кроме того, исполняемого файла кейлоггера в системе вы не найдете, его нет! Он существует только в оперативной памяти!
В этом есть один минус. Если выключить компьютер при помощи клавиши Reset (длительное удержание кнопки Shut Down на ноутбуках либо системных блоках, на которых указанная клавиша отсутствует (о том как перезагрузить ноутбук ресетом не многие пользователи, как оказалось, знают), либо "выдернуть вилку из розетки" при условии отсутствия бесперебойника), то кейлоггер уничтожиться и после перезапуска системы не запустится. В случае корректного выключения (кратковременное нажатие кнопки Shut Down, либо стандартными возможностями Windows), кейлоггер возобновит работу после запуска (перезагрузке) системы. Полная виртуальность также обеспечивается отсутствием каких-либо записей в реестре.
Полная также реализована в кейлоггере The RatKid! 01, однако его функционал значительно ниже функционала кейлоггера The Rat! 11 "Inca".
В кейлоггер The Rat! 12 "Prime", The RatKid! 02 "Key&Net" встроен сниффер. Сниффер реализован через отдельный файл *.dll . В связи с этим, при включенном снифере виртуальность их падает. В The Rat! 12 "Prime" сниффер можно отключить (снять галочку "Включить сниффер" на 8 закладке RatCenter). При условии снятой по умолчанию галочки на первой закладке (Невидимость\живучесть кейлоггера в системе), кейлоггер The Rat! 12 "Prime" будет полностью виртуален, как кейлоггеры The Rat! 11 "Inca" и The RatKid! 01 "W&B". В The RatKid! 02 "Key&Net" отключить сниффер невозможно, так что добиться полной невидимости не получится.
The Rat! 10ХР не обладает полной виртуальностью. Автозапуск реализован через запись (хотя и невидимую) в реестре, в связи с чем *.exe файлнаходится на жестком диске.
Кейлоггер The Rat! 12 "Prime" - более универсальный. В нем можно включить автозапуск программы через запись в реестре - поставить галочку на первой закладке "Невидимость\живучесть кейлоггера в системе" RatCenter. При этом будет получен доступ к дополнительным настройкам: задать имя основного *.exe файла, ключа автозапуска в реестре, сделать запись в реестре невидимой. Естественно, при таких настройках виртуальность снизится, но повысится живучесть. Некорректное выключение компьютера не уничтожит кейлоггер.
Здесь подробно о различиях между некоторыми версиями: http://therat.msk.ru/keylogger-info/31-comparison1-the-rat-the-ratkid.html , http://therat.msk.ru/keylogger-info/25-comparison-the-rat-the-ratkid.html
Подводя итог, можно сделать следующий вывод: кейлоггер The Rat! 12 "Prime" на сегодняшний день (10.04.2013) наиболее совершенный кейлоггер. Благодаря гибким настройкам, позволяет пользователю сделать выбор между живучестью и виртуальностью, либо найти компромис. Хотелось бы отметить, что невидимость, реализованная в кейлоггерах The RatKid! 02 "Key&Net" и The Rat! 10хр также высокого уровня и значительно превосходит аналогичные программы, предлагаемые на сегодняшний день. Этого достаточно, чтобы спрятать кейлоггер от продвинутого пользователя.