Микрокамеры почтой

О которых шла речь в предыдущей статье, клавиатурные шпионы не являются вирусами, т.К.

Клавиатурные шпионы - это программа для скрытной записи информации о нажимаемых пользователем клавишах.

У термина «клавиатурный шпион» есть ряд синонимов: k eyboard l ogger, keylogger.

Кейлоггер; реже микрокамеры для огента встречается термины "снупер", "snoop", "snooper" (от англ.

Snoop - буквально "человек, вечно сующий нос в чужие дела") как правило, современные клавиатурные шпионы не просто записывает коды вводимых клавиш - он "привязывает" клавиатурный ввод к текущему окну и элементу ввода.

Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют микрокамеры монтаж делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем.

Записываемая информация сохраняется на диске и большинство современных клавиатурных шпионов могут формировать различные отчеты, могут передавать их по электронной почте или http/ftp протоколу.

Кроме того, ряд современных клавиатурных шпионов пользуются rootkit технологиями для маскировки следов своего присутствия в системе.

Для системы клавиатурный шпион, как правило, безопасен.

Однако он чрезвычайно опасен для пользователя – е его микрокамеры почтой можно перехватить пароли и прочую конфиденциальную информацию, вводимую пользователем.

К сожелению, в последнее время известны сотни разнообразных келоггеров, причем многие из них не детектируются антивирусами.

Перед описанием основных принципов работы клавиатурного шпиона необходимо рассмотреть модель аппаратного ввода системы windows.

Достаточно подробное описание этой модели можно найти в книге д.Рихтера « windows для профессионалов».

При возникновении неких событии ввода (нажатии клавиш, перемещении микрокамеры почты) события обрабатываются соответствующим драйвером и помещается в системную микрокамеры почту аппаратного ввода.

В системе имеется особый поток необработанного ввода, называемый rit ( raw input thread ), который извлекает события из системной очереди и преобразует их в сообщения.

Полученные сообщения помещаются в конец очереди виртуального ввода одного из потоков (виртуальная очередь потока называется viq – virtualized input queue ).

При этом rit сам выясняет, в микрокамеры почту какого конкретно потока необходимо поместить событие.

Для событий микрокамеры почты поток определяется поиском окна, над которым расположен курсор мыши.

Клавиатурные события отправляются только одному потоку – так называемому активному потоку (т.Е.

Потоку, которому принадлежит окно, с которым работает пользователь).

На микрокамеры почт деле это не совсем так - в частности, на рисунке показан поток a.

В данном случае получатся, что потоки a и b совместно используют одну микрокамеры почты виртуального ввода.

Это достигается при помощи вызова api функции attachthreadinput.

Которая позволяет одному потоку подключиться к очереди виртуального ввода другого потока.

Следует отметить, что поток необработанного ввода отвечает за обработку специальных сочетаний клавиш, в частности alt + tab и ctrl + alt + del .

Слежение за клавиатурным вводом при помощи ловушек данная методика является классической для клавиатурных шпионов.

Суть метода состоит в применении механизма ловушек ( hook ) операционной системы.

Ловушки позволяют наблюдать за сообщениями, которые обрабатываются окнами других программ.

Установка и удаление ловушек производится при помощи хорошо документированных функций api библиотеки user 32.

Dll (микрокамеры почты setwindowshookex позволяет установить ловушку, unhookwindowshookex - снять ее).

При микрокамеры почте ловушки указывается тип сообщений, для которых должен вызываться обработчик ловушки.

В частности, есть два специальных типа ловушки wh_keyboard и wh_mouse - для регистрации событий клавиатуры и микрокамеры почты соответственно.

Ловушка может быть установлена для заданного потока и для всех потоков системы.

Ловушка для всех потоков микрокамеры почты очень удобна для построения клавиатурного шпиона.

Код обработчика событий ловушки должен быть расположен в dll.

Это требование связано с тем, что dll с обработчиком ловушки проецируется системой в адресное пространство всех gui процессов.

Интересной особенностью является то, что проецирование dll происходит не в момент микрокамеры почты ловушки, а при получении gui процессом первого сообщения, удовлетворяющего параметрам ловушки. На прилагаемом компакт-диске имеется демонстрационный «клавиатурный шпион», построенный на основе микрокамеры почты.

Он регистрирует клавиатурный ввод во всех gui приложениях и дублирует вводимый текст на своем окне. Данный пример можно использовать для тестирования программ, противодействующих клавиатурных шпионам.

Методика ловушек достаточно проста и эффективна, но у нее есть ряд недостатков.

Первым недостатком можно считать то, что dll с ловушкой проецируется в адресное пространство всех gui процессов, что может применяться для обнаружения клавиатурного шпиона.

Кроме того, регистрация событий клавиатуры возможна только для gui приложений, это легко проверить при помощи демонстрационной программы.