2,640
社区成员
发帖
与我相关
我的任务
分享[讨论]Anti-keylogger的实现原理是什么?
今天下载了一个软件: Anti-keylogger V5.3,
下载地址:http://www3.skycn.com/soft/13640.html
好象是一个老外写的,感觉这个软件很强,可以禁止所有不安全程序的dll, 任意暂停继续它们的功能(牛!),并且在win2000任务列表中不能看见它。
后来我想了想这个软件的实现原理,怎么也弄不明白, 大家讨论下。
下载地址:http://www3.skycn.com/soft/13640.html
好象是一个老外写的,感觉这个软件很强,可以禁止所有不安全程序的dll, 任意暂停继续它们的功能(牛!),并且在win2000任务列表中不能看见它。
后来我想了想这个软件的实现原理,怎么也弄不明白, 大家讨论下。
...全文
请发表友善的回复…
发表回复
pepsi1980 2005-01-10
- 打赏
- 举报
肯定是用驱动做的,直接用windows DDK里面的驱动就可以做到。
bobob 2005-01-07
- 打赏
- 举报
我手头就有一个隐藏进程的程序
zhangqu_980371 2005-01-07
- 打赏
- 举报
ding
wyljery 2005-01-06
- 打赏
- 举报
ding
wyljery 2004-12-27
- 打赏
- 举报
顶
tabris17 2004-12-21
- 打赏
- 举报
得到的那个{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}.exe是用VC7.0写的
tabris17 2004-12-21
- 打赏
- 举报
这个东西不简单啊
他的主程序AntiKeylogger.exe不知使用什么加的壳,PEiD查不出
运行后在进程列表中不显示,应该是通过修改内核的活动进程链表来实现隐藏的,而不是一般的API HOOK
AntiKeylogger.exe运行后会在C:\Documents and Settings\Administrator\Application Data\下创建一个名为{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}.exe的文件(这个文件每次生成的名字都是不同的),运行这个文件,然后结束自己的进程。
搞得象rootkit一样
不过显然它不是使用驱动来进入ring0的
他的主程序AntiKeylogger.exe不知使用什么加的壳,PEiD查不出
运行后在进程列表中不显示,应该是通过修改内核的活动进程链表来实现隐藏的,而不是一般的API HOOK
AntiKeylogger.exe运行后会在C:\Documents and Settings\Administrator\Application Data\下创建一个名为{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}.exe的文件(这个文件每次生成的名字都是不同的),运行这个文件,然后结束自己的进程。
搞得象rootkit一样
不过显然它不是使用驱动来进入ring0的
wyljery 2004-12-20
- 打赏
- 举报
to tabris17(四不象):
http://www3.skycn.com/soft/13640.html有下载
http://www3.skycn.com/soft/13640.html有下载
SatanLi1982 2004-12-19
- 打赏
- 举报
在Windows中有个队列维护全局钩子,感觉分析这个队列就行了,不用写驱动,写驱动也没用。
jdxk 2004-12-19
- 打赏
- 举报
行为判断 非特征码判断
tabris17 2004-12-18
- 打赏
- 举报
可能就是枚举了系统的所有注册了的钩子吧
问一下,它是不是再98下不能用
可能的话把程序发给我,我反汇编一下看看
tabris17_at_sohu.com
问一下,它是不是再98下不能用
可能的话把程序发给我,我反汇编一下看看
tabris17_at_sohu.com
partime 2004-12-17
- 打赏
- 举报
只有一个exe也可以包含驱动程序啊
将驱动程序作为exe的资源数据,运行时装入内存作为启动运行
好象TCPMON.exe就是包含驱动程序的exe文件
关注......
将驱动程序作为exe的资源数据,运行时装入内存作为启动运行
好象TCPMON.exe就是包含驱动程序的exe文件
关注......
wyljery 2004-12-16
- 打赏
- 举报
我觉得是不是有可能安装了什么API HOOK一类的,但是hook什么API能达到这种效果?? 另外,这个程序好象没有用到任何dll,就一个exe文件。
wyljery 2004-12-16
- 打赏
- 举报
顶
hjunxu 2004-12-16
- 打赏
- 举报
我看了它的README,只要是针对木马的吧。
要不他可能会去监视所有那些接收键盘消息的非系统的dll吧。
怎么实现想不出来。
要不他可能会去监视所有那些接收键盘消息的非系统的dll吧。
怎么实现想不出来。
hjunxu 2004-12-16
- 打赏
- 举报
不知道
顶。
顶。
vctool 2004-12-16
- 打赏
- 举报
是不是加载到别的进程空间去运行了.
或者是驱动.
或者是驱动.
oyljerry 2004-12-16
- 打赏
- 举报
gz
wyljery 2004-12-15
- 打赏
- 举报
怎么没有人啊
