Tải bản đầy đủ (.docx) (42 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

TÌM HIỂU VỀ PHẦN MỀM PERFECT KEYLOGGER

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (753.39 KB, 42 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
*******************

BÁO CÁO BÀI TẬP LỚN

TÌM HIỂU VỀ PHẦN MỀM PERFECT
KEYLOGGER

Giảng viên hướng dẫn
Lớp
Sinh viên thực hiện

: KS. Vũ Thị Vân
: AT10-L02
: Phạm Thị Nguyệt
Nguyễn Quyết Thắng
Giang Văn Thắng
Nguyễn Hữu Tú

Hà Nội – Năm 2016

1


NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................


.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................

2


LỜI CẢM ƠN
Trước tiên, chúng em xin gửi lời cám ơn chân thành tới tất cả các
thầy, các cô trường Học Viện Kỹ Thuật Mật Mã đã nhiệt tình giảng dạy và
truyền đạt những kiến thức nền tảng quý báu để chúng em có thể hoàn thành
báo cáo.
Đặc biệt chúng em xin chân thành cảm ơn thầy giáo Nguyễn Tuấn Anh đã

tận tình hướng dẫn, chỉ dạy chúng em trong suốt quá trình thực hiện báo cáo.
Mặc dù có nhiều cố gắng trong quá trình học tập cũng như trong thời gian
thực hiện báo cáo, nhưng với lượng kiến thức hạn hẹp nên báo cáo của chúng
em không thể tránh khỏi thiếu sót. Chúng em rất mong nhận được sự góp ý quý
báu của tất cả các thầy, các cô cũng như tất cả các bạn để báo cáo của chúng em
được hoàn thiện hơn.
Chúng em xin chân thành cảm ơn!

3


MỤC LỤC

4


DANH MỤC CÁC HÌNH VẼ
Số hiệu
hình vẽ

Tên hình vẽ

Trang

Erro

Erro

r:
Reference

source not
found

r:
Reference
source not
found

Mô hình kiến trúc.

Erro

Erro

r:
Reference
source not
found

r:
Reference
source not
found

SaaS cung cấp dịch vụ cho khách hàng.

Erro
r:
Reference
source not

found

Erro
PaaS cho phép khách hàng truy cập vào một nền
tảng trên nên điện toán đám mây.

Erro
r:
Reference
source not
found

r:
Reference
source not
found
Erro

IaaS cho phép nhà cung cấp dịch vụ thuê những tài
nguyên phần cứng

r:
Reference
source not
found

Erro

Erro


r:
Reference
source not
found

r:
Reference
source not
found

Các mô hình điện toán đám mây.

Erro

Erro

r:
Reference
source not
found

r:
Reference
source not
found

Các thành phần trong đám mây riêng.

5



Erro

Erro

r:
Reference
source not
found

r:
Reference
source not
found

Những thành phần của kỹ thuật trong đám mây.

Erro

Erro

r:
Reference
source not
found

r:
Reference
source not
found


Mô hình cung cấp dịch vụ truyền thống.

Erro

Erro

r:
Reference
source not
found

r:
Reference
source not
found

Kiến trúc mẫu điện toán đám mây.

Erro
r:
Reference
source not
found

Erro
Khách hàng thuê một máy chủ ảo làm máy chủ cơ
sở dữ liệu.

Erro

r:
Reference
source not
found

Erro
Mã hóa và xác thực là hai biện pháp an ninh có thể
sử dụng để giữ an toàn dữ liệu trên một đám mây lưu trữ

Erro
r:
Reference
source not
found
Hìn
h 3.1.1

r:
Reference
source not
found
r:
Reference
source not
found
Erro

Một thảm họa xảy ra, dữ liệu khách hàng tại cloud
lưu trữ sẽ không bị mất.


Sản phẩm Boxcyptor mã hóa dữ liệu trên đám mây

r:
Reference
source not
found
Erro
r:
Reference
source not
6


found
Erro
Hìn
h 3.1.2

Các dịch vụ Boxcryptor hỗ trợ

r:
Reference
source not
found
Erro

Hìn
h 3.1.3

Các giải thưởng của Boxcryptor


r:
Reference
source not
found
Erro

Hìn
h 3.2.1

Cơ chế giải mã trên Boxcrytor

r:
Reference
source not
found
Erro

Hìn
h 3.2.2

Cơ chế xác thực tài khoản trên Boxcryptor

r:
Reference
source not
found
Erro

Hìn

h 3.2.3

Thông tin được lưu trên Boxcryptor Server

r:
Reference
source not
found

7


DANH MỤC CÁC BẢNG
Số hiệu
bảng

Tên bảng

Trang
Er

3.1.1

Danh sách dịch vụ lưu trữ đám mây Boxcryptor hỗ
trợ

3.2.1

Thuật ngữ quan trọng cụ thể cho phần mềm
Boxcryptor


3.2.2

Thông tin được lưu trên máy chủ

ror:
Referen
ce
source
not
found
Er
ror:
Referen
ce
source
not
found
Er
ror:
Referen
ce
source
not
found

8


TÓM TẮT BÁO CÁO

Đề tài:
Tìm hiểu về sản phẩm Perfect Keylogger.
Lý do chọn báo cáo:
Hiện nay, ai cũng đã từng một lần nghe tới khái niệm “keylogger”. Tuy có
thể cảm nhận được đây là một thứ nguy hiểm, một công cụ lợi hại có thể giúp kẻ
xấu đánh cắp thông tin mà được nhập từ bàn phím. Nhưng liệu mọi người đã có
thể tự tin nói rằng mình hiểu về công cụ này?
Keylogger có thể được coi là nguy hiểm hoặc không nguy hiểm đều do
cách sử dụng của từng người.
Vào tháng 2 năm 2005, Joe Lopez, một doanh nhân đến từ Florida đã đệ
đơn kiện chống lại Bank of America sau khi hacker không rõ lấy trộm 90.000 $
từ tài khoản ngân hàng Mỹ của mình. Số tiền này đã được chuyển giao cho
Latvia. Một số cuộc điều tra cho thấy rằng máy tính của ông Lopez đã bị nhiễm
một chương trình độc hại, Backdoor.Coreflood, trong đó ghi lại tất cả tổ hợp
phím và gửi thông tin này cho người sử dùng mã độc thông qua internet. Đây là
cách hacker lấy về tên người dùng và mật khẩu của Joe Lopez, kể từ khi ông
Lopez thường được sử dụng Internet để quản lý các tài khoản ngân hàng Mỹ của
mình. Tuy nhiên tòa án đã không đứng về phía nguyên đơn, nói rằng ông Lopez
đã bỏ qua đề phòng cơ bản khi quản lý tài khoản ngân hàng của mình trên
Inrternet.
Hầu hết các keylogger hiện đại được coi là phần mềm hoặc phần cứng
hợp pháp được bán trên thị trường mở. Các nhà phát triển và các nhà cung cấp
đưa ra một danh sách các trường hợp trong đó sẽ là hợp pháp và phù hợp để sử
dụng keylogger, bao gồm :


Kiểm soát của bố mẹ: sử dụng để theo dõi hành động của con




Vợ chồng ghen tuông sử dụng để theo dõi các hành động của một
nửa của họ.



Công ty bảo mật theo dõi việc sử dụng máy tính liên quan đến mục
đích ngoài công việc



Các lý do khác
9


Một sản phẩm tiêu biểu cho các phần mềm keylogger là sản phẩm Perfect
Keylogger. Phần mềm này có đầy đủ các chức năng của bất kỳ phần mềm
keylogger nào. Hiện nay nó cũng là một phần mềm được sử dụng nhiều nhất
trên hệ thống hiện nay do dễ dàng cài đặt và sử dụng. Perfect Keylogger còn có
thêm các tính năng mới là chụp ảnh màn hình theo thời gian cũng như chụp ảnh
mỗi khi click chuột.
Tìm hiểu về sản phẩm sẽ cho thấy được cách hoạt động cũng như cách cài
đặt vào máy để có thể sử dụng cũng như tránh tình trạng bị theo dõi.
Mục tiêu:


Tìm hiểu về keylogger.



Tìm hiểu sản phẩm Perfect Keylogger

Yêu cầu:



Tìm hiểu về các loại keylogger.



Tìm hiểu về cơ chế theo dõi, cách hoạt động, cách dùng để theo dõi người
khác và cách xử lý khi bị theo dõi của sản phẩm Perfect Keylogger.



Thời gian hoàn thành báo cáo: 13/10/2016.
Phân công công việc:



Nguyệt: Tìm hiểu về khái niệm và phân loại.



Q.Thắng: Tìm hiểu về cách hoạt động của keylogger cũng như Perfect
Keylogger.



Tú:

Tìm hiểu về cách cài đặt và sử dụng sản phẩm Perfect Keylogger.




V.Thắng :

Tìm hiểu về cách phòng tránh keylogger và cách xử lý

Kết quả đạt được:


Hiểu về phần mềm keylogger.



Hiểu về cơ chế theo dõi, cách hoạt động, cách sử dùng và xử lý của sản
phẩm Perfect Keylogger



Hoàn thành báo cáo đầy đủ.

10


CHƯƠNG 1.

KHÁI NIỆM VÀ PHÂN LOẠI KEYLOGGER

1.1.KHÁI NIỆM KEYLOGGER
Keylogger hay "Trình theo dõi thao tác bàn phím" theo cách dịch

ra tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích
theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký
(log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào
riêng tư của người khác này nên các trình keylogger được xếp vào nhóm
các phần mềm gián điệp.
Về sau khi keylogger phát triển cao hơn nó không những ghi lại thao tác
bàn phím mà còn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng
cách chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận
cách con trỏ chuột trên máy tính di chuyển.
1.2.Phân loại keylogger
Keylogger bao gồm hai loại, một loại là keylogger phần cứng và một loại
là phần mềm.
+) Software Keyloggers :
Là phần mềm Keylogger được cài trên máy tính bởi hacker. Phần mềm
này hoạt động ngầm trong tiến trình và không dễ bị phát hiện. Những dữ liệu
sau khi bị theo dõi có thể được gửi trực tiếp đến mail của các hacker hoặc được
kết nối đến máy chủ giám sát.
VD : Perfect Keylogger , Shadow Keylogger…
+ ) Hardware Keyloggers :
Là dạng Keyloggers phần cứng. Có thể là usb , bàn phím , hoặc các thiết
bị phần cứng khác. Có thể dễ dàng ghi lại thao tác bàn phím của bạn

11


Hình 1.1 Keylogger cứng
Thực tế hiện nay loại Keylogger phần mềm được sử dụng nhiều hơn so
với Keylogger phần cứng.Và trong bài sẽ tìm hiểu về phần mềm Keylogger.
Theo những người lập trình, keylogger viết ra với chỉ có một mục đích
duy nhất là giúp giám sát con cái, người thân xem họ làm gì với PC,

với internet, khi chat với người lạ. Nhưng cách sử dụng và chức năng của
keylogger hiện tại trên thế giới khiến người ta thường hay phân loại keylogger
theo mức độ nguy hiểm bằng các câu hỏi:
Nhiễm vào máy không qua cài đặt hoặc cài đặt vào máy nhanh (Quick
install)?
 Có thuộc tính ẩn hoặc giấu trên trình quản lí tiến trình (Process manager)
và trình cài đặt và gỡ bỏ chương trình (Add or Remove Program)?
 Theo dõi không thông báo hoặc máy tính (PC) bị nhiễm khó tự phát hiện?
 Có thêm chức năng Capturescreen hoặc ghi lại thao tác chuột?
 Khó tháo gỡ?
 Có khả năng lây nhiễm, chống tắt (Kill process)?
Cứ mỗi câu trả lời "có", sẽ cho một điểm. Điểm càng cao, Keylogger
càng vượt khỏi mục đích giám sát (Monitoring) đến với mục đích do
thám (Spying) và tính nguy hiểm nó càng cao. Keylogger có thể được phân loại
theo số điểm:


1.2.1. Loại số 1
+) Không điểm: Keylogger loại bình thường; chạy công khai, có thông
báo cho người bị theo dõi, đúng với mục đích giám sát.
1.2.2. Loại số 2
+) Một đến hai điểm: Keylogger nguy hiểm. Keylogger loại này sẽ chạy
ngầm, hướng đến mục đích do thám nhiều hơn là giám sát (nguy hại đến các
12


thông tin cá nhân như là tài khoản cá nhân, mật khẩu, thẻ tín dụng vì người
dùng không biết).
VD: loại 1+ loại 2:ACT Computer Spy 2006, Activity Keylogger, Stealth
Keylogger...

1.2.3. Loại số 3
+) Ba đến năm điểm: Keylogger loại này rất nguy hiểm, ẩn giấu hoàn
toàn theo dõi trên một phạm vi rộng, mục đích do thám rõ ràng.
VD: Eye Spy Pro, Real Spy Monitor, XT Spy....
1.2.4. Loại số 4
+) Sáu điểm: Keylogger nguy hiểm nghiêm trọng, thường được mang theo
bởi các trojan-virus cực kỳ khó tháo gỡ, là loại keylogger nguy hiểm nhất. Chính
vì vậy (và cũng do đồng thời là "đồng bọn" của Trojan-virus) nó thường hay bị
các chương trình chống virus tìm thấy và tiêu diệt.
VD: Perfect Keylogger , Golden Eye...
Các loại
keylogger
Loại 1

Đặc điểm

Loại 2

Cài đặt công khai,
chạy ngầm
Cài đặt ngầm, ẩn
dấu theo dõi
phạm vi rộng
Được mang theo
bởi 1 con Trojan
virus, cực kỳ khó
tháo gỡ, có thể bị
các chương trình
chống virus tiêu
diệt


Loại 3
Loại 4

Chức năng

Cài đặt công khai, Theo dõi
chạy công khai,
có thông báo
Giám sát hướng
do thám
Do thám rõ ràng
Do thám, giám
sat, theo dõi

Một vài loại
keylogger
ACT Computer
Spy 2006,
Activity
Keylogger
Stealth Keylogger
Eye Spy Pro,
Real Spy Monitor
Perfect Keylogger
, Golden Eye

Bảng 1-1 So sánh các loại keylogger

13



CHƯƠNG 2.

CÁCH HOẠT ĐỘNG CỦA KEYLOGGER

2.1.Thành phần của keylogger
Thông thường, một chương trình keylogger sẽ gồm có ba phần chính:
Chương trình điều khiển (Control Program): dùng để điều phối hoạt động,
tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Keylogger. Phần này là phần
được giấu kỹ nhất của keylogger, thông thường chỉ có thể gọi ra bằng một tổ
hợp phím tắt đặc biệt.
Tập tin hook, hoặc là một chương trình monitor dùng để ghi nhận lại các
thao tác bàn phím, capture screen (đây là phần quan trọng nhất).
Tập tin nhật ký (log), nơi chứa đựng hoặc ghi lại toàn bộ những gì hook
ghi nhận được.
Ngoài ra, tùy theo loại có thể có thêm phần chương trình bảo vệ (guard,
protect), chương trình thông báo (report)…
2.2.Cách thức cài đặt vào máy của keylogger
Các loại Keylogger từ 1 tới 3 thông thường khi cài đặt vào máy cũng
giống như mọi chương trình máy tính khác, đều phải qua bước cài đặt. Đầu tiên
nó sẽ cài đặt các tập tin dùng để hoạt động vào một thư mục đặc biệt (rất phức
tạp), sau đó đăng ký cách thức hoạt động rồi đợi người dùng thiết lập thêm các
ứng dụng. Sau đó nó bắt đầu hoạt động.
Loại keylogger số 4 có thể vào thẳng máy của người dùng bỏ qua bước
cài đặt, dùng tính năng Autorun để cùng chạy với hệ thống. Một số loại tự thả
(drop) mình vào các chương trình khác, để khi người dùng sử dụng các chương
trình này Keylogger sẽ tự động chạy theo.
2.3.Cách hoạt động của keylogger
Trong một hệ thống (Windows, Linux, Mac…), khi bấm 1 phím trên bàn

phím, bàn phím sẽ chuyển nó thành tín hiệu chuyển vào CPU. CPU sẽ chuyển
nó tới hệ điều hành để hệ điều hành dịch thành chữ hoặc số cho chính nó hoặc
các chương trình khác sử dụng.
Nhưng khi trong hệ thống đó có Keylogger, không những chỉ có hệ điều
hành theo dõi mà cả hook file hoặc monitor program của Keylogger theo dõi nó
sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin nhật ký. Đồng thời nó còn có
thể theo dõi cả màn hình và thao tác chuột.
14


Keylogger dưới dạng phần mềm thường chạy ngầm trên máy, ghi lại mọi
phím bấm mà người dùng nhập vào. Đôi lúc để tránh việc gửi dữ liệu thường
xuyên khiến việc theo dõi bị người dùng “chú ý”, các gói phần mềm này có thể
được thiết kế để chỉ gửi đi các chuỗi dữ liệu có vẻ hữu dụng – chẳng hạn như
một chuỗi số “có vẻ” giống mã thẻ tín dụng.
Để tăng tính hiệu quả, keylogger cũng thường được kết hợp với một số
loại phần mềm theo dõi khác, nhờ vậy kẻ xâm nhập có thể phân biệt được các
thông tin mà người dùng nhập vào khi chat chit vô nghĩa với các thông tin nhập
vào khi đang đăng nhập vào tài khoản ngân hàng trực tuyến. Các chuỗi kí tự đầu
tiên người dùng nhập vào sau khi khởi động một chương trình chat, email client
hay game online cũng rất quan trọng – bởi đây thường là chuỗi username và
password dùng để đăng nhập vào tài khoản của dịch vụ đó.
Với những trường hợp cần được “chăm sóc” tỉ mỉ hơn, kẻ cài đặt
keylogger thường sẽ phải sử dụng công cụ để quét qua toàn bộ file log ghi lại tất
cả những gì người dùng đã nhập vào trong suốt thời gian bị theo dõi, từ đó lọc ra
cả những thông tin như nội dung tìm kiếm Google, comment trong một topic…
bậy bạ nào đó trên mạng. Thường thì các gói phần mềm theo dõi cung cấp cho
các bậc phụ huynh và các công sở còn được tích hợp cả tiện ích chụp ảnh màn
hình. Từ đó cung cấp đầy đủ thông tin và bằng chứng về những gì mà “nạn
nhân” đã làm trong suốt quá trình sử dụng máy.

2.4.Xây dựng keylogger
Ý tưởng chính đằng sau keylogger là để có được ở giữa bất kỳ hai liên kết
trong chuỗi các sự kiện giữa khi một phím được nhấn và khi thông tin về tổ hợp
phím được hiển thị trên màn hình. Điều này có thể đạt được bằng cách sử dụng
giám sát video, một lỗi phần cứng trong bàn phím, hệ thống dây điện hoặc máy
tính riêng của mình, chặn đầu vào / đầu ra, thay thế các trình điều khiển bàn
phím, trình điều khiển bộ lọc trong ngăn xếp bàn phím, chặn chức năng hạt nhân
bằng mọi cách (thay thế địa chỉ trong bảng hệ thống, nối mã chức năng, vv),
chặn chức năng DLL trong chế độ người dùng, và, cuối cùng, yêu cầu thông tin
từ bàn phím bằng phương pháp chuẩn tài liệu.
Kinh nghiệm cho thấy rằng cách tiếp cận phức tạp hơn, ít có khả năng nó
sẽ được sử dụng trong các chương trình Trojan phổ biến và nhiều khả năng nó sẽ
được sử dụng trong các chương trình Trojan được thiết kế đặc biệt được thiết kế
để ăn cắp dữ liệu tài chính của một công ty cụ thể.
15


Các phương pháp phổ biến nhất được sử dụng để xây dựng phần mềm
theo dõi bàn phím như sau:
- Một hệ thống Hook chặn thông báo rằng một trọng điểm đã được ép (cài
đặt sử dụng WinAPI SetWindowsHook cho các tin nhắn được gửi bởi các thủ
tục cửa sổ Nó thường được viết bằng C.);
- Một yêu cầu bàn phím thông tin mang tính chu kỳ từ bàn phím (sử dụng
WinAPI Nhận (đồng bộ) KeyState hoặc GetKeyboardState - thường xuyên nhất
được viết bằng Visual Basic, đôi khi trong Borland Delphi);
- Sử dụng một trình điều khiển bộ lọc (đòi hỏi kiến thức chuyên ngành và
được viết bằng C).
Một phân tích sơ bộ các loại khác nhau của keylogger được thể hiện trong
biểu đồ tròn bên dưới:


Hình 2.2 Biểu đồ các phương pháp để xây dựng keylogger
Gần đây, keylogger mà che giấu tập tin của họ để giữ chúng không bị phát
hiện bằng tay hoặc bằng một chương trình chống virus đã trở nên nhiều hơn.
Những kỹ thuật tàng hình được gọi là công nghệ rootkit. Có hai công nghệ
rootkit chính được sử dụng bởi keyloggers:
- Mặt nạ trong chế độ người dùng;
- Mặt nạ trong kernel mode.
Một phân tích sơ bộ các kỹ thuật được sử dụng bởi keyloggers để che dấu
hoạt động của họ được thể hiện trong biểu đồ tròn bên dưới:

16


Hình 2.3 Biểu đồ các kỹ thuật che dấu của keylogger
2.5.Những phương pháp thường dùng để xây dựng keylogger
2.5.1. Thiết lập hook cho thông điệp bàn phim
Đây là phương pháp phổ biến nhất được sử dụng khi tạo keyloggers. Sử
dụng SetWindowsHookEx, keylogger đặt một hook cho tất cả các sự kiện bàn
phím cho tất cả các chủ đề trong hệ thống. Chức năng lọc hook nằm trong một
thư viện động riêng biệt mà sẽ được đưa vào tất cả các quá trình trong hệ thống.
Khi bất kỳ chuỗi tin nhắn bàn phím được trích ra từ hàng đợi tin nhắn, hệ thống
sẽ gọi hàm lọc được cài đặt.
Một trong những ưu điểm của phương pháp này là sự đơn giản của nó và
đánh chặn được đảm bảo của tất cả các phím bấm. Cần lưu ý rằng nó là cần có
một tập tin thư viện động riêng biệt, và nó cũng là tương đối dễ dàng để phát
hiện keylogger do thực tế rằng nó đã được đưa vào tất cả các quá trình.
Một số keylogger mà sử dụng phương pháp này là AdvancedKeyLogger,
KeyGhost, Absolute Keylogger, Actual Keylogger, Actual Spy, Family Key
Logger, GHOST SPY, Haxdoor, MyDoom ...
2.5.2. Sử dụng truy vấn mang tính chu kỳ của bàn phím

Đây là phương pháp phổ biến thứ hai được sử dụng khi thực hiện
keylogger. Các GetAsyncnKeyState và GetKeyState được sử dụng để định kỳ
truy vấn trạng thái của tất cả các phím trong khoảng thời gian nhanh chóng.
Hàm này trả về mảng tình trạng chính không đồng bộ hoặc đồng bộ (xem phần
bàn phím mảng tình trạng key); bằng cách phân tích những nó có thể hiểu được
các phím đã được ép hoặc phát hành từ các truy vấn cuối cùng được thực hiện.
17


Những lợi thế của phương pháp này là nó là vô cùng dễ dàng để thực
hiện, không có mô-đun bổ sung (trái ngược với việc sử dụng các Hook ); Hạn
chế của phương pháp này là không đảm bảo rằng tất cả các tổ hợp phím sẽ bị
chặn - một số có thể được bỏ qua; và phương pháp này có thể dễ dàng được phát
hiện bằng cách tìm các quá trình truy vấn bàn phím với tần số cao.
Phương pháp này được sử dụng trong keylogger như Computer Monitor,
Keyboard Guardian, PC Activity Monitor Pro, Power Spy, Powered Keylogger,
Spytector, Stealth KeyLogger, Total Spy.
2.5.3. Đưa vào các quá trình và các chức năng xử lý thông tin hooking
Các keylogger được đưa vào tất cả các quá trình và chặn các chức năng
GetMessage hoặc PeekMessage từ thư viện user32.dll. Một loạt các phương
pháp có thể được sử dụng để làm điều này: nối (một phương pháp sử dụng để
đánh chặn các cuộc gọi chức năng API, về cơ bản, phương pháp này bao gồm
việc thay thế một số ít - thường là năm - của byte đầu tiên của hàm lệnh JMP đó
chuyển điều khiển đến các cách chặn code), chỉnh sửa bảng địa chỉ các chức
năng nhập IAT, chặn các chức năng GetProcAddress mà trả về một địa chỉ hàm
từ thư viện đã được nạp. Một keylogger có thể được tạo ra trong các form của
một DLL hoặc bằng cách đưa các mã trực tiếp vào quá trình mục tiêu.
Kết quả như sau: khi các ứng dụng gọi, ví dụ, hàm GetMessage để nhận
được thông báo kế tiếp từ hàng đợi tin nhắn, cuộc gọi này sẽ được thông qua vào
mã hook. Hook gọi hàm GetMessage đi từ user32.dll và phân tích các kết quả trả

cho các đối tượng kiểu tin nhắn. Khi một thông điệp bàn phím được nhận, tất cả
các thông tin về nó được chiết xuất từ các thông số tin nhắn và đăng nhập bằng
các keylogger.
Những lợi thế của phương pháp này là hiệu quả của nó: do phương pháp
này là không phổ biến, chỉ có một vài chương trình có thể phát hiện keylogger
thuộc loại này. Ngoài ra, bàn phím trên màn hình tiêu chuẩn là vô dụng đối với
loại hình này của keylogger, như các tin nhắn được gửi bởi họ cũng sẽ bị chặn.
Những khó khăn bao gồm là thay đổi bảng IAT không đảm bảo đánh
chặn, như địa chỉ chức năng của user32.dll có thể đã được lưu trước keylogger
được đưa vào; nối có một số khó khăn kết nối.

18


2.6.Cách thức phát tán keylogger
Keylogger lây lan cùng một cách mà các chương trình độc hại khác lây
lan. Ngoại trừ trường hợp keylogger được mua, cài đặt và sử dụng các keylogger
theo dịch vụ an ninh, keylogger là chủ yếu lây lan bằng cách sử dụng phương
pháp sau đây :
-Một keylogger có thể được cài đặt khi người dùng mở một tập tin đính
kèm theo email;
-Một keylogger có thể được cài đặt khi một tập tin được đưa ra từ một thư
mục mở truy cập vào một mạng P2P;
-Một keylogger có thể được cài đặt thông qua một trang web được khai
thác một lỗ hổng trình duyệt. Chương trình sẽ tự động được đưa ra khi người
dùng truy cập một trang web bị nhiễm mã độc;
-Một keylogger có thể được cài đặt bởi một chương trình độc hại đã có
trên máy tính nạn nhân, nếu chương trình đó có khả năng tải về và cài đặt phần
mềm độc hại khác vào hệ thống.


19


CHƯƠNG 3.

CÁCH CÀI ĐẶT VÀ SỬ DỤNG PHẦN MỀM PERFECT
KEYLOGGER

3.1.Cách cài đặt phần mềm perfect keylogger
Bước 1: Tải phần mềm perfect keylogger trên trang download.com.vn
Bước 2: Mở folder, tìm và click vào file i_bkb_trial.exe, sau đó tiến hành cài
đặt như hình dưới

Nhập vào “open” rồi click Ok

Click next>

20


Chọn yes rồi click Next>

Đặt tên có keylog, nên đặt tên hệ thống (ví dụ như hình trên). Ngoài ra
còn các tên như svchost, winlogon, services, taskmgr, chrome (google chrome)
bước này giúp đánh lừa victim

21


Bước tiếp theo, chọn đường dẫn để cài đặt keyloger. Chọn change

Sau khi chọn đường dẫn:
+ Chọn Regular installation để cài đặt bình thường
+ Chọn Steath installation để cài đặt ẩn

Sau đó ấn Finish
Bước 3: Sau khi cài đặt, nó kêu bạn nhập Serial Key, chọn Enter
Registration code.. Sau đó có một tab mới hiện ra, các bạn nhập key sau :

22


Name: the_lighthouse
Serial: SBTY-SOQO-OASV-GFNE

Hình 3.4 Cửa sổ đăng ký kích hoạt
Ấn vào Enter registration code…

Hình 3.5 Cửa sổ nhập mã kích hoạt
Sau đó nhập Serial key bên trên.

23


Hình 3.6 Kích hoạt mã thành công
Sau khi nhập Serial key xong và cài đặt thành công.
3.2.Cách sử dụng phần mềm perfect keylogger
Bước 1: Nhìn xuống thanh Start, chỗ icon và thời gian (phía dưới bên
phải màn hình ), bạn click chuột phải vào icon

Hình 3.7 Biểu tượng của Perfect Keyloger trên thanh công cụ

Và chọn option

Hình 3.8 Menu cài đặt của Perfect Keylogger
Bước 2: Cài đặt cho perfect keylogger
24


Hình 3.9 Tab cài đặt chung
General: Tùy chọn chung
+ System: Phần cứng
● Run on Windows startup: Tự động chạy khi windows khởi động
● Don't show program icon at startup: Không hiện thi icon
+ Hotkeys: Các phím nóng để sử dụng keylogger
● Show / hide program icon: Sử dụng phím tắt để "triệu hồi" keylogger lên
hoặc ẩn nó đi. Phần này không quan trọng
+ Invisibility: Khả năng tự ẩn của Keylogger
● Hide the program from Ctrl + Alt + Del: Ẩn phần mềm từ tổ hợp phím Ctrl +
Alt + Del
● Make the program invisible in the Windows startup list: Ẩn phần mềm trong
danh sách khởi động của Win
● Remove the program from Start Menu and uninstall list: Xóa phần mềm khỏi
danh sách Start Menu
+ Phần còn lại
● Notify about program updates: Cập nhật phần mềm (các bạn không nên
chọn). Phần này không quan trọng.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×