Перейти к содержанию
p2u

Программа-Демо: Глазами Keylogger'a

Recommended Posts

p2u

Through the Eyes of a Keylogger

caab18077f79.png

В образовательных целях (для ваших детей и/или внуков, подружки-блондинки, бабушек, допустим), мне казалось интересным показать вам эту демо-программку. Вы увидите, какие возможности есть у простой программы типа key logger когда вы работаете на компе. Есть разные вариантиы работы (вкладка View). Программка (10,2 КБ) не требует установки; просто нажать кнопку 'Download'.

Несмотря на истерику вашей программы защиты,

a-squared Trojan.Win32.VB!IK

F-Secure: Trojan.Win32.VB.kll

Fortinet: W32/VB.G!tr

Ikarus: Trojan.Win32.VB

Kaspersky: Trojan.Win32.VB.kll

McAfee+Artemis: Generic!Artemis

Prevx1: Low Risk Test Virus

Sophos: Mal/VB-G

она, естественно, не храняет ничего, и не отправляет НИЧЕГО НИКУДА (это же Low Risk Test Virus в рекламных целях от австралийской компании Aplin Software, которая продаёт защиту от keylogger'ов). Соблюдайте, пожалуйста, просьбу автора не делать её доступной для загрузки на других ресурсах.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Никто здесь пока не реагировал, но на wilderssecurity тестировали свои программы HIPS, и результаты удивляют: многие программы HIPS не могут успешно проходить тест полностью...

(может быть поэтому некоторые добавили тест в базы вирусов, а? ;))

P.S.: Что бы ваш анти-вирус ни говорил - ЭТО НЕ ВИРУС, а ТЕСТ!

Through the Eyes of a Keylogger versus HIPS

Comodo:

Keys logging -- CFP Passed

Logging of Applications launched n web sites visited --- CFP Failed

Clipbpard logging ---- CFP failed

Screen capture ---- CFP PASSED

GesWall:

Keys logging -- GW Passed

Logging of Applications launched n web sites visited --- GW Failed

Clipbpard logging ---- GW failed

Screen capture ---- GW Passed

DefenseWall:

Keys logging -- Passed (inform about this event, but if you don't click Terminate button - then failed (keys still will be logging)

Logging of Applications launched n web sites visited --- Failed

Clipboard logging ---- Passed (DW inform about this event, and again you have to press Terminate button on notification to close rogue application)

Screen capture ---- Passed

Online Armor (paid v.3.1.0.26):

Keys logging -- Passed

Logging of Applications launched n web sites visited --- Failed

Clipboard logging ---- Passed/Failed (OA only shows an information about that the running software will be able to record what you type - no any information about Clipboard logging)

Screen capture ---- Passed

Zemana:

Keys logging -- Passed

Logging of Applications launched and web sites visited --- Failed

Clipbpard logging ---- Failed

Screen capture ---- Passed

OPFW:

Pop-up for all but failed all also.

Keys logging Passed

Screen capture Failed

Clipbpard logging Failed

Malware Defender 2.1.0 beta:

All 4 Passed

etc.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

забавная штука

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Никто здесь пока не реагировал...

Что бы ваш анти-вирус ни говорил - ЭТО НЕ ВИРУС, а ТЕСТ!

Сразу я не понял, что вы хотите нам предложить сделать.

Сейчас keylogger_v1_0_0.exe скачал и запустил на выполнение.

У меня на этом ПК стоит только Антивирус Dr.Web 5.0 - он не стал мешать результатам теста.

Тест прошёл - в окне я видел как перемещался скрин. Потом просто закрыл окно тест-программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Сразу я не понял, что вы хотите нам предложить сделать.

На этот тест должна на самом деле реагировать программа HIPS - во вкладке View есть 4 режима...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

-=исправлено=-

Понял. Исправил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Хипс КИС давит сей тест во всех трех режимах теста (при условии отключения файлового ав из-за фолсы и ручного помещения в слабые ограничения - КИС автоматом кидает тест в недоверенные).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×