# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  >  Анти-кейлоггер

## kps

Недавно наткнулся на бесплатную программу Snoop detect.
Не знаю еще насколько она эффективна, но сама идея мне показалась более чем интересной. Программа предназначена для борьбы с клавиатурными шпионами (keylogger), причем она их ищет не по сигнатурам, а использует другую технологию. Вот что мне показалось особенно интересным из описания программы:

[hr]
Readme
  -=   Snoop Detect 1.1 by Vaskovich   =-
 ---------------------------------------------------------------------------    
1. Что это такое.
 ---------------------------------------------------------------------------
Для начала скажем, что такое snooper (sniffer, hooker, kbdspy etc..). Это такая софтина, цель которой - следить за вашей  клавиатурой и скурпулезно записывать все, что вы  набрали, в файл.
 Такие вещи обычно ставят на ваш компьютер (незаметно для вас, конечно) ваши маленькие братики, боссы,  детишки  и прочие  кул хакеры с целью извлечения всевозможных паролей, логов чатов, а также для мониторинга адресов посещенных сайтов и все такое прочее. Естественно, никто такого
 беспредела  терпеть на  своем компьютере  не хочет.  Ну а  раз  так, необходимо как-то узнать, следят ли за вами  или нет в  какой-то ответственный момент  времени, что, собственно, данная
 программа и делает.

 -----------------------------------------------------------------------------
 2. Отличия от других подобных программ.
 -----------------------------------------------------------------------------
 Разумеется,  идея создания  детектора клавиатурных шпионов возникла очень давно.  То есть как только какой-то программист создал первый снупер,  другой его обхитрил и создал детектор того
 самого снупера.  Так что вывод прост - детекторов можно найти до фига и еще немножко.  Чем же отличается мой Snoop Detect от десятков других?  Все остальные детекторы работают по принципу сканера, то есть они проверяют все программы в памяти или на жестком диске и решают, является ли  какая нибудь  из них  шпионом.  Проще говоря,  все они  работают по принципу антивирусов.
 Проблема заключается в том,  что снуперов существует огромное количество.  Любой мало мальски грамотный кодер меньше  чем за  полчаса  может  создать свой  собственный снупер, и даже ваша
 сестренка, овладев Visual Basic&#039;ом и азами WinAPI, может написать примитивный сниффер. Кодеры получше не затруднятся реализовать простенькую схему переименования основных файлов, или даже
 создадут полиморфный движок (благо полиморфных вирусов с документированными исходниками ОЧЕНЬ много).  Все это очень осложняет схему сканера,  и фактически делает его бесполезным в случае
 самопального снупера.  Так как  сканеру необходимо знать  о всевозможных  (в том числе и мало известных) шпионах,  размер соответствующих программ получается очень большой (от 1 до 8 мег),
 также для обеспечения достаточной  безопасности вам придется регулярно обновлять базы сканера.
 Snoop Detect весит всего 3920 байт (3.8 kb!) и не содержит вообще никаких баз, и тем не менее обнаруживает присутствие почти всех шпионов (в том числе никому и даже мне не известных). Что же такое  он  делает?  Не  углубляясь  в технические подробности,  объяснить это "на пальцах"
 довольно непросто;  Snoop Detect  всего навсего  проверяет, шпионит ли кто за ним или нет ;-)
 В всеми любимой OS windoze существует несколько способов перехвата сообщений от клавиатуры, и при реализации  любого из  них появляются некоторые,  так скажем,  побочные эффекты,  которые сводят к  нулю неуловимость снупера.  Snoop Detect  является своего рода эвристиком,  который регистрирует  всевозможные аномалии и  на основе полученных результатов сообщает,  шпионят за вами или нет.

 ----------------------------------------------------------------------------
 3. Возможности.
 -----------------------------------------------------------------------------

   - Snoop Detect позоляет вам с большим процентом вероятности определить наличие активного клавиатурного шпиона  (программы или  ее  компоненты,  следящей определенным образом в данный момент за клавиатурой).
   - Snoop Detect не может в принципе сообщить вам о названии клавиатурного шпиона, способа его загрузки, имени производителя и так далее,  так как Snoop Detect не знает ничего о каком либо конкретном клавиатурном шпионе.
   - Snoop Detect не позволяет деактивировать клавиатурные шпионы (удалять их из памяти, с жесткого диска и так далее).
   - Эвристик Snoop Detect не гарантирует обнаружение всех возможных  способов слежки за клавиатурой  (если кто-то додумается заменить стандартный драйвер клавиатуры своим со встроенным сниффером, то все бонусы его).
   - Snoop Detect обнаруживает _только клавиатурный_ шпионаж. (Многие коммерческие снифферы позволяют,  например,  делать скриншоты.  Такая деятельность использует абсолютно иные алгоритмы, и, следовательно, пройдет незамеченной.)

 Почему именно так?  Можете не хвалиться своей новой версией SpyBot, обнаруживающей N-ое число шпионов.  Если за вами следят, так ли важно знать,  какой именно снупер для этого используют?
 Большинство шпионов не на столько продвинуты,  чтобы невозможно было определить вручную, как они  стартуют, так как девяносто пять шпионов  из ста используют заюзанные  до дыр  методы: реестр,  win.ini,  автозагрузка и прочий отстой, но об этом чуть позже. Шансы подцепить что-либо оригинальное  невероятно  малы,  тем более в следующих  версиях я буду  совершенствовать эвристик.    
(с)Vaskovich
[hr]

Нужно просто набрать что угодно на клавиатуре в окне программы и посмотреть, какой загорится свет: зеленый или красный  :Smiley:  Зеленый - значит, все в порядке.
Я потестил на этом кейлоггере http://www.danil.com.ua/dks14.zip
и программа оказалась эффективной - загорелась красная лампа при активном кейлоггере и программа написала мне правильный путь к подозрительному модулю (который был одним из файлов кейлоггера).
Скачать программу можно с офиц. сайта
или скачать прикрепленный файл:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Sanja

а я проверил на своем...

прога выругалась на

suspicious module: C:\Program Files\Trillian\events.dll
suspicious module: C:\WINDOWS\system32\COMCTL32.dll
suspicious module: C:\WINDOWS\system32\comdlg32.dll
suspicious module: C:\WINDOWS\system32\MSCTF.dll
suspicious module: C:\WINDOWS\system32\mslbui.dll
suspicious module: C:\WINDOWS\system32\uxtheme.dll
suspicious module: C:\WINDOWS\system32\WINMM.dll


все это - стандартные файлы... а мой кей логгер записал текст  :Smiley:

----------


## Geser

> а я проверил на своем...
> 
> прога выругалась на
> 
> suspicious module: C:\Program Files\Trillian\events.dll
> suspicious module: C:\WINDOWS\system32\COMCTL32.dll
> suspicious module: C:\WINDOWS\system32\comdlg32.dll
> suspicious module: C:\WINDOWS\system32\MSCTF.dll
> suspicious module: C:\WINDOWS\system32\mslbui.dll
> ...


Ну главное что она обнаружила что есть кейлоггер.

----------


## kps

> все это - стандартные файлы... а мой кей логгер записал текст


Не спорю, может быть она в некоторых случаях неэффективна, о чем и написал автор. Но мне понравилась сама идея.

----------


## kps

2 Sanja
А красный цвет загорелся при активном кейлоггере?

----------


## Sanja

красная лампочка у меня и без кей логгена загорается.. и вобще это здесь ни причем

я использую Win32 APi - GetAsyncKeyState()

а прога расчитана на кей логгеры с хук дллкой который хукают окна

----------


## Geser

> я использую Win32 APi - GetAsyncKeyState()


Мда, и как потом среди кучи мусора найти что-то полезное?  :Smiley:

----------


## Sanja

двумя способами

1.  GetKeyNameText(i, bufn, 256);
2. самому сконвертить..

----------


## drongo

Anti-keylogger -Утилита для обнаружения и блокирования клавиатурных шпионов, которые записывают нажатия клавиш.

Anti-keylogger for Microsoft Windows provides every computer with strong protection against most types of keylogging programs (software keyloggers), both known and unknown, currently in use or being developed at the present moment.
 * в базах не нуждаеться , на 98 не работает  :Sad: 
скачать триал  :Sad: 
 хелп

----------


## Sanja

rabotaet horoso  :Wink:  keyloggeri blokiruet..

no i sam na virus oy kak pohoz  :Wink: )

v task managere nevidno ni v kakom  :Smiley:  

spets toolsami ustanovili 4to on rabotaet vot tak  :Smiley: 

  3480   {f9b13c3b-bc65- C:\Documents and Settings\Sanja\Application Data\{f9b13c3b-bc65-4451-917f-eddd194d6f35}.exe

G  :Smiley:

----------


## Sanja

takze naydet driver.. s o4en veselim nazvaniem

scrambler.sys

kogda zapushen blokiruet k sebe dostup  :Smiley: 

virusaga blina ;(

----------


## drongo

Да ,забавно Саня  :Smiley: 
ещё один , работает также без баз .

на 15 дней бесплатно , поддерживает все версии виндов .

http://www.tooto.com/keyloggerkiller/

Keylogger Killer 1.5

----------


## Sanja

судя по скрину тоже самое что и Snoop.. ловит длл бейзед куйлоггеры

----------


## Sanja

у кого стоит Anti-keylogger
проверьте плз... блокирует ли он вот этот кейлоггер

-----------------------------
проверил - не ловит  :Wink:

----------

