Микрокамера змея snake
Клавиатурные шпионы образуют большую категорию вредоносных программ, представлющую большую угрозу для безопасности пользователя.
О которых шла речь в предыдущей статье, клавиатурные шпионы не являются вирусами, т.К. Клавиатурные шпионы - это программа микрокамера змея snake для скрытной записи информации о нажимаемых пользователем клавишах. У термина «клавиатурный шпион» есть ряд синонимов: k eyboard l ogger, keylogger.
Кейлоггер; реже встречается термины "снупер", "микрокамера змея чрно белая микрокамера snake snoop", "snooper" (от англ. Snoop - буквально "человек, вечно сующий нос в чужие дела") как правило, современные микрокамера змея snake микрокамера змея snake клавиатурные шпионы не просто записывает коды вводимых клавиш микрокамера змея snake - он "привязывает" клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера микрокамера змея snake обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем.
Записываемая информация сохраняется на диске и большинство современных клавиатурных шпионов микрокамера мд98 могут формировать различные отчеты, микрокамера змея snake могут передавать их по электронной почте или http/ftp протоколу.
Кроме микрокамера змея snake того, ряд современных клавиатурных шпионов пользуются rootkit технологиями для маскировки следов своего присутствия в системе.
Для системы клавиатурный шпион, как правило, безопасен. Однако он чрезвычайно опасен для пользователя – е его помощью можно перехватить пароли и прочую конфиденциальную информацию, вводимую микрокамера змея snake микрокамера змея snake пользователем. К сожелению, в последнее время известны сотни разнообразных келоггеров, причем многие из них не детектируются антивирусами.
Перед описанием основных принципов работы клавиатурного шпиона необходимо рассмотреть модель аппаратного ввода системы windows.
Достаточно подробное описание этой модели можно найти в книге д.Рихтера « windows для профессионалов».
При возникновении неких событии ввода (нажатии клавиш, перемещении мыши) события обрабатываются соответствующим драйвером и помещается в системную очередь аппаратного ввода.
В системе имеется особый поток необработанного ввода, называемый rit ( raw input thread ), который извлекает события из системной очереди и микрокамера змея snake преобразует их в сообщения.
Полученные сообщения помещаются в конец очереди виртуального ввода одного из потоков (юсб микрокамера змея snake для микрокамеры виртуальная очередь потока называется viq – virtualized input queue ).
При этом rit сам выясняет, в очередь какого конкретно потока необходимо поместить событие.
Для событий мыши поток определяется поиском окна, над которым расположен курсор мыши. Клавиатурные события отправляются только одному потоку – так называемому активному потоку (т.Е. Потоку, которому принадлежит окно, с которым работает пользователь).
На самом деле это не совсем так - в частности, на рисунке показан поток a.
В данном случае микрокамера змея snake получатся, что потоки a и b совместно используют одну очередь виртуального ввода.
Это достигается при помощи вызова микрокамера змея snake api функции attachthreadinput.
Которая позволяет одному потоку подключиться к очереди виртуального ввода другого потока.
Следует отметить, что поток необработанного ввода отвечает за обработку специальных сочетаний клавиш, в частности alt + tab и ctrl + змея микрокамера змея snake alt + del .
Слежение за клавиатурным вводом при помощи ловушек данная методика является классической для клавиатурных шпионов. Суть метода состоит в применении механизма ловушек ( hook ) операционной системы. Ловушки позволяют наблюдать за сообщениями, которые обрабатываются окнами других программ.
Установка и удаление ловушек микрокамера змея snake производится при микрокамера и наушник помощи хорошо документированных функций api библиотеки user 32.
Dll (функция setwindowshookex позволяет установить ловушку, unhookwindowshookex микрокамера snake змея - снять ее).
При установке ловушки указывается тип сообщений, для которых должен вызываться обработчик ловушки. В частности, микрокамера змея snake есть два специальных типа ловушки wh_keyboard и wh_mouse - для регистрации событий клавиатуры и мыши соответственно. Ловушка микрокамера змея snakeмикрокамера змея snake strong> может быть установлена для заданного потока и для всех потоков системы. Ловушка для всех потоков системы микрокамера змея snake очень удобна для построения клавиатурного шпиона. Код обработчика событий ловушки должен быть расположен в dll. Это требование связано с тем, что dll с обработчиком ловушки микрокамера змея snake snake змея микрокамера проецируется системой в адресное пространство всех gui процессов. Интересной микрокамера змея snake особенностью является то, что проецирование dll происходит микрокамеры на егэ не микрокамера змея snake в момент установки ловушки, а при получении gui процессом первого сообщения, удовлетворяющего параметрам ловушки.
На прилагаемом компакт-диске имеется демонстрационный «клавиатурный шпион», построенный на основе ловушки.
Он регистрирует клавиатурный ввод во всех gui приложениях и микрокамера миникамера дублирует вводимый текст на своем окне. Данный пример можно использовать для тестирования программ, противодействующих клавиатурных шпионам.
Методика ловушек достаточно проста и эффективна, но у нее есть ряд недостатков.
Первым недостатком можно считать то, что dll с ловушкой проецируется в адресное пространство всех gui процессов, что может применяться для обнаружения клавиатурного шпиона.
Кроме того, регистрация событий клавиатуры возможна только для gui приложений, это легко проверить при помощи демонстрационной программы.
Слежение за клавиатурным вводом при помощи змея микрокамера snake опроса клавиатуры данная методика основана на периодическом опросе состояния клавиатуры.
Для опроса состояния клавиш в системе предусмотрена специальная функция getkeyboardstate, возвращающая массив из 255 байт, микрокамера змея snake микрокамера змея snake в котором каждый байт содержит состояние определенной клавиши микрокамера snake змея на клавиатуре.
Данный метод уже не требует внедрения dll в gui процессы и в результате шпион менее заметен. Однако изменение статуса клавиш происходит в момент считывания потоком клавиатурных сообщений из его микрокамеры в видео очереди, и в результате подобная методика работает только для слежения за gui приложениями.
От этого недостатка свободна функция getasynckeystate, возвращающая состояние клавиши на момент вызова функции.
На прилагаемом компакт-диске имеется демонстрационный «клавиатурный шпион», построенный на основе циклического опроса клавиатуры – приложение kd 2. Недостатком клавиатурных шпионов такого типа является необходимость периодического опроса состояния клавиатуры с достаточно высокой скоростью, не менее 10-20 опросов в секунду. Слежение за клавиатурным вводом при помощи перехвата api функций данная методика не получила широкого распространения, но тем не менее она может с успехом применяться для построения клавиатурных шпионов.