Thursday, April 17, 2008

Zemana Keylogger Simülasyon 1.2 Versiyonu

Keylogger Simülasyon programımızı “win32 api” kullanmadan, direk SYSENTER kernel çağrısı kullanarak kayıt yapabilecek şekilde geliştirdik. Bunun nedeni ise; içlerinde çok büyük firmaların programlarının da olduğu bir kaç güvenlik yazılımının, test programlarımızı user mode koruma sistemleriyle engellemesiydi.

Artık güvenlik sistemlerini user mode hook üzerine kurmuş güvenlik programları, Keylogger Simülasyon programını yakalayamazlar.

Zaten tamamen user mode üzerine kurulmuş bir güvenlik sistemi, kullanıcıyı kandırmaktan başka bir şey değildir.

Bu sistemi şimdilik sadece Keylogger Simülasyon programı için kullandık. Diğer simülasyon programlarımız hala “win32 api” sistemiyle test kaydı yapıyor. İleride onları da bu sistemle kodlayıp, güncelleyeceğiz.

Keylogger Simülasyon 1.2 versiyonunda eklediğimiz diğer yeni bir özellikle de Türkiye’de ve tüm dünyada, banka veya benzer kuruluşların, keylogger’ları durdurmak için kullandığı kötü bir teknolojinin işe yaramadığını gösteriyoruz.

Bahsettiğimiz teknoloji genellikle activex olarak ya da normal exe kurulumu olarak makineye kurulduktan sonra, şifre, pin vs. gibi önemli veri girişleri sırasında NtUserSendInput fonksiyonuyla keyboard buffer’a rastgele ürettigi karakterleri gönderiyor ve birçok klasik keylogger, bunların sahte olduğunu anlamadığı için yazılandan farklı karakterler kaydetmiş oluyor.

Ama gelişmiş bir keylogger, bu gelen sinyalin gerçek bir klavyeden gelip, gelmediğini ayırt edebilir. Hatta bu sistemi bilen bir saldırgan, bu sistemi kendi lehine çevirip, özellikle şifre ve pin girilen kutucuklardan veri girilip, girilmediğini anlayabilir ve asıl amacına daha kısa sürede ulaşmış olur.

Örneğin; gelen uzunca bir keylogger kaydında özellikle bu sistem ile korumalı olarak girilmiş password, pin gibi değerleri kırmızı büyük puntoyla kaydedip, daha sonra incelerken rahat bir şekilde istediği bilgiyi bulabilir.

Keylogger Simülasyon 1.2 versiyonuna eklediğimiz iki yeni özellik, bu türde korunmaya çalışan sistemleri analiz etmenize yarayacaktır.

* Sadece gerçek fiziksel aygıtların keyboard girişine izin ver
* Sahte virtual keyboard sinyali gönderildiğinde uyarı sesi ver




No comments:

Post a Comment