BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019
-
18 mai 2007 à 22:24
deadbird
Messages postés49Date d'inscriptionmercredi 15 janvier 2003StatutMembreDernière intervention 7 mars 2010
-
20 mai 2007 à 19:59
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
deadbird
Messages postés49Date d'inscriptionmercredi 15 janvier 2003StatutMembreDernière intervention 7 mars 2010 20 mai 2007 à 19:59
Si jamais t'as des infos là dessus je suis preneur à mooooort! :P
Ou même ne serait-ce qu'une piste, ca m'aiderai :)
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 20 mai 2007 à 19:53
oh là me semble idem impensable en user mode. Un pointeur dans ton virtual space n'aurait aucun sens et totalement invalide.
deadbird
Messages postés49Date d'inscriptionmercredi 15 janvier 2003StatutMembreDernière intervention 7 mars 2010 20 mai 2007 à 19:49
C'est possible, je n'ai pas encore eu le temps de tester tout ce que j'ai en tête. Et à mon avis j'ai qqchance du côté des hooks de fonctions. A tester.
Et au fait, j'ai posé cette question sur plein de forums mais aucune réponse: saurais-tu comment obtenir les pointeurs de débuts des chaines de hooks? MErci! :P
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 20 mai 2007 à 19:42
Tu ne masqueras pas le processus autrement qu'en kernel mode.
deadbird
Messages postés49Date d'inscriptionmercredi 15 janvier 2003StatutMembreDernière intervention 7 mars 2010 20 mai 2007 à 19:35
oui, c'est de ca dont je parle. Mais ca fait ajouter un driver, c'est un peu lourd mais efficace. J'essaie de trouver qqchose de plus léger, histoire de tout fare tenir dans un seul exécutable, c'est pour ca que je n'utiliserai pas (je pense) cette méthode :)
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 20 mai 2007 à 19:26
deadbird
Messages postés49Date d'inscriptionmercredi 15 janvier 2003StatutMembreDernière intervention 7 mars 2010 20 mai 2007 à 16:18
Oui, je n'ai pas non plus la prétention de développer un rootkit (encore que...), mais je bosse sur des méthodes mettant en oeuvre l'injection de code et/ou le hooking de fonctions, donc...
cs_badrbadr
Messages postés475Date d'inscriptionjeudi 19 juin 2003StatutMembreDernière intervention 3 novembre 20081 20 mai 2007 à 06:29
À deadbird:
Pour une invisibilité quasi-parfaite, ça implique l'usage de Rootkit, ce qui est démesurèment complexe.
deadbird
Messages postés49Date d'inscriptionmercredi 15 janvier 2003StatutMembreDernière intervention 7 mars 2010 19 mai 2007 à 21:57
Surtout que (excuse moi de te démoraliser) mais là y'a rien d'exceptionnel. Etant moi même en train de bosser sur un keylogger qui est vraiment (presque) invisible, permet moi de te dire que ta méthode pour le cacher c'est un peu faible. Je bosse depuis plusieurs mois sur le mien mais aussi depuis peu sur les méthodes de détection pour qu'il passe le plus possible inapercu.
Donc:
"Le keylogger s'enregistre dans les registres et démarre au démarrage"
->>>mouais...c'est sympa mais pas très recherché
- Le keylogger est complètement invisible ( sauf dans le gestionnaire des tâches )
->>>oui, donc il est pas invisible du tout! Etant donné qu'un keylogger n'a pas besoin de fenêtre
- Le keylogger porte le nom de scvhost ( qui se confond avec svchost )
->>>ca aussi c'est léger, bien que ca suffise à flouer le non averti.
Si jamais tu veux discuter keylogger n'hésite pas à me contacter, je t'expliquerai un peu ce sur quoi je bosse.
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 18 mai 2007 à 22:24
A part un très mauvais exemple pour débutant (boucle sans fin au lieu d'un hook, on se croirait en VB), ce n'est d'aucune utilité.
Les keylogger sont légion sur cppfrance, pas besoin d'en rajouter s'il n'apporte rien de neuf.
20 mai 2007 à 19:59
Ou même ne serait-ce qu'une piste, ca m'aiderai :)
20 mai 2007 à 19:53
20 mai 2007 à 19:49
Et au fait, j'ai posé cette question sur plein de forums mais aucune réponse: saurais-tu comment obtenir les pointeurs de débuts des chaines de hooks? MErci! :P
20 mai 2007 à 19:42
20 mai 2007 à 19:35
20 mai 2007 à 19:26
http://www.cppfrance.com/code.aspx?ID=36941
20 mai 2007 à 16:18
20 mai 2007 à 06:29
Pour une invisibilité quasi-parfaite, ça implique l'usage de Rootkit, ce qui est démesurèment complexe.
19 mai 2007 à 21:57
Donc:
"Le keylogger s'enregistre dans les registres et démarre au démarrage"
->>>mouais...c'est sympa mais pas très recherché
- Le keylogger est complètement invisible ( sauf dans le gestionnaire des tâches )
->>>oui, donc il est pas invisible du tout! Etant donné qu'un keylogger n'a pas besoin de fenêtre
- Le keylogger porte le nom de scvhost ( qui se confond avec svchost )
->>>ca aussi c'est léger, bien que ca suffise à flouer le non averti.
Si jamais tu veux discuter keylogger n'hésite pas à me contacter, je t'expliquerai un peu ce sur quoi je bosse.
18 mai 2007 à 22:24
Les keylogger sont légion sur cppfrance, pas besoin d'en rajouter s'il n'apporte rien de neuf.
Sera enlevé en fin de semaine.