一个反键盘记录工具的分析

最新推荐文章于 2023-09-29 20:34:26 发布
最新推荐文章于 2023-09-29 20:34:26 发布
阅读量1.5k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: 工具 破解 session windows 产品 qq

除了nProtect,国外还有一些反键盘记录工具,比如下面这个还不错:
http://www.anti-keyloggers.com/

是个通用型的,与QQ的nProtect专门用于保护密码不同。
而且反破解做的不错(对我这种破解外行而言,呵呵)。

它的原理我简单的说一下,就是替换键盘类驱动的KeyboardClassServiceCallback,然后把得到的ScanCode传递到用户态,由位于Winlogon.exe的一个线程负责调用NtUserSendInput,将按键消息发给当前焦点窗口。

应该说这款反键盘工具的设计思想是很先进的:
1,选用KeyboardClassServiceCallback的好处是,比键盘过滤驱动更底层,对PS/2或USB键盘通用。
2,用Winlogon转发消息的好处是,自动适应多用户(session)的情况。
3,用NtUserSendInput的好处是,不会被Windows消息钩子挂钩。
4,虽然它没有构建起完全独立的键盘输入通道(这么做太复杂,兼容性不好),但对于没有重建的部分,通过检测钩子的方式弥补。

它的钩子检测功能对于用户态不错,遗憾的是,居然漏掉了中断服务挂钩的检测,实在是个大疏忽。另外,作为通用型保护机制,不可避免的具有一些局限性,比如无法防御用窗口子类化来做键盘记录。

还有一款产品:

http://www.anti-keylogger.net/

 
Lab12-02-03-恶意样本分析-简单的键盘记录程序分析
LoopherBear的博客
05-21 441
简单的键盘记录程序分析 **样本来自《恶意样本分析》Lab12-2.exe ** Lab12-03.exe和dump出来得payload.exe是同一个 程序不是很复杂很适合用来练手,对于新手很友好???? 程序的目的是什么 这是一个键盘记录的恶意程序。 程序是如何隐藏自身的 程序创建了一个svchost的进程来运行 恶意代码的payload放在那里 加密保存在资源文件内 程序是如何被保护的 将实际的Payload保存在资源内,通过异或加密保存 字符串是如何把被保护的 字符串在资源文件的payload内,被
QQ密码框防键盘记录的研究笔记
ainn_pp的专栏
06-06 3742
兴趣所致,做些学习笔记. QQ密码框从简单到复杂有好几套措施防止键盘记录. 第一层,最简单的.设置一个定时器.大概0.5秒定时用keybd_event 发送虚拟键盘消息.混淆记录. 这一层最容易实现也最容易破解.只需要在监听程序中HOOK WH_KEYBOARD_LL,在处理函数中检测flag是否有 LLKHF_INJECTED 标志位即可. 在写监听程序的时候遇到
TouchEn nxKey:键盘记录键盘记录解决方案
寒水馨
01-09 1320
TouchEn nxKey:键盘记录键盘记录解决方案
bank_mitigations:键盘记录器,屏幕记录器...通过钩子进行保护或通过间谍软件检测来改善沙盒的策略...-演示
05-18
bank_mitigations 防键盘记录器,防屏幕记录器...使用钩子进行保护的策略。 您可以将沙盒与恶意软件一起使用,请在以下位置阅读演示文稿: 视频PoC第1部分-阻止键盘记录程序: 视频PoC第2部分-阻止屏幕记录器:
早年用WIN32汇编写的键盘记录
麦好的AI乐园
07-03 2865
.486 .model flat, stdcall option casemap :none ; ######################################################################### include windows.inc include user32.inc inc
很强的键盘记录器、密码查看器 ,纯源码 无HOOK 无API-易语言
06-11
综上所述,这个压缩包提供了一个纯源码的键盘记录器和密码查看器的实现,它不依赖于钩子或特定API,这使得它在安全性方面有其独特优势。对于想要学习如何编写此类安全工具或者研究对抗键盘记录器技术的人来说,...
电脑键盘记录 工具
05-30
在IT领域,电脑键盘记录工具是一种特殊的软件应用,主要用于监控和记录用户在计算机上输入的所有按键。这些工具广泛应用于各种场景,包括家长监控、企业数据安全、员工行为分析以及恶意活动检测等。以下是对这个主题...
易语言-易语言防键盘记录|键盘记录|拦截键盘记录|防盗密码框|密码防盗框
06-25
对于这种威胁,易语言提供了相应的解决方案,即“键盘记录”和“拦截键盘记录”的技术。这些技术的核心是通过监控和过滤键盘事件,防止键盘输入被非法程序捕获。 “防盗密码框”或“密码防盗框”是易语言中一种...
键盘记录工具
01-25
3. **安全性**:选择一个安全可靠的键盘记录工具至关重要。这不仅意味着软件本身应该是无后门的,而且应该定期更新,以防止新出现的安全威胁。 4. **透明度**:如果是在家庭或企业环境中使用,应明确告知用户正在...
键盘记录工具源代码
02-11
在IT领域,键盘记录工具是一种特殊类型的软件,用于捕获并记录用户在计算机上输入的键。这些工具通常被安全专家、系统管理员或家长用来监控和审计计算机活动,但同时也可能被恶意用户利用进行非法数据窃取。在这个...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
Keylogger-For-Windows:这是用mingw编译的Windows键盘记录程序
05-04
病毒总数 **随意分叉并帮助我更好地编写代码** 预编译 为了在我的Windows 10机器之一上进行编译,我使用了mingw,可下载 之后不要忘记添加C:\ MinGW \ bin; Windows中的PATH环境变量 然后终于可以编译了。 编译中 导航到目录,您将看到“ main.cpp”,这是您的主codez文件。 之后,您可以想到一个好名字,例如“ keymaster.exe”。 因此,如果要编译此代码,则需要在下面使用此行: g++ -Wl,-subsystem,windows main.cpp -o keymaster.exe 你为什么会问? 好吧,这是因为我们需要一个链接器,该链接器会记住我们不是制作控制台应用程序,而是制作隐藏窗口的Windows应用程序。
Delphi根据键盘记录的原理实现对进程的监视.rar
07-10
Delphi根据键盘记录的原理实现对进程的监视,受同学之邀,要我写个盗传奇密码的程序,以前从没有搞过,不知从何下手知道原理是键盘记录这方面的,所以写了个很简单的键盘记录器罢了,并不是什么密码截取器.   (以TEST.EXE为例)本程序是通过几个时钟控件,一个用来监视TEST.EXE进程是否存在,如果存在,就马上记录所有键盘操作,别外一个用来监视,TEST.EXE是否退出,如果退出了,就马上停止监视.有一部份代码是COPY他人的,在此多谢,本程序只是个人爱好写着玩玩儿已。。   注:本程序可直接通过Delphi7编译,运行时可能会被360误报为恶意程序。
PSMAntiKeyLogger-开源
07-07
PSMantiKeyLogger 是一种实时保护工具,它不仅可以保护您免受键盘记录器的侵害,还可以保护您免受屏幕/表单捕获器的侵害。 它可以与 http://snoopfree.com 上的 SnoopFree 进行比较。 访问 http://psmantikeyloger.sourceforge.net 了解更多信息。
Python告诉你木马程序的键盘记录原理
人生苦短, 还不用Python?
05-11 913
前言 Python keylogger键盘记录的功能的实现主要利用了pythoncom及pythonhook,然后就是对windows API的各种调用。Python之所以用起来方便快捷,主要归功于这些庞大的支持库,正所谓"人生苦短,快用Python"。 ...
游戏安全:外挂检测的基本操作
最新发布
qq_65013254的博客
09-29 5136
通常内存扫描需要访问应用程序的内存,这通常需要特殊的权限,并且需要谨慎操作,以避免误伤合法的应用程序。监视游戏或应用程序的网络通信,以检测不正常的数据包或通信模式。通过监视游戏或应用程序的网络通信,可以检测到异常或不正常的数据包传输模式,从而发现外挂的存在。检测外挂是一个不断演变的领域,外挂制作者也在不断改进他们的方法以规避检测。因此,游戏和应用程序开发者通常需要采用多种不同的方法和技术来提高外挂检测的准确性和效率。检测外挂通常是在线游戏和软件应用程序中的一项重要任务,以确保游戏或应用的公平性和安全性。
看棒子不顺眼,破解NProtect,键盘驱动级截取键盘记录
热门推荐
尹成的技术博客
12-27 2万+
NProtect,是用驱动加载进入ring0级别,每个进程注入一个钩子,用键盘中断技术写的一个钩子,本人就用驱动对付他,废话少说,看代码, //#include  #include "kbhook.h"#include "ScanCode.h"#include   int numPendingIrps=0;////ICTOL 以及控制设备的相关变量//#define IOCTL
Windows内核新手上路2——挂钩shadow SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1872
Windows内核新手上路2——挂钩shadow SSDT          文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser
分析了一下360安全卫士的hook(zt)
lionzl的专栏
07-11 3428
分析了一下360安全卫士的hook(zt)2010-6-3 18:36阅读(12) 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
键盘鼠标记录DLL工具的完整版下载
4. 用户隐私和安全问题:键盘鼠标记录工具可能会被用于监控用户行为,因此涉及严重的隐私和安全问题。在使用此类工具时,需要考虑合法性和道德性问题,并确保符合相关的法律法规。 5. 应用场景:键盘鼠标记录DLL...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值