반응형

 

파이썬 해킹 프로그래밍으로 현재 디버기를 만들고 있는 상황인데

Context 값을 얻어오지 못하는 현상이 발생했다.

과연 무엇 때문에 그럴까????

 

>>>>> 현재 내 환경은 Windows7 64bit 이다.

 

Enter The PID of the process to attach to : 3692
[*] Select PID 3692
[*] OpenProcess Handle : 124
[*] self.h_process : 124
[*] Enumerate Thread inside
[*] Dumping registers for Thread ID: 0x00001928
[*] EIP : 0x00000000
[*] ESP : 0x00000000
[*] EBP : 0x00000000
[*] EAX : 0x00000000
[*] EBX : 0x00000000
[*] ECX : 0x00000000
[*] EDX : 0x00000000
[*] End DUMP

이유는 64bit에서는 32bit 레지스터를 사용하지 않는다.

따라서, RIP, RSP, RBP 등등 확장된 레지스터를 사용하기 때문에 담는 그릇도 틀리다.

32bit에서 실행할 경우 아래와 같이 출력이 가능하다.

 

 

32bit 

 64bit

Enter The PID of the process to attach to : 3364
[*] Select PID 3364
[*] OpenProcess Handle : 1900
[*] self.h_process : 1900
[*] Enumerate Thread inside
[*] Dumping registers for Thread ID: 0x00000d1c
[*] EIP : 0x7c93e514
[*] ESP : 0x0007fde0
[*] EBP : 0x0007fdfc
[*] EAX : 0x00b50088
[*] EBX : 0x00000000
[*] ECX : 0x00001f40
[*] EDX : 0x000adea8
[*] End DUMP
[*] Dumping registers for Thread ID: 0x000001d0
[*] EIP : 0x7c9820ec
[*] ESP : 0x00acfff8
[*] EBP : 0x00000000
[*] EAX : 0x00000000
[*] EBX : 0x00000001
[*] ECX : 0x00000002
[*] EDX : 0x00000003
[*] End DUMP
[*] finished debugging. Exiting...

[*] self.h_process : 124
[*] Enumerate Thread inside
[*] Get Thread Context inside
[##] Thread Handle : 0xac
[*] Dumping registers for Thread ID: 0x00001dc0
[*] RIP : 0x0000000002535318
[*] RSP : 0x000000000021f690
[*] RBP : 0x000000000021f470
[*] RAX : 0x000000000021f6a0
[*] RBX : 0x0000000000001100
[*] RCX : 0x000000000258c0b8
[*] RDX : 0x000000000021f470
[*] End DUMP
[*] Get Thread Context inside
[##] Thread Handle : 0xac
[*] Dumping registers for Thread ID: 0x000003c0
[*] RIP : 0x0000000002535318
[*] RSP : 0x000000000021f690
[*] RBP : 0x000000000021f470
[*] RAX : 0x000000000021f6a0
[*] RBX : 0x0000000000001100
[*] RCX : 0x00000000738e692d
[*] RDX : 0x000000000021f470
[*] End DUMP

 

이런 어처구니 없는 삽질을 할 줄이야...ㅡ.ㅡ;;;

다른 사람은 이런 일이 없길....

 

반응형
저작자표시

'프로그래밍 > Python' 카테고리의 다른 글

Windows 7에서 GetModuleHandle 사용하기  (0) 2013.07.12
64bit debugger 만들기  (0) 2013.07.02
python thread context 보기(win7 64bit)  (2) 2013.07.02
Context 32bit / 64bit 선언  (0) 2013.06.29
GetLastError() - 0x00000032  (0) 2013.06.27
반응형

SyntaxError: Non-ASCII character 의 경우 코드내에 Unicode 형태의 문자열이 있을때 발생한다.

따라서, Unicode형 문자열이 있을 때는 아래와 같이 첫 줄에 추가해 주면 해결이 된다.

 

# -*- coding: euc-kr -*-

 

or

 

UTF-8 : #-*- coding: utf-8 -*-

 

or

 

CP949 : # -*- coding: cp949 -*-

 

참고하길...

반응형
저작자표시
반응형

:출처: http://www.compulogy.org/?tag=0x00000032

ERROR_NOT_SUPPORTED

Tags: , , , , , , , , , , , ,

While running code examples from the awesome “Gray Hat Python” book by Justin Seitz, I kept getting the ERROR_NOT_SUPPORTED (error code 0×00000032) error while trying to attach to a running process using the DebugActiveProcess call in the Microsoft Windows kernel32.dll shared library. Other folks seem to have had the same problem. Fortunately, after some brief reading of the Microsoft’s MSDN pages, the problem turns out to be rather trivial.

According to MSDN page on Win32 error codes, the ERROR_NOT_SUPPORTED code indicates that (what a surprise!) the request is not supported. That is, the call to the DebugActiveProcess method is not supported for the particular application (a python-based debugger in this case).  The MSDN page on kernel and user mode states that “a processor in a computer running Windows has two different modes: user mode and kernel mode. [...]  Applications run in user mode, and core operating system components run in kernel mode.” Finally, on the MSDN page on choosing the 32-Bit or 64-Bit debugging tools, we find that debugging live user-mode code that is running on the same computer as the debugger requires the use of the 64-bit tools for debugging 64-bit code (and 32-bit code running on WOW64).

So the solution to the above problem is simply to install the 64-bit version of the Python interpreter. And don’t forget to set the 64-bit interpreter in the project settings in case you’re using Eclipse following the recommendation in Seitz’s book.

 

##########################################################

결론 :::::  32bit python을 64bit 환경에서 사용하면 안된다~!!!

반응형
저작자표시

'프로그래밍 > Python' 카테고리의 다른 글

Windows 7에서 GetModuleHandle 사용하기  (0) 2013.07.12
64bit debugger 만들기  (0) 2013.07.02
python thread context 보기(win7 64bit)  (2) 2013.07.02
Context 32bit / 64bit 선언  (0) 2013.06.29
Context 못 가지고 오는 이유???왜 일까???  (0) 2013.06.28
반응형

 

 

분석한 내용을 최대한 공개 하려고

정리하고 글을 올리는데~!!

된장알...

 

무슨 광고 댓글이 이리 많이 달리는지 -_-+

췟~!!!

 

다 차단해주겠다~!!!

다시 오명을 쓸 수 없도닷~!!!!

반응형
저작자표시

'Etc > 思現' 카테고리의 다른 글

다시 시작...  (0) 2023.01.13
나의 MBTI는 2014년도 2021년 같다!  (0) 2021.12.27
[crattack] 나의 성향은??? MBTI 테스트 결과  (0) 2014.02.20
보안 업무를 하면서....  (2) 2012.07.18
사랑비를 기다리며....  (0) 2012.05.03
반응형

분석을 하다보니,

실행시킬 프로그램에서 CreateProcess를 통해 프로세스가 실행 되는 구간이 발생한다.

그럴땐, 어떻게 분석해야 할지 난감해진다.

 

전체적으로 어떤 과정을 통해 실행되는지 확인을 하고 싶은데,

해당 Process는 접근 하기엔 이미 메모리에 다 올라간 상태이며 분석이 어렵게 된다.

따라서, 그런 과정일 경우 분석하는 방법을 소개 하겠다.

 

프로그램이 실행 되는 그림은 다음과 같다.

 

 

이럴 경우 CreateProcess 함수의 6번째 인자에 집중할 필요가 있다.

CreateProcess 함수의 6번째 인자는 CreationFlags 로써, 아래의 Flags를 갖는다.

 

(참조 : http://msdn.microsoft.com/en-us/library/windows/desktop/ms684863(v=vs.85).aspx)

 Constant/value  Description
 
CREATE_DEFAULT_ERROR_MODE
0x04000000
  

The new process does not inherit the error mode of the calling process. Instead, the new process gets the default error mode.

This feature is particularly useful for multithreaded shell applications that run with hard errors disabled.

The default behavior is for the new process to inherit the error mode of the caller. Setting this flag changes that default behavior.

 
CREATE_NEW_CONSOLE
0x00000010
  

The new process has a new console, instead of inheriting its parent's console (the default). For more information, see Creation of a Console.

This flag cannot be used with DETACHED_PROCESS.

 
CREATE_NO_WINDOW
0x08000000
  

The process is a console application that is being run without a console window. Therefore, the console handle for the application is not set.

This flag is ignored if the application is not a console application, or if it is used with either CREATE_NEW_CONSOLE or DETACHED_PROCESS.

 
CREATE_PROTECTED_PROCESS
0x00040000
  

The process is to be run as a protected process. The system restricts access to protected processes and the threads of protected processes. For more information on how processes can interact with protected processes, see Process Security and Access Rights.

To activate a protected process, the binary must have a special signature. This signature is provided by Microsoft but not currently available for non-Microsoft binaries. There are currently four protected processes: media foundation, audio engine, Windows error reporting, and system. Components that load into these binaries must also be signed. Multimedia companies can leverage the first two protected processes. For more information, see Overview of the Protected Media Path.

Windows Server 2003 and Windows XP:  This value is not supported.
 
CREATE_SUSPENDED
0x00000004
  

The primary thread of the new process is created in a suspended state, and does not run until the ResumeThread function is called.

 

제일 마지막에 보이는가?

CREATE_SUSPENDED

감을 잡은 사람이 있을 것이다. 해당 옵션으로 CreateProcess를 할 경우 이 녀석은 PID를 가진 얼음과 같이 얼어버린 상태가 된다.

 

따라서, CreatePrcess 함수를 호출하는 인자에서 6번째 인자를 "4"로 변경하고 분석을 하게 되면 프로그램이 시작하는 단계에서 부터 분석이 가능하게 되므로 아주 유용하게 사용할 수 있는 내용이다.

 

특히나, 대회, 악성코드 분석할때 많이 사용 될 것으로 보인다.

더 좋은 방법이 있다면 같이 공유하길 바라며, 이 글을 마친다.

 

반응형
저작자표시

'Reverse > 분석 문서' 카테고리의 다른 글

[WinDbg 따라하기 - 0x006] Map 파일 / Cod 파일 분석하기  (0) 2014.01.21
LoadLibrary와 GetMoudleHandle 의 차이  (0) 2013.07.03
악성파일이 자주 날라 오는 요즘...분석  (0) 2013.03.28
남들이 다한 320 샘플 분석...  (0) 2013.03.26
[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
반응형

Emulator의 경우 eclipse 나 Android SDK를 이용하는 방법도 있다.

엄청난 속도의 안드로이드 부팅 아래의 URL에서 ISO 파일을 받아 실행 하면 된다.

 

http://www.android-x86.org/download

 

부팅 이후 오른쪽 버튼은 back

Alt + F1 은 Shell

Alt + F7 은 UI 화면

 

이 정도만 알려주고 남어지는 google 아저씨에게 문의 하세요.^ㅁ^

 

 

 

반응형
저작자표시

'프로그래밍 > 안드로이드' 카테고리의 다른 글

Android 분석에 필요한 도구  (0) 2012.03.14
반응형

요즘 악성 파일들이 자주 날라오네요.

분석한 김에 정리한 내용을 올립니다.

 

 

 

doc 파일이라고 보이지만, 파일을 선택해 보면 exe 파일 임을 확인 할 수 있다.

 

해당 파일을 분석 해보면, 랜덤한 문자열을 생성한다.

srand() 이용

 

00401A3F  |.  50            PUSH EAX                                 ; /seed
00401A40  |.  FF15 00714000 CALL DWORD PTR DS:[<&MSVCRT.srand>]      ; \srand

 

랜덤한 문자열을 기반으로 2차 연산 과정을 걸쳐 실행파일 생성

 

 

 

해당 파일을 CreateProcessW를 이용하여 실행 이후 프로그램 종료.

 

gz2gh.exe 파일의 경우는 레지스트리의 "Software\Microsoft\Windows\CurrentVersion\Run\Google_Update"

추가하여 실행시 구동하게 한다.

 

 

외부 C&C 서버로 접속

 

war.geekgalaxy.com

revjj.syshell.org

 

해당 URL은 방화벽으로 차단하는 것이 좋을 것 같다.

(접속 로그를 확인하여, 감염 유무를 모니터링 하는 것도 하나의 방법이다.)

서버에서 kernel.dll 파일을 전송 받음.

 

 

ps ;

서버를 끊어버려서 kernel.dll 파일은 못 구했네요.

해당 파일을 분석 하고 싶은데 ㅎㅎㅎ 실망에선 좀 힘들고..어디 안전하게 받으신 분 있다면 연락주세요.^^/

 

 

 

 

 

 

반응형
저작자표시

'Reverse > 분석 문서' 카테고리의 다른 글

LoadLibrary와 GetMoudleHandle 의 차이  (0) 2013.07.03
자식 프로세스 분석 하기  (2) 2013.04.12
남들이 다한 320 샘플 분석...  (0) 2013.03.26
[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
반응형

지인에게서 받은 320에 사용한 샘플 파일을 구하였다.

해당 파일을 분석하는 과정에서 스크린샷도 없고 단순 메모장에 정리한 내용을 공유한다.

 

특별히 다른 분석서보다 잘한 것은 없지만,

나도 해봤다는 흔적을 남기는 목적으로 글을 공유한다.

 

 

 004023FA   .  53            PUSH EBX                                 ;  kernel32.7C7D353C
004023FB   .  55            PUSH EBP                                 ;  kernel32.7C7D0000
004023FC   .  56            PUSH ESI                                 ;  kernel32.7C7D7376
004023FD   .  57            PUSH EDI
004023FE   .  8B6C24 18     MOV EBP, DWORD PTR SS:[ESP+0X18]         ;  ApcRunCm.0040116C
00402402   .  8B45 3C       MOV EAX, DWORD PTR SS:[EBP+0X3C]
00402405   .  FF7405 78     PUSH DWORD PTR SS:[EBP+EAX+0X78]
00402409   .  FF7405 7C     PUSH DWORD PTR SS:[EBP+EAX+0X7C]
0040240D   .  8B5405 78     MOV EDX, DWORD PTR SS:[EBP+EAX+0X78]
00402411   .  03D5          ADD EDX, EBP                             ;  kernel32.7C7D0000
00402413   .  8B4A 18       MOV ECX, DWORD PTR DS:[EDX+0X18]
00402416   .  8B5A 20       MOV EBX, DWORD PTR DS:[EDX+0X20]
00402419   .  03DD          ADD EBX, EBP                             ;  kernel32.7C7D0000
0040241B   .  E3 70         JECXZ 0X0040248D
0040241D   .  49            DEC ECX
0040241E   .  8B348B        MOV ESI, DWORD PTR DS:[EBX+ECX*4]
00402421   .  03F5          ADD ESI, EBP                             ;  kernel32.7C7D0000
00402423   .  33FF          XOR EDI, EDI
00402425   .  FC            CLD
00402426   >  33C0          XOR EAX, EAX
00402428   .  AC            LODSB
00402429   .  3AC4          CMP AL, AH
0040242B   .  74 07         JE 0X00402434
0040242D   .  C1CF 0D       ROR EDI, 0X0D                                  ; 사용하는 함수의 리스트를 암호화 하여, 원래의 문구로 돌리는 중........
00402430      03F8          ADD EDI, EAX
00402432    ^ EB F2         JMP 0X00402426
00402434      3B7C24 1C     CMP EDI, DWORD PTR SS:[ESP+0X1C]
00402438    ^ 75 E1         JNE 0X0040241B
0040243A      8B5A 24       MOV EBX, DWORD PTR DS:[EDX+0X24]    ; 사용할 함수 GetProcAddress 호출 / bp 걸고 분석하면 사용하는 함수들 다 건질 수 있음.
0040243D      03DD          ADD EBX, EBP                             ;  kernel32.7C7D0000
0040243F      66:8B0C4B     MOV CX, WORD PTR DS:[EBX+ECX*2]
00402443      8B5A 1C       MOV EBX, DWORD PTR DS:[EDX+0X1C]
00402446      03DD          ADD EBX, EBP                             ;  kernel32.7C7D0000
00402448      8B048B        MOV EAX, DWORD PTR DS:[EBX+ECX*4]
0040244B      8BD8          MOV EBX, EAX
0040244D      03C5          ADD EAX, EBP                             ;  kernel32.7C7D0000
0040244F      3B5C24 04     CMP EBX, DWORD PTR SS:[ESP+0X04]
00402453      7C 3C         JL 0X00402491
00402455      2B5C24 04     SUB EBX, DWORD PTR SS:[ESP+0X04]
00402459   .  3B1C24        CMP EBX, DWORD PTR SS:[ESP]
0040245C   .  7F 33         JNLE 0X00402491
0040245E   .  807C24 24 00  CMP BYTE PTR SS:[ESP+0X24], 0X00000000
00402463   .  74 28         JE 0X0040248D
00402465   .  807C24 28 00  CMP BYTE PTR SS:[ESP+0X28], 0X00000000
0040246A   .  74 21         JE 0X0040248D
0040246C   .  83EC 10       SUB ESP, 0X10                                        ; 또 다른 DLL 호출
0040246F   .  8BF0          MOV ESI, EAX
00402471   .  8BFC          MOV EDI, ESP
00402473   >  AC            LODSB
00402474   .  AA            STOSB
00402475   .  3C 2E         CMP AL, 0X2E
00402477   .^ 75 FA         JNE 0X00402473
00402479   .  C647 FF 00    MOV BYTE PTR DS:[EDI-0X01], 0X00000000
0040247D   .  54            PUSH ESP
0040247E   .  FF5424 38     CALL DWORD PTR SS:[ESP+0X38]             ;  kernel32.GetProcAddress
00402482   .  56            PUSH ESI                                 ;  kernel32.7C7D7376
00402483   .  50            PUSH EAX
00402484   .  FF5424 40     CALL DWORD PTR SS:[ESP+0X40]
00402488   .  83C4 10       ADD ESP, 0X10
0040248B   .  EB 04         JMP 0X00402491
0040248D   .  33C0          XOR EAX, EAX
0040248F   .  EB 00         JMP 0X00402491
00402491   >  83C4 08       ADD ESP, 0X08
00402494   .  5F            POP EDI
00402495   .  5E            POP ESI                                  ;  kernel32.7C7D7376
00402496   .  5D            POP EBP                                  ;  kernel32.7C7D0000
00402497   .  5B            POP EBX                                  ;  kernel32.7C7D353C
00402498   .  C3            RET

IAT 기록 (004027C1)

호출 순서

OpenFileMappingA -> CreateFileMappingA -> GetWindowsDirectoryA -> strcat -> PathFileExistsA -> InitializeCriticalSection

004011E5   .  57            PUSH EDI                                 ;  ApcRunCm.00402991
004011E6   .  6A 10         PUSH 0X00000010
004011E8   .  53            PUSH EBX
004011E9   .  6A 04         PUSH 0X00000004
004011EB   .  53            PUSH EBX
004011EC   .  6A FF         PUSH 0XFFFFFFFF
004011EE   .  FF96 38030000 CALL DWORD PTR DS:[ESI+0X00000338]       ;  kernel32.CreateFileMappingA
004011F4   .  68 03010000   PUSH 0X00000103
004011F9   .  8D85 F4FEFFFF LEA EAX, DWORD PTR SS:[EBP-0X0000010C]
004011FF   .  50            PUSH EAX
00401200   .  FF96 3C030000 CALL DWORD PTR DS:[ESI+0X0000033C]       ;  kernel32.GetWindowsDirectoryA
00401206   .  8D86 2E050000 LEA EAX, DWORD PTR DS:[ESI+0X0000052E]
0040120C   .  50            PUSH EAX
0040120D   .  8D85 F4FEFFFF LEA EAX, DWORD PTR SS:[EBP-0X0000010C]
00401213   .  50            PUSH EAX
00401214   .  FF96 A8030000 CALL DWORD PTR DS:[ESI+0X000003A8]       ;  msvcrt.strcat
0040121A   .  59            POP ECX                                  ;  ApcRunCm.00402499
0040121B   .  59            POP ECX                                  ;  ApcRunCm.00402499
0040121C   .  8D85 F4FEFFFF LEA EAX, DWORD PTR SS:[EBP-0X0000010C]
00401222   .  50            PUSH EAX
00401223   .  FF96 CC030000 CALL DWORD PTR DS:[ESI+0X000003CC]       ;  shlwapi.PathFileExistsA / C:\Windows\Temp\~v3.log 파일이 있는 유무 확인
00401229   .  85C0          TEST EAX, EAX
0040122B   .  75 6C         JNE 0X00401299
0040122D   .  56            PUSH ESI                                 ;  ApcRunCm.00402499
0040122E   .  FF96 B0020000 CALL DWORD PTR DS:[ESI+0X000002B0]       ;  ApcRunCm.004021B2   / taskkill 을 통한 프로세스 종료

C:\Windows\Temp\~v3.log 파일 유무 확인
없을 경우

taskkill /F /IM pasvc.exe 실행
taskkill /F /IM clisvc.exe 실행


0040122E   .  FF96 B0020000 CALL DWORD PTR DS:[ESI+0X000002B0]       ;  ApcRunCm.004021B2
00401234   .  8D46 10       LEA EAX, DWORD PTR DS:[ESI+0X10]
00401237   .  59            POP ECX                                  ;  0012FDC0
00401238   .  50            PUSH EAX
00401239   .  8945 FC       MOV DWORD PTR SS:[EBP-0X04], EAX
0040123C   .  FF96 40030000 CALL DWORD PTR DS:[ESI+0X00000340]       ;  kernel32.InitializeCriticalSection
00401242   .  8D46 28       LEA EAX, DWORD PTR DS:[ESI+0X28]
00401245   .  50            PUSH EAX
00401246   .  8945 F8       MOV DWORD PTR SS:[EBP-0X08], EAX
00401249   .  FF96 40030000 CALL DWORD PTR DS:[ESI+0X00000340]       ;  kernel32.InitializeCriticalSection
0040124F   .  56            PUSH ESI                                 ;  ApcRunCm.00402499
00401250   .  895D 08       MOV DWORD PTR SS:[EBP+0X08], EBX
00401253   .  FF96 5C020000 CALL DWORD PTR DS:[ESI+0X0000025C]       ;  ApcRunCm.0040129E   / GetVersion 확인

이후 Thread를 돌림.

 

더 많은 내용을 확인 하고 싶다면

http://wowhacker.org/files/0320_cyberterror_stolenbyte.pdf

http://asec.ahnlab.com/926

 

반응형
저작자표시

'Reverse > 분석 문서' 카테고리의 다른 글

자식 프로세스 분석 하기  (2) 2013.04.12
악성파일이 자주 날라 오는 요즘...분석  (0) 2013.03.28
[WinDbg 따라하기 - 0x005] crash dump file 생성하기 - III  (0) 2012.09.20
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
[WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II  (0) 2012.04.30
반응형

WER 이라고 하면, Windows 내에서 크래쉬가 발생 또는 응용프로그램이 문제가 발생할 경우 Dump 파일을 생성하여, 해당 파일을 MS 측으로 전달하는 과정을 의미한다.

 

WER의 경우는 MS 쪽으로 오류 정보를 보내겠습니까? 라는 메시지가 바로 WER이다.

해당 WER의 덤프는 유저의 마음대로 설정할 수 있는데, 그 내용이 바로 아래에 나와 있는 주소 이다.

 

http://msdn.microsoft.com/en-us/library/windows/desktop/bb513616(v=vs.85).aspx

 

해당 주소가 가게 되면 LocalDumps 라는 키를 생성하여, 응용프로그램 상의 문제가 발생하는 모든 덤프를 확인 할 수 있다.

 

분석을 하기 위한 준비 단계로 생각되며, 해당 세팅을 할 경우 향후 많은 도움이 될 것으로 판단된다.

 

 

 

LocalDumps.reg

 

각 항목의 정보는 아래와 같다.

 

 

 value

 type

 default value

 DumpFolder

 REG_EXPAND_SZ

 %SystemRoot%\Minidump

 DumpCount

 REG_DWORD

 20

 DumpType

 REG_DWORD

 2

 

DumpFolder : 덤프 파일이 생성될 경로

DumpCount : 덤프 파일 보존 개수 (넘게 되면 오래된 것부터 삭제)

DumpType : 1. 미니덤프 / 2. 전체덤프

 

출처 : windbg로 쉽게 배우는 Windows Debugging - 책

         MS WER 홈페이지 : http://msdn.microsoft.com/en-us/library/windows/desktop/bb513616(v=vs.85).aspx

반응형
저작자표시

'Reverse > 분석 문서' 카테고리의 다른 글

악성파일이 자주 날라 오는 요즘...분석  (0) 2013.03.28
남들이 다한 320 샘플 분석...  (0) 2013.03.26
Load 하는데 Single Step Exception으로 Terminate 될 경우...  (0) 2012.07.16
[WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II  (0) 2012.04.30
[WinDbg 따라하기 - 0x003] crash dump file 생성하기  (0) 2012.01.06
반응형

우연찮게 찾게된 Key Log List 차후에 테스트할 때 사용하면 좋을 예제 파일들^^

[출처 : http://sorcerybox.wordpress.com/2011/06/19/keylogger-hacking-software/]

 

Do you know what is keylogger? If you don’t know I will explain the features of this amazing software.

  • Keylogger is a device or program that captures activities from an input device. Malicious people can make use of keyloggers to capture personal information being input into a computer system.

Didn’t understand? OK give me a break.
Suppose you are jealous of your friend because he has lot of friends in Facebook, yahoo or etc  and you have decided to hack his password so what you gonna do? Very simple install this keylogger and go through his accounts.

How does the keylogger works?
Keylogger is a  software that runs inconspicuously in the background, automatically recording every user keystroke, including special and function keys. It records the name and duration of every website visited, the exact keystrokes made, encrypts and enters the information in a log file, which cannot be seen by anyone except the installer of this program.
So it mean it saves all the stroked or pressed keys like typing username and password, chatting with friends, visiting sites, surfing internet etc.

Usage of the keylogger:

Systems and business administrators who are biting their nails, worried about leakage of vital confidential information by an employee, parents who are anxious about their children’s safety on the internet, and internet café owners, who are responsible for regulating ‘clean’ browsing by their customers – all these people need an instrument to know for certain, the web browsing activities of their employee, child, or customer respectively. Only then they would be in a position to take suitable legal, disciplinary or remedial action. This is where  Keylogger comes in.

If you want to download this software click here: Keylogger

Dont worry click on the below link its safe.

Keylogger features: (from keyloggers website)

  • Logs all keystrokes, is case sensitive.

  • When viewing the keystrokes can show only the characters without showing the pressed system keys which is more convenient. For example, if the following keys are pressed:

    “[Shift]It[Space]is[Space]free[Space]keylogger.”

    You can see the text

    “It is free keylogger.”

    having checked the “Show only characters” option.

  • Log search with or without the case sensitive option.

  • All the information is stored in the encrypted log file.

  • Generates the report in the text and html format.

  • Works in the standard and hidden mode.

  • In the hidden mode it is invisible in all operating systems (in Windows NT/2000/XP processes as well).

  • Provides the opportunity to protect keylogger with the password, so that nobody except you could view the logs.

  • Is not detected by antivirus software.

Top Free Keyloggers:

Actual Keylogger (Actual Spy):

Program File name Size Download link
Actual Keylogger actualspy.exe 1.49 MB Download free key logger

Desktop Shark Keylogger:

Program File name Size Download link
Desktop Shark Keylogger
 setup.exe 1.93 MB Download free key logger

Quick Keylogger:

Program File name Size Download link
Quick Keylogger
 qk_setup.exe 855.2 KB Download free key logger

Elite  Keylogger 4:

Program File name Size Download link
Elite Keylogger
 ek_setup.exe 7.18 MB Download free key logger

Family Keylogger:

Program File name Size Download link
Family Keylogger
 sp-fkl-setup.exe 205.8 KB Download free key logger

KidLogger PRO v.5.6.4:

Program File name Size Download link
Kid Logger
 kidlogger_pro.exe 1.06 MB Download free key logger

Home Keylogger Free Edition:

Program File name Size Download link
Home Keylogger
 keylogger.zip 159.5 KB Download free key logger

Was that useful?

Please leave a comment.

반응형
저작자표시

'Reverse > SystemDoc' 카테고리의 다른 글

[강의자료] 컴퓨터 보안 창과 방패  (0) 2018.01.25
[HowTo] Windows Testing Mode  (0) 2014.02.04
Windows Veriosn Check  (0) 2014.02.03
Windows7 64bit Paros 설치  (1) 2012.01.31
Windows 7 Driver Test 방법  (0) 2012.01.18

+ Recent posts

티스토리툴바