kps
05.10.2004, 19:26
Недавно наткнулся на бесплатную программу Snoop detect.
Не знаю еще насколько она эффективна, но сама идея мне показалась более чем интересной. Программа предназначена для борьбы с клавиатурными шпионами (keylogger), причем она их ищет не по сигнатурам, а использует другую технологию. Вот что мне показалось особенно интересным из описания программы:
[hr]
Readme
-= Snoop Detect 1.1 by Vaskovich =-
---------------------------------------------------------------------------
1. Что это такое.
---------------------------------------------------------------------------
Для начала скажем, что такое snooper (sniffer, hooker, kbdspy etc..). Это такая софтина, цель которой - следить за вашей клавиатурой и скурпулезно записывать все, что вы набрали, в файл.
Такие вещи обычно ставят на ваш компьютер (незаметно для вас, конечно) ваши маленькие братики, боссы, детишки и прочие кул хакеры с целью извлечения всевозможных паролей, логов чатов, а также для мониторинга адресов посещенных сайтов и все такое прочее. Естественно, никто такого
беспредела терпеть на своем компьютере не хочет. Ну а раз так, необходимо как-то узнать, следят ли за вами или нет в какой-то ответственный момент времени, что, собственно, данная
программа и делает.
-----------------------------------------------------------------------------
2. Отличия от других подобных программ.
-----------------------------------------------------------------------------
Разумеется, идея создания детектора клавиатурных шпионов возникла очень давно. То есть как только какой-то программист создал первый снупер, другой его обхитрил и создал детектор того
самого снупера. Так что вывод прост - детекторов можно найти до фига и еще немножко. Чем же отличается мой Snoop Detect от десятков других? Все остальные детекторы работают по принципу сканера, то есть они проверяют все программы в памяти или на жестком диске и решают, является ли какая нибудь из них шпионом. Проще говоря, все они работают по принципу антивирусов.
Проблема заключается в том, что снуперов существует огромное количество. Любой мало мальски грамотный кодер меньше чем за полчаса может создать свой собственный снупер, и даже ваша
сестренка, овладев Visual Basic'ом и азами WinAPI, может написать примитивный сниффер. Кодеры получше не затруднятся реализовать простенькую схему переименования основных файлов, или даже
создадут полиморфный движок (благо полиморфных вирусов с документированными исходниками ОЧЕНЬ много). Все это очень осложняет схему сканера, и фактически делает его бесполезным в случае
самопального снупера. Так как сканеру необходимо знать о всевозможных (в том числе и мало известных) шпионах, размер соответствующих программ получается очень большой (от 1 до 8 мег),
также для обеспечения достаточной безопасности вам придется регулярно обновлять базы сканера.
Snoop Detect весит всего 3920 байт (3.8 kb!) и не содержит вообще никаких баз, и тем не менее обнаруживает присутствие почти всех шпионов (в том числе никому и даже мне не известных). Что же такое он делает? Не углубляясь в технические подробности, объяснить это "на пальцах"
довольно непросто; Snoop Detect всего навсего проверяет, шпионит ли кто за ним или нет ;-)
В всеми любимой OS windoze существует несколько способов перехвата сообщений от клавиатуры, и при реализации любого из них появляются некоторые, так скажем, побочные эффекты, которые сводят к нулю неуловимость снупера. Snoop Detect является своего рода эвристиком, который регистрирует всевозможные аномалии и на основе полученных результатов сообщает, шпионят за вами или нет.
----------------------------------------------------------------------------
3. Возможности.
-----------------------------------------------------------------------------
- Snoop Detect позоляет вам с большим процентом вероятности определить наличие активного клавиатурного шпиона (программы или ее компоненты, следящей определенным образом в данный момент за клавиатурой).
- Snoop Detect не может в принципе сообщить вам о названии клавиатурного шпиона, способа его загрузки, имени производителя и так далее, так как Snoop Detect не знает ничего о каком либо конкретном клавиатурном шпионе.
- Snoop Detect не позволяет деактивировать клавиатурные шпионы (удалять их из памяти, с жесткого диска и так далее).
- Эвристик Snoop Detect не гарантирует обнаружение всех возможных способов слежки за клавиатурой (если кто-то додумается заменить стандартный драйвер клавиатуры своим со встроенным сниффером, то все бонусы его).
- Snoop Detect обнаруживает _только клавиатурный_ шпионаж. (Многие коммерческие снифферы позволяют, например, делать скриншоты. Такая деятельность использует абсолютно иные алгоритмы, и, следовательно, пройдет незамеченной.)
Почему именно так? Можете не хвалиться своей новой версией SpyBot, обнаруживающей N-ое число шпионов. Если за вами следят, так ли важно знать, какой именно снупер для этого используют?
Большинство шпионов не на столько продвинуты, чтобы невозможно было определить вручную, как они стартуют, так как девяносто пять шпионов из ста используют заюзанные до дыр методы: реестр, win.ini, автозагрузка и прочий отстой, но об этом чуть позже. Шансы подцепить что-либо оригинальное невероятно малы, тем более в следующих версиях я буду совершенствовать эвристик.
(с)Vaskovich
[hr]
Нужно просто набрать что угодно на клавиатуре в окне программы и посмотреть, какой загорится свет: зеленый или красный :) Зеленый - значит, все в порядке.
Я потестил на этом кейлоггере http://www.danil.com.ua/dks14.zip
и программа оказалась эффективной - загорелась красная лампа при активном кейлоггере и программа написала мне правильный путь к подозрительному модулю (который был одним из файлов кейлоггера).
Скачать программу можно с офиц. сайта (http://nosnoopz.narod.ru/SnoopDetect.zip)
или скачать прикрепленный файл:
Не знаю еще насколько она эффективна, но сама идея мне показалась более чем интересной. Программа предназначена для борьбы с клавиатурными шпионами (keylogger), причем она их ищет не по сигнатурам, а использует другую технологию. Вот что мне показалось особенно интересным из описания программы:
[hr]
Readme
-= Snoop Detect 1.1 by Vaskovich =-
---------------------------------------------------------------------------
1. Что это такое.
---------------------------------------------------------------------------
Для начала скажем, что такое snooper (sniffer, hooker, kbdspy etc..). Это такая софтина, цель которой - следить за вашей клавиатурой и скурпулезно записывать все, что вы набрали, в файл.
Такие вещи обычно ставят на ваш компьютер (незаметно для вас, конечно) ваши маленькие братики, боссы, детишки и прочие кул хакеры с целью извлечения всевозможных паролей, логов чатов, а также для мониторинга адресов посещенных сайтов и все такое прочее. Естественно, никто такого
беспредела терпеть на своем компьютере не хочет. Ну а раз так, необходимо как-то узнать, следят ли за вами или нет в какой-то ответственный момент времени, что, собственно, данная
программа и делает.
-----------------------------------------------------------------------------
2. Отличия от других подобных программ.
-----------------------------------------------------------------------------
Разумеется, идея создания детектора клавиатурных шпионов возникла очень давно. То есть как только какой-то программист создал первый снупер, другой его обхитрил и создал детектор того
самого снупера. Так что вывод прост - детекторов можно найти до фига и еще немножко. Чем же отличается мой Snoop Detect от десятков других? Все остальные детекторы работают по принципу сканера, то есть они проверяют все программы в памяти или на жестком диске и решают, является ли какая нибудь из них шпионом. Проще говоря, все они работают по принципу антивирусов.
Проблема заключается в том, что снуперов существует огромное количество. Любой мало мальски грамотный кодер меньше чем за полчаса может создать свой собственный снупер, и даже ваша
сестренка, овладев Visual Basic'ом и азами WinAPI, может написать примитивный сниффер. Кодеры получше не затруднятся реализовать простенькую схему переименования основных файлов, или даже
создадут полиморфный движок (благо полиморфных вирусов с документированными исходниками ОЧЕНЬ много). Все это очень осложняет схему сканера, и фактически делает его бесполезным в случае
самопального снупера. Так как сканеру необходимо знать о всевозможных (в том числе и мало известных) шпионах, размер соответствующих программ получается очень большой (от 1 до 8 мег),
также для обеспечения достаточной безопасности вам придется регулярно обновлять базы сканера.
Snoop Detect весит всего 3920 байт (3.8 kb!) и не содержит вообще никаких баз, и тем не менее обнаруживает присутствие почти всех шпионов (в том числе никому и даже мне не известных). Что же такое он делает? Не углубляясь в технические подробности, объяснить это "на пальцах"
довольно непросто; Snoop Detect всего навсего проверяет, шпионит ли кто за ним или нет ;-)
В всеми любимой OS windoze существует несколько способов перехвата сообщений от клавиатуры, и при реализации любого из них появляются некоторые, так скажем, побочные эффекты, которые сводят к нулю неуловимость снупера. Snoop Detect является своего рода эвристиком, который регистрирует всевозможные аномалии и на основе полученных результатов сообщает, шпионят за вами или нет.
----------------------------------------------------------------------------
3. Возможности.
-----------------------------------------------------------------------------
- Snoop Detect позоляет вам с большим процентом вероятности определить наличие активного клавиатурного шпиона (программы или ее компоненты, следящей определенным образом в данный момент за клавиатурой).
- Snoop Detect не может в принципе сообщить вам о названии клавиатурного шпиона, способа его загрузки, имени производителя и так далее, так как Snoop Detect не знает ничего о каком либо конкретном клавиатурном шпионе.
- Snoop Detect не позволяет деактивировать клавиатурные шпионы (удалять их из памяти, с жесткого диска и так далее).
- Эвристик Snoop Detect не гарантирует обнаружение всех возможных способов слежки за клавиатурой (если кто-то додумается заменить стандартный драйвер клавиатуры своим со встроенным сниффером, то все бонусы его).
- Snoop Detect обнаруживает _только клавиатурный_ шпионаж. (Многие коммерческие снифферы позволяют, например, делать скриншоты. Такая деятельность использует абсолютно иные алгоритмы, и, следовательно, пройдет незамеченной.)
Почему именно так? Можете не хвалиться своей новой версией SpyBot, обнаруживающей N-ое число шпионов. Если за вами следят, так ли важно знать, какой именно снупер для этого используют?
Большинство шпионов не на столько продвинуты, чтобы невозможно было определить вручную, как они стартуют, так как девяносто пять шпионов из ста используют заюзанные до дыр методы: реестр, win.ini, автозагрузка и прочий отстой, но об этом чуть позже. Шансы подцепить что-либо оригинальное невероятно малы, тем более в следующих версиях я буду совершенствовать эвристик.
(с)Vaskovich
[hr]
Нужно просто набрать что угодно на клавиатуре в окне программы и посмотреть, какой загорится свет: зеленый или красный :) Зеленый - значит, все в порядке.
Я потестил на этом кейлоггере http://www.danil.com.ua/dks14.zip
и программа оказалась эффективной - загорелась красная лампа при активном кейлоггере и программа написала мне правильный путь к подозрительному модулю (который был одним из файлов кейлоггера).
Скачать программу можно с офиц. сайта (http://nosnoopz.narod.ru/SnoopDetect.zip)
или скачать прикрепленный файл: