‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创]键盘记录工具BlueStar Beta v1.99

wwwst

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
262 
精华
4 
积分
4170 
阅读权限
100 
在线时间
289 小时 
注册时间
2005-1-1 
最后登录
2008-7-7 
楼主 发表于 2007-12-28 11:22  只看该作者

[原创]键盘记录工具BlueStar Beta v1.99

软件作者:丰初(wwwst)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

说明:
一:無進程
二:體積小(6K)
三:佔用資源小,幾呼不佔用資源
四:還沒有想到,娃哈哈,XX
注意:此程序记录为键盘驱动记录,只能记录被中机器所对应的物理键盘操作。

程序大小6K,附件里包含动画使用教程。

附件

myklog.rar (1.53 MB)

2007-12-28 11:22, 下载次数: 2896

倚剑天涯过客,细水竹楼,杏酒花雨一杯,把酒歌,柳絮东来燃花,歌谓吾忧,孤影月下寻欢,清明花谢,谢落细柳坟前;一杯酒,一人饮尽一人冥,两茫茫,香尽人绝,唯有碧中血;---------------丰初

TOP

sudami

大米米

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
238 
精华
6 
积分
5545 
阅读权限
150 
性别
男 
在线时间
1108 小时 
注册时间
2007-1-10 
最后登录
2008-7-7 
沙发 发表于 2007-12-28 23:07  只看该作者
汗,我这里运行失败。

不过看样子是大叔你DIY版的KLOG  :)

--->>加载个驱动,创建文件驱动,附着到设备堆栈---->>FSD 拦截 IRP_MJ_READ---->>然后在DISPATCH层创建线程利用SEMAPHORE等待满载而归的IRP---->>ZwWriteFile纪录之...


。呵呵,如果不是KLOG,那也应该是个类似的文件过滤驱动

科普用:http://www.rootkit.com/newsread_print.php?newsid=187

附件里面是KLOG的源码和.sys

附件

Klog 1.0.zip (16 KB)

2007-12-28 23:07, 下载次数: 143

Snap1.gif (5 KB)

2007-12-28 23:07

Snap1.gif

WINDOWS内核疯狂爱好者

TOP

█黑夜网客█

晶莹剔透§烈日灼然

Rank: 1

帖子
50 
精华
0 
积分
172 
阅读权限
40 
在线时间
24 小时 
注册时间
2007-7-7 
最后登录
2008-5-7 
椅子 发表于 2007-12-29 07:27  只看该作者
郁闷效果不怎么样,比如魔域密码就显示不出来
东邪

TOP

sudami

大米米

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
238 
精华
6 
积分
5545 
阅读权限
150 
性别
男 
在线时间
1108 小时 
注册时间
2007-1-10 
最后登录
2008-7-7 
板凳 发表于 2007-12-29 08:40  只看该作者
这个不像R3下的,创建远程线程等来盗取密码。

仅仅是个小型的文件过滤驱动。纪录所有的键盘操作,不分密码还是其他的。

不过想增强的话就靠自己改进咯~~

eg.在sys中HOOK点儿函数(ZwCreateProcessEx...)or 调用PsSetCreateProcessNotifyRoutine 。。。监视进程的创建。当发现用户启动了QQ进程时,唤醒内核态等待的线程,此时纪录下用户的键盘操作。一次可能不准,但多次纪录,再分析比照。就能大致搞到密码啦。加个后台压缩后发送到邮箱的功能也可以的[见kanxue的一篇“U盘小偷”的文章].

吼吼,其他的比如游戏的同理,MS这样可以过360safeBox 和NP?

55555555~
WINDOWS内核疯狂爱好者

TOP

wwwst

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
262 
精华
4 
积分
4170 
阅读权限
100 
在线时间
289 小时 
注册时间
2005-1-1 
最后登录
2008-7-7 
地板 发表于 2007-12-29 09:21  只看该作者
原版的每个安键占用4K内存.你看了源码不?而且不释放内存,这样子下去,运行到何时才会挂掉,,,,,,,,  
  与klog一样的原理,才取驱动重定摘取,,,,,,


非常感谢sudami,,你看下klog的源码,看下他的内存分配吧....  
倚剑天涯过客,细水竹楼,杏酒花雨一杯,把酒歌,柳絮东来燃花,歌谓吾忧,孤影月下寻欢,清明花谢,谢落细柳坟前;一杯酒,一人饮尽一人冥,两茫茫,香尽人绝,唯有碧中血;---------------丰初

TOP

wwwst

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
262 
精华
4 
积分
4170 
阅读权限
100 
在线时间
289 小时 
注册时间
2005-1-1 
最后登录
2008-7-7 
6楼 发表于 2007-12-29 09:25  只看该作者
引用:
引用第3楼sudami于2007-12-29 08:40发表的 :
这个不像R3下的,创建远程线程等来盗取密码。

仅仅是个小型的文件过滤驱动。纪录所有的键盘操作,不分密码还是其他的。

不过想增强的话就靠自己改进咯~~
.......
你说的是,这个是小型的文件驱动....  这个东东在我蓝屏N次后搞出来的,郁闷,,,,,,,,,
  你有开发驱动经验不? 这个我也是刚刚入门没有多久的,希望多多指教.非常感谢

还有,这类的文件驱动,我发现,在工行的键盘控制安装之前,安装上这类型的文件驱动就可以记录工行登录的密码了,具体还没有详细研究............
倚剑天涯过客,细水竹楼,杏酒花雨一杯,把酒歌,柳絮东来燃花,歌谓吾忧,孤影月下寻欢,清明花谢,谢落细柳坟前;一杯酒,一人饮尽一人冥,两茫茫,香尽人绝,唯有碧中血;---------------丰初

TOP

sudami

大米米

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
238 
精华
6 
积分
5545 
阅读权限
150 
性别
男 
在线时间
1108 小时 
注册时间
2007-1-10 
最后登录
2008-7-7 
7楼 发表于 2007-12-29 09:59  只看该作者
啊,偶2个月前学滴KLOG,源码看了1天。估计那个键盘转换部分木有仔细看。
看样子WWWst牛牛也是研究透彻了啊

偶也是刚学习FSD, 偶们小菜入门学习NTFSI还是不错的,还有楚狂人的教程~
一个非计算机专业滴大3学生,木有开发经验。很期待啊。
WINDOWS内核疯狂爱好者

TOP

wwww23

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
在线时间
1 小时 
注册时间
2005-4-17 
最后登录
2008-4-24 
8楼 发表于 2007-12-30 02:36  只看该作者
相当郁闷,不知是人品问题还是系统不行,2003可以安装,但 myklog1 -remove 马上重启,现在都没卸掉,希望老大能帮忙解决一下

TOP

菊冬

晶莹剔透§烈日灼然

Rank: 1

帖子
11 
精华
0 
积分
41 
阅读权限
40 
性别
男 
在线时间
51 小时 
注册时间
2007-8-15 
最后登录
2008-5-5 
9楼 发表于 2007-12-30 04:03  只看该作者
在 SYSTEM32\DRIVERS\ 目录下找到最近的驱动。用unlock等强制删除即可.

TOP

linter

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
20 
阅读权限
40 
在线时间
19 小时 
注册时间
2005-2-26 
最后登录
2008-6-26 
10楼 发表于 2008-1-6 12:33  只看该作者
有壳的就算了,免杀不好搞~~楼主有心就把无壳的放上来

TOP

sound

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
在线时间
0 小时 
注册时间
2008-1-16 
最后登录
2008-1-16 
11楼 发表于 2008-1-16 23:16  只看该作者
这个东东在关机后重启会停止吗?

TOP

liuyes

晶莹剔透§烈日灼然

Rank: 1

帖子
31 
精华
0 
积分
98 
阅读权限
40 
在线时间
73 小时 
注册时间
2005-8-9 
最后登录
2008-5-21 
12楼 发表于 2008-1-26 14:51  只看该作者
重启、关机皆出错,WINXP

NND,不能上传附件,反正就是蓝屏

a problem has been detected and windows has been shut down to prevent damage to you computer.

driver_power_state_failure

TOP

sudami

大米米

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
238 
精华
6 
积分
5545 
阅读权限
150 
性别
男 
在线时间
1108 小时 
注册时间
2007-1-10 
最后登录
2008-7-7 
13楼 发表于 2008-1-26 15:10  只看该作者
丰初大叔丫.

你麻烦大咯,驱动不兼容呀

MS有几个都BSOD啦.
WINDOWS内核疯狂爱好者

TOP

乐莫

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
性别
男 
在线时间
0 小时 
注册时间
2007-12-30 
最后登录
2008-2-21 
14楼 发表于 2008-2-2 07:19  只看该作者
版主的东西还不错啊,基本差不出来啊。但是软件记录的参数好像无法自动分或者是换行

TOP

vxk

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
113 
精华
2 
积分
3311 
阅读权限
100 
在线时间
63 小时 
注册时间
2005-1-17 
最后登录
2008-7-3 
15楼 发表于 2008-2-2 12:02  只看该作者
直接hook ZwReadFile拦截Csrss.exe里的read就可以搞定记录了~如果你还要更深就hook ntuserXXXX在MESSAGE上做手脚~
在ntuserxxxxx上的手脚结合Attatch+Read可以取输入法的输入哦~~~
哈哈~~
[EST VIP] VXK/CVC.GB

TOP

vxk

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
113 
精华
2 
积分
3311 
阅读权限
100 
在线时间
63 小时 
注册时间
2005-1-17 
最后登录
2008-7-3 
16楼 发表于 2008-2-2 12:03  只看该作者
搞什么过滤呢~韩国鬼子有个ioapic的键盘记录很不错~
[EST VIP] VXK/CVC.GB

TOP

洋洋洒洒

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
66 
精华
0 
积分
289 
阅读权限
100 
性别
男 
在线时间
141 小时 
注册时间
2007-11-21 
最后登录
2008-7-7 
17楼 发表于 2008-2-4 23:36  只看该作者
引用:
原帖由 vxk 于 2008-2-2 12:02 发表
直接hook ZwReadFile拦截Csrss.exe里的read就可以搞定记录了~如果你还要更深就hook ntuserXXXX在MESSAGE上做手脚~
在ntuserxxxxx上的手脚结合Attatch+Read可以取输入法的输入哦~~~
哈哈~~ ...
喜欢直接的.:)
阿尔卑斯与八宝糖还有冷苹果

TOP

wistom

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
15 
阅读权限
40 
在线时间
1 小时 
注册时间
2006-1-17 
最后登录
2008-7-3 
18楼 发表于 2008-6-15 21:40  只看该作者
我用了 卸载不了 ,也重新安装不了 ,怎么搞呀

TOP

小拳头

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
20 
精华
0 
积分
2953 
阅读权限
100 
在线时间
23 小时 
注册时间
2008-1-1 
最后登录
2008-7-5 
19楼 发表于 2008-6-16 09:57  只看该作者

这个东东在关机后重启会停止吗?

这个东东在关机后重启会停止吗?

TOP

starrick

晶莹剔透§烈日灼然

Rank: 1

帖子
19 
精华
0 
积分
75 
阅读权限
40 
在线时间
5 小时 
注册时间
2008-4-25 
最后登录
2008-6-30 
20楼 发表于 2008-6-16 14:12  只看该作者
引用:
原帖由 vxk 于 2008-2-2 12:03 发表
搞什么过滤呢~韩国鬼子有个ioapic的键盘记录很不错~
你以为有那么简单?
看QQ吧,不用这个方法你能找出什么办法?NK在键盘中断做了手脚,只能用这个方法了吧(个人了解)
引用:
原帖由 wwwst 于 2007-12-29 09:25 发表



你说的是,这个是小型的文件驱动....  这个东东在我蓝屏N次后搞出来的,郁闷,,,,,,,,,
  你有开发驱动经验不? 这个我也是刚刚入门没有多久的,希望多多指教.非常感谢

还有,这类的文件驱动,我发现,在工行的键盘控制 ...
当然啦,驱动优先级别的问题啊
驱动也有优先级之分的

TOP

j10y

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
10 
阅读权限
40 
在线时间
2 小时 
注册时间
2005-6-1 
最后登录
2008-7-1 
21楼 发表于 2008-6-21 17:13  只看该作者
引用:
原帖由 vxk 于 2008-2-2 12:02 发表
直接hook ZwReadFile拦截Csrss.exe里的read就可以搞定记录了~如果你还要更深就hook ntuserXXXX在MESSAGE上做手脚~
在ntuserxxxxx上的手脚结合Attatch+Read可以取输入法的输入哦~~~
哈哈~~ ...
高手啊!!!什么什么什么的,能稍微稍微进一步提示一下吗?

TOP

huxin_hx

晶莹剔透§烈日灼然

Rank: 1

帖子
24 
精华
0 
积分
86 
阅读权限
40 
性别
男 
在线时间
16 小时 
注册时间
2007-6-2 
最后登录
2008-7-2 
22楼 发表于 2008-6-27 00:37  只看该作者
ioapic 有下载地址么?

TOP

j10y

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
10 
阅读权限
40 
在线时间
2 小时 
注册时间
2005-6-1 
最后登录
2008-7-1 
23楼 发表于 2008-6-27 12:24  只看该作者
我也删不掉.

C:\>myklog1 -remove
Stop service failed.

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题