Phantom Mode |
Начало Назад Вперед |
Обход фаервола (firewall bypassing) реализован техникой Phantom Mode. Не будем вдаваться в технические подробности реализации данного режима невидимости. Практически это выглядит так. Клавиатурный шпион The Rat! выдает себя за другую программу. Полностью!!! Он будет функционировать от имени программы путь, которой указывается пользователем: Если Вы полностью доверяете кейлоггеру, то установите переключатель на "Кейлоггер сам выбирает программу". Перебор возможных вариантов внедрения идет в следующем порядке: броузер по умолчанию (кейлоггер сам определит какой установлен на Вашей системе) -> svchost.exe -> explorer.exe -> notepad.exe Если Вы понимаете, что делаете, установите переключатель на "Выдавать себя за..." (не беспокойтесь, если программы не будет на машине, кейлоггер перейдет в автоматический режим). По умолчанию - Вам предлагается текстовый редактор notepad, который имеется практически на любой машине с установленной системой Windows. Если надо "притвориться" программой, которая находится в системной дирректории, путь полностью можно не указывать, вписав лишь имя модуля. Например, "svchost.exe". Что это дает? Например, у Вас установлен фаервол, который разрешает выход в интернет только определенным вами программам (как в общем случае и бывает), в частности The Bat! - почта, Opera - интернет - броузер, FlashGet - качалка, ну и еще какие-либо. Так вот, притворившись The Bat! мы преспокойно обманем фаервол и отошлем лог-файл на наш почтовый ящик ! Можно также "закосить" непосредственно под сам фаервол :).
Для демонстрации маскировки кейлоггера - несколько примеров.
- Настройки клавиатурного шпиона The Rat! по умолчанию. Формируем файл, запускаем, появляется окошко с предупреждением, что за системой следят. Внимательно осмотримся. А что это у нас в панели задач :) ? - Жмем Ctrl+Alt+Del, в таскменеджере смотрим на список процессов. Видали? Медитируем...
- Настройки кейлоггера The Rat! по умолчанию. Формируем файл, запускаем, появляется окошко с предупреждением, что за системой следят, жмем ОК. Есть такая програмка Unlocker . Она служит для удаления "заблакированных файлов". Например, если файл открыт для чтения-записи какой-либо программой, его можно "разблокировать" и удалить с помощью Unlocker, а заодно посмотреть, процесс какой программы "блокирует" файл. Наша цель - это лог-файл (c:\rat.log) Ну и какая программа отслеживает нажатия клавишь :) ?
- Эксперименты с обходом фаервола, установленного в вашей системе можете провести сами. |