компьютере. Принцип их действия прост - все нажатия на клавиши перехваты¬ваются программой, и полученные данные записываются в отдельный файл, ко¬торый далее может быть отослан по сети на компьютер взломщика.
Клавиатурный шпион IKS можно назвать весьма популярной программой - по
утверждению авторов на сайте http://www.amecisco.com, кейлоггер Invisible
KeyLogger 97 вошел под номером 8 в список 10 изделий, которые способны «на-
пугать вас до смерти». Текущая версия кейлоггера функционирует на системах
Windows внедряясь в ядро системы, что позволяет программе пере-
хватывать все нажатия клавиш, включая Поэтому IKS позво-
ляет даже перехватывать нажатия клавиш при входной регистрации в системе Windows NT/2000/XP. Таким образом, программа IKS действует подобно драй¬веру клавиатуры, перехватывая все нажатые клавиши и записывая их в жур¬нальный файл.
Установка программы IKS не вызывает трудностей. После запуска загруженного с Web-сайта файла iks2k20d.exe отображается диалог, представленный на Рис. 3.19.
53
/-IKS [or Window, 2РОП Inotnlklhlin
a Standard Install | Install | |
If8recommended lhatyou use Standard Install if ttis isyourfrsttime in using IKS. Just acceptthe defaults and dckon "Install NoW button. Oryou can dickon "Read readme M" to get familiar with the concept of IKS first.
Dunng a standard installation, a program directory Mil be created, program files Mil be placed in the directory. An icon to the log fie viewer will be placed on Hie desktop. No file renaming (stealth features) will take pace.
Install Directory |C\Program FilesVks
You need t^BWmcnoirights on this system for to install success!j!ly
If you wont to uninstall in the future, just run the program (iksinstall exe) again, disk on the "Uninstairtab, then "Uninstall Now"to automatically uninstall the standard installation.
Read rendme.M
Рис. 3.19. Инсталляция кеилоггера IKS весьма проста
Щелчок на кнопке Install Now (Установить сейчас) устанавливает демо-версию кейлогтера. Полная версия IKS допускает замену имен установочных файлов про-извольными именами для сокрытия работы программы. Единственным файлом, необходимым кейлоггеру IKS для работы, является файл iks.sys, который может быть переименован с целью сокрытия его от пользователей. Все нажатые пользо¬вателем клавиши записываются в текстовый и двоичный файл, просматриваемый с помощью программы dataview.exe, окно которой представлен на Рис. 3.20.
Sellings • Help
г-Fllterri ——
И Filler Out Arrow Keys D Filter Out Ctrl and Alt Keys
? Fjiie-Out F1 toF! 2 Keys
? Filter Out All Other Function Keys
© Use Notepad
О Translate to Text Ony
r Clear La a
? Clear Binary Log Upon Ext
0 Clear Text Log Upon Exit
54
Import Binary Log From:
fcWINhrrSiks ПЯ
To:
I
Puc. 3.20. Диалог управления регистрацией клавиш и хранением журнальные фатов
Щелчок на кнопке Go! (Вперед) открывает файл журнала, хранящий все нажа¬тые клавиши. С помощью диалога на Рис. 3.20 можно настроить работу кейлог-
гера так, что будут отфильтровываться все нажатые функциональные клавиши
на клавиатуре, а также очищаться содержимое журнала.
Как мы уже говорили, кейлоггер IKS функционирует как низкоуровневый драй-
вер, что скрывает его присутствие в системе. Однако файл iks.sys этого кейлог-
гера записывается в каталог а в системном
реестре появляется регистрационная запись (эта запись выделена в диалоге ре¬дактора системного реестра Regedt32 на Рис. 3.21).
- H«qi!itrvl rjitnr |HKI Y LOCAL MACHINE on 1 nrail Mnr.hmnl ?sol
Registry Edit View Security Window Help
EBB
paGernuwa ErmrCoriKoi REG DWORD ft.1 !
-G3 Gpc ^CQ iB042prt -ai97DRIVER -a IAS
-aiCQGroupwareSE -ailSADMIN
-CDILDAP -?*]IMAP4D32 -a IMonitot
- a inetaoos -a Inetlnlo i Start:REG DWORD: 0x3 Type: REG DWORD :0x1
-a inialOu
-?ainport ?
и,
Puc. 3.21. В системном реестре Windows появилась предательская запись
С помощью таких записей в системном реестре все установленные в системе кейлоггеры идентифицируются без всяких проблем (например, это с успехом делает программа The Cleaner, особенно полезная для поиска троянских коней). Чтобы преодолеть такой недостаток кейлоггера IKS, на вкладке Stealth Install (Скрытая установка) инсталляционного диалога (Рис. можно изменить имя устанавливаемого драйвера на какое-нибудь безобидное, типа calc.sys, чтобы запутать систему защиты (собственно, отсутствие этой возможности - основное отличие демо-версии от полной).
Некоторым недостатком IKS является отсутствие поддержки средств передачи накопленных данных по сети. Этого недостатка лишен кейлоггер 007 Stealth Monitor, который умеет отслеживать посещения пользователем Web-сайтов, вве¬денные пароли, запущенные программы, время обращения к файлам и другие действия пользователя. Однако эта программа плохо маскирует свою работу - ее процесс виден в диспетчере задач Windows, хотя хакер может заменить название процесса каким-то другим, например, notepad.exe.