-
Олег, вы меня неверно поняли.
Ваши статьи я сейчас прочитал - там описаны механизмы их работы, виды кейлоггеров, способы считки и т.д, но нету описания таких мер по безопасности какие вы описали в вашем посте в этой теме и нету рекомендаций что делать если в системе стоит какой-либо кейлоггер - т.е юзер точно знает, что он стоит или только-что поставлен - как не потерять пароли, но все равно их вводить - примерные мысли я описал в своем посте выше.
...
там мало советов таких хороших и они по сравнению с теми которые выше какие-то "не совсем те".
я за статью, где будет описана именно борьба с кейлоггерами - причем без советов использовать какой-то определенный софт по борьбе с ними...
Последний раз редактировалось priv8v; 15.08.2008 в 10:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
priv8v
Олег, вы меня неверно поняли.
Ваши статьи я сейчас прочитал - там описаны механизмы их работы, виды кейлоггеров, способы считки и т.д, но нету описания таких мер по безопасности какие вы описали в вашем посте в этой теме и нету рекомендаций что делать если в системе стоит какой-либо кейлоггер - т.е юзер точно знает, что он стоит или только-что поставлен - как не потерять пароли, но все равно их вводить - примерные мысли я описал в своем посте выше.
...
там мало советов таких хороших и они по сравнению с теми которые выше какие-то "не совсем те".
я за статью, где будет описана именно борьба с кейлоггерами - причем без советов использовать какой-то определенный софт по борьбе с ними...
ну, в принципе написать такую статью можно ... На самом деле защититься от утечки паролей (за счет кейлоггера, тряона ...) просто - достаточно перейти на USB-ключи или иные виды аппаратной авторизации
-
-
будем ждать и надеятся
-
жучки
Думаю, тема клавиатурных жучков (КЖ) не столь экзотична. Сейчас на рынке их довольно много, и они дешевеют. Даже сейчас они стоят довольно недорого. А работа предельно проста, даже нередко проще чем устанавливать соответствующую программу. А кто проверяет штекер клавиатуры своего системного блока? Наверно, только агенты 007. Так что КЖ - это серьезный вопрос.
Повторюсь, КЖ - это очень просто и доступно. И никакое визуальное наблюдение не сравнится с КЖ - там нужен оператор, который будет отслеживать, а тут воткнул, потом достал - 10 секунд, и все AES в полной...
Но, наверное, через жучок клавиатура определяется как-то немного иначе, может есть способ контролировать через программу?
Я уж не говорю, что шпионы с http://softexpro.ru/ вообще не определяются AVZ.
-
Сообщение от
tar
Не может быть А c:\documents and settings\<имя юзера>\local settings\application data\softex\expert\services.exe c атрибутом "скрытый" в логе (в процессах и автозапуске) + C:\Documents and Settings\<имя юзера>\Local Settings\Application Data\SoftEx\Expert\exmon.dll (загруженные DLL) ? Просто этот шпион столь примитивен, что никак не маскируется (кроме атрибута "скрытый" на своих файлах), что может быть обнаружен и прибит без всяких специальных средств самим юзером ...
Добавлено через 3 минуты
Сообщение от
tar
Но, наверное, через жучок клавиатура определяется как-то немного иначе, может есть способ контролировать через программу?
В простейшем случае он стоит параллельно клавиатуре и совершенно никак не не обнаружим ...
Последний раз редактировалось Зайцев Олег; 15.08.2008 в 20:44.
Причина: Добавлено
-
-
никак не маскируется (кроме атрибута "скрытый" на своих файлах)
лол)) 
что-бы не возникло разговора далее, что его не только авз не видит, но еще и каспер с ним не знаком, скажу, что каспер палит его как:
Monitor.Win32.ScreenMonitor.f
-
ну тогда, аймсори ....
Прогресс не стоит на месте
Хотя, как перехватчик с клавиатуры - AVZ его не палит, т.е. только по сигнатуре и по подозрителным штучкам.
-
Судя по сообщению Олега, там не сигнатура и не подозрение - а проcто кейлоггер виден в протоколе исследования системы AVZ. В "Помогите!" так зловредов и находят - по анализу лога AVZ.
-
-
В целом, как я понял, с жучками глухо, мой вопрос закрыт.
По таму кейлогу все понятно - не надо больше комментариев - AVZ сила.
-
дабы избежать лишних споров по тому как именно АВЗ его палит (сигнатурно, так как сказал Олег, по подозрению на кейлогг или еще как-то..) я его решил поставить, опишу что было при этом:
1). Реакция каспера на данное ПО: при закачке инсталлятора пришлось нажать кнопку "Пропустить" - дабы удалось скачать. При установке 2 раза нажал на кнопку "Добавить в доверенную зону"
2). Реакция АВЗ при сканировании:
При проверке процессов и при проверке харда (2 раза т.е) обнаружил Monitor.Win32.ScreenMonitor.f (екзешник по тому адресу, который указал Олег)
А при выполнении второго стандартного скрипта и в процессах и во внедренных длл было обнаружено то, что выше сказал Олег, да и сам ехешник там еще был указан. В автозагрузке ехешник тоже наблюдался вот тут:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ExMon
сигнатурным детектом он также был обнаружен (список подозрительных объектов и в текстовой части лога).
Огорчило другое: как на кейлоггер на него АВЗ не ругался
Олег, почему? Или он не ведет себя как кейлоггер, а просто копирует себе текст из окна где текст был напечатан?
Немного по программе: программа удобная и проста в использовании, и обнаружить ее тоже просто
-
Зайцев Олег, Желателен скрипт для отключения восстановления системы- уже порядком надоело просить отключить восстановление системы 
-
-
а может стоит включить обнаружение наличия перехватов функций для работы с клипбоардом?...
например функции работы setclipboarddata и closeclipboard - смотреть не следит ли кто за обменом данными с б.о и не смотрит ли кто, допустим, что там после закрытия. Извините за корявое объяснение мысли, но думаю, что она понятна.
Также можно попробовать дразнить денежные трояны путем помещения туда (в clipboard) информации подходящей по маске этим данным (как пример - кошель вебмани).
Также можно создать какое-либо невидимое пользователю окно - посмотреть не мониторит ли кто это.
PS: если подобное уже реализовано в АВЗ, то прошу меня простить за мою некомпетентность...и дать ссылку.
-
В свойствах файла avz.exe указана, скажем так, не совсем свежая версия
-
-
Сообщение от
priv8v
Олегу Вас очень хорошая и серьезная тулза, но в бочку меда хорошую ложку дегтя добавляет большое кол-во опечаток в файле version.txt в архиве с прогой. Опечаток очень много - режут глаза. На новенького произведут впечатление, что автору "пофиг" на тулзу, да и сама тулза не стоит внимания. Сам знаю, что это не так. Но лучше будет все-таки без опечаток в описаниях версий.*
Может быть, стоит поменять хронологию версий AVZ снизу вверх для более удобного чтения последних изменений программы? А вообще, приятно читать файл version.txt, в том смысле, что живо представляется история развития этой программы.
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
drongo
Зайцев Олег, Желателен скрипт для отключения восстановления системы- уже порядком надоело просить отключить восстановление системы
А такое не поможет? 
SetServiceStart('srservice', 4);
-
Сообщение от
pump
А такое не поможет?
SetServiceStart('srservice', 4);
Код:
begin
StopService('srservice');
SetServiceStart('srservice', 4);
end.
что то на подобие... просто охота чтоб эта возможность была в стандартных скриптах
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
zerocorporated
Код:
begin
StopService('srservice');
SetServiceStart('srservice', 4);
end.
что то на подобие... просто охота чтоб эта возможность была в стандартных скриптах
Ну и в чем радость видеть это в стандартных скриптах? Один черт придеться писать в теме "Помогите" либо "юзер-отключи восстановление системы нажав вот это !!!"", либо заветные строчки "SetServiceStart"
-
Этот скрипт нужно отдельно делать,
или можно в лечение в самый верх скрита вставлять??
да,., и что означает параметр 4, и какие еще есть???
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
Hanson
Этот скрипт нужно отдельно делать,
или можно в лечение в самый верх скрита вставлять??
да,., и что означает параметр 4, и какие еще есть???
Параметры:
1-загрузка в ходе начальной загрузки системы
2-режим AUTO автоматическая загрузка
3-ручной запуск
4-загрузка запрещена
форум подколбасивает
Последний раз редактировалось pump; 22.08.2008 в 10:40.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
Легальное использование AVZ
Помогите разобраться с возможностью легального использования AVZ. В лицензии сказано, что программа распространяется бесплатна для некоммерческого использования. А какие условия для ее использования в рамках сети коммерческого предприятия? Если платно, то сколько стоит, как и куда платить?
