Вопрос :
Что нового в кейлоггере The Rat! 12 "Prime"?
Ответ :
The Rat! 12 "Prime" основан на переработанном ядре The Rat! 11. Сохранена одна из основных особенностей - полная "виртуальность". Исполняемого файла при работе кейлоггера нет! Антивирусу или другой программе-детектору анализировать нечего! Это действительно так!
При таком подходе существует одно "Но...", ). Для правильной работы программы необходим корректный выход из системы. Если выключить компьютер, выдергиванием вилки из розетки либо удерживанием клавиши "Reset" (именно удерживанием, а не кратковременным нажатием при котором происходит корректный выход из системы). The Rat! 11 самоуничтожится. Это цена за полную виртуальность. The Rat! 12 предусматривает обеспечить стопроцентную живучесть, даже при грубом отключении компьютера ресетом (естественно в ущерб виртуальности, но достаточно часто это необходимо). Настройки найдете на закладке 1. Кейлоггер:
Кейлоггер должен работать при некорректом выключении компьютера (аварийное отключение питания, Reset). Уровень маскировки программы в системе снижается - Если поставить галочку, кейлоггер запустится не в виртуальном, а скрытном режиме, станут доступны следующие опции:
Основной файл кейлоггера - Название исполняемого (*.exe) файла кейлоггера в формате 8.3. Этот файл останется на жестком диске (директорию выберет программа, исходя из определенных требований) и будет запускаться через записьв реестре при некорректном выключении компьютера. Не зависит от имени файла (результата при нажатии клавиши Сохранить! либо выбора пункта главного меню Файл->Сохранить как *.EXE).
Ключ автозагрузки в реестре - Имя ключа в записи автозагрузки в реестре Windows.
Невидимость в реестре - Запись в автозапуске реестра будет скрыта.
Отключить выпадение окна подключения к сети в режиме оффлайн (рекомендуется) - В процессе работы кейлоггера при отключенном доступе в Интернет, если передача лога по e-mail, либо FTP включена, и в свойствах Internet Explorer комутированное подключение также включено (что очень часто бывает):
С переодичностью отправки лога может выскакивать окошко с предложением подключиться к сети:
Чтобы окошко не выскакивало, демаскируя кейлоггер, установите галочку.
Второй особенностью 12-ой версии является втроенный сниффер - настройки найдете на закладке 8. Сниффер.
Да, да, да, в кейлоггере The Rat! 12 снова появился настоящий сниффер (что-то подобное есть в The RatKid! 2). Не урезанная возможность посмотреть на названия сайтов, посещаемых пользователем, которую предоставляет большинство кейлоггеров, а подробнейший отчет обо всех "Интернет-путешествиях"!
Снифферы - это проги, которые перехватывают весь сетевой трафик или его часть, согласно настроек. Снифферы полезны для диагностики сети (для админов) и для перехвата паролей (понятно для кого:)). Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато для более детального анализа сети самое оно) или только то, что Вам необходимо, пропуская информацию через фильтр и переводя в удобочитанмый вид.
В кейлоггер TheRat! 12 сниффер - это не просто список посещаемых сайтов, который могут предоставить другие, популярные и широкораспространенные в сети кейлоггеры. Информация сниффера The Rat! 12 подробная. Информация, получаемая сниффером, имеет достаточно большой объем. Лог будет расти, особенно значительно, если отключить фильтрацию информации.
Отлавливать всю информацию, включая мусор (значительно растет размер лога) - отключает фильтры сниффера. Будет логгироваться информация в полном объеме (не рекомендуется с целью удобочитаемости лога и сокращения его размера).
Фильтровать информацию - Включить фильтрацию лога (рекомендуется).
Перехватывать информацию по запросам GET (ссылки на сайты, переходы и т.п.) - Включить перехват по запросам GET.
Перехватывать информацию по запросам POST (поиск, логины , пароли и т.п.) - Включить перехват по запросам POST.
Перехватывать информацию по запросам PASS, USER (логины и пароли) - Включить перехват по запросам PASS, USER.
Отключить защищенный режим работы Internet Explorer 7, 8, 9 ... - Снижает уровень невидимости кейлоггера в системе, но позволяет отслеживать интернет-серфинг IE (рекомендуется поставить галочку).
Не удивляйтесь, что в логе отобразятся также некоторые сайты, на которые Вы не заходили, кликая по ссылкам. Сниффер отлавливает все запросы броузеров (одного или нескольких, установленных у вас в системе Mozilla, IE, Opera, Chrome и т.п.). Вы увидите, что кроме Ваших кликов броузер самостоятельно коннектится на достаточно большое количество ссылок. Обработанный лог будет выглядеть примерно так:
[INTO NET: 27.11.2011 , 09.06.16 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] http://therat.msk.ru/index.php?option=com_content&view=article&id=5:the-ratkid-01&catid=5:-the-ratkid&Itemid=2 |
[INTO NET: 27.11.2011 , 09.07.47 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] http://therat.msk.ru/ |
[INTO NET: 27.11.2011 , 09.07.51 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] http://clients1.google.by/complete/search?client=chrome&hl=ru&q=%D1%8B%D |
[INTO NET: 27.11.2011 , 09.07.54 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] http://clients1.google.by/complete/search?client=chrome&hl=ru |
[INTO NET: 27.11.2011 , 09.08.03 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] http://therat.msk.ru/index.php?option=com_contact&view=contact&id=1&Itemid=3 |
В принципе, все понятно. Можно видеть точное время отправки-получения информации, броузер или другую прогу, которая это делает (в данном случае - броузер Chrome, об этом говорит название запущенной программы - chrome.exe).
Отлавливать всю информацию, включая мусор (значительно растет размер лога) - Отображается вся информация. Часто это необходимо для отлова логинов, паролей, кукисов и т.д.:
[INTO NET: 23.10.2011 , 10.36.27 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] GET / HTTP/1.1 Host: www.google.ru Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari/535.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Encoding: gzip,deflate,sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 Cookie: PREF=ID=1cab4376e7a29364:U=2f3def36043ba26a:FF=0:NW=1:TM=1312838718:LM=1312838720:S=X7mmlbrLxeB89twr; NID=52=JOM7bvRgqFGZkKCQrh7T yl-bftGvNof-NeGu-UhsZTPhJLKTzJuzZknR-yQaCMlCxorOpLTaCXzgxdFzHojHhuBsIBLvHdzNCaE13rK8k0EID1qJaMsmgFqnW |
[INTO NET: 23.10.2011 , 10.36.27 | PROG: C:\Documents and Settings\Админ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe------>] GET /compressiontest/gzip.html HTTP/1.1 Host: www.google.ru Connection: keep-alive Referer: http://www.google.ru/ User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari/535.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Encoding: gzip,deflate,sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 Cookie: PREF=ID=1cab4376e7a29364:U=2f3def3043ba26a:FF=0:NW=1:TM=1312838718:LM=131283720:S=X7mmlbrLxe89twr; NID=52=JOM7bvRgqFGZkK_CQrh7T yl-bftGvNof-NeGu-UhsZTPVhJLTzJuzZknR-yQaCMlCxorOpLTaCXzgQxdFzH8ojHuBsHIBLdz9NC2aE13K8k0EID1qJaMsmgFqnW; GZ=Z=0 |
Каждай новой версии кейлоггера мы стараемся присваивать собственное имя. Причины выбора названия различные. Например, "Prime" - это значит "основной, главный, первокласcный".