[c++] key logger

[-fidel-]

Quote:

Originariamente inviato da 71104

ah comunque potresti provare a caricare la DLL semplicemente con regsvr32.exe: ti dirà che non trova degli entry points (è normale) però intanto la DllMain è stata chiamata.

Niente da fare, anche con regsvr32 mi da errore di protezione da parte del Microsoft Register Server.

EDIT: Ah, nel mio keylogger ho gestito un po' di tutto (compreso caratteri accentati, ecc. Ovviamente, per i carattere accentati non ho usato costrutti tipo "case VK_SHIFT:".

[71104]

ho modificato ancora il post #110 aggiungendo il log degli spazi; ora voglio provare ad usare I/O overlapped, così da non appensatire il sistema quando abbiamo a che fare con un utente dalla tastiera veloce e possibilmente anche un sistema già carico di suo :P

[-fidel-]

Sì ma purtroppo con SP2 installato non si può rilocare la DLL... Meglio tornare al classico thread a questo punto.

[71104]

Quote:

Originariamente inviato da -fidel-

Sì ma purtroppo con SP2 installato non si può rilocare la DLL... Meglio tornare al classico thread a questo punto.

guarda che io ho SP2 eh... :| da me funzica tutto perfettamente; da te toccherebbe fare il debug per vedere cos'è che lo fa incazzare...

[-fidel-]

Quote:

Originariamente inviato da 71104

guarda che io ho SP2 eh... :| da me funzica tutto perfettamente; da te toccherebbe fare il debug per vedere cos'è che lo fa incazzare...

Mhmmh, ok ci dò un'occhiata nel pomeriggio.

[-fidel-]

Intanto, visto che non ci sono problemi, posto il mio keylogger, come progetto VS .NET 2003.
Non posto direttamente il codice perché, essendo commentato, sarebbe troppo lungo da piazzare in un post (e di più difficile lettura), quindi allego direttamente il progetto.

Rispetto a quello inviato via mail a mamo, ho aggiunto il logging dei tasti funzione (li avevo dimenticati ). Ci sarebbero anche altri tasti da loggare, ma sono normalmente inutili per l'uso che di solito si fa di un keylogger, e comunque è banale aggiungerli.

Appena finisco la feature che indica, oltre ai tasti premuti, in quale programma li si è premuti (molto utile secondo me ), riposto il sorgente aggiornato

EDIT: piccola aggiunta, VK_CONTROL, VK_MENU e VK_SHIFT oltre al controllo sinistro e destro (non si sa mai...)

[71104]

Quote:

Originariamente inviato da -fidel-

Appena finisco la feature che indica, oltre ai tasti premuti, in quale programma li si è premuti (molto utile secondo me ), riposto il sorgente aggiornato

ho provato a riflettere su come farla: pensavo di aver trovato il modo sfruttando l'handle della finestra a cui era destinato il messaggio, cosa che pensavo fosse inclusa nella struttura di dati del Low Level Keyboard Hook, ma invece non è così; tu come fai a trovare la finestra? cerchi quella che ha il focus in quel momento?

[71104]

ho letto il tuo codice; non conoscevo la funzione ToAscii!!
ora la uso pure nel mio :P

edit: uu, ma vedo su MSDN che c'è un sacco di roba carina, tipo MapVirtualKey(Ex) e ToUnicode :P
mi erano sfuggite

[-fidel-]

Quote:

Originariamente inviato da 71104

ho provato a riflettere su come farla: pensavo di aver trovato il modo sfruttando l'handle della finestra a cui era destinato il messaggio, cosa che pensavo fosse inclusa nella struttura di dati del Low Level Keyboard Hook, ma invece non è così; tu come fai a trovare la finestra? cerchi quella che ha il focus in quel momento?

Esatto, però non sto usando un keyboard hook, ma un hook CBT, che mi avvisa anche dei focus con il messaggio HCBT_SETFOCUS.
Non ho ancora finito di implementare la feature proprio perchè devo cambiare l'hook filter (ora associato ad un low level keyboard hook), e non ho mlto tempo da dedicarci...

EDIT: Ah, sono riuscito a far funzionare il tuo codice anche da me, ora è tutto ok In effetti mi pareva strano che Windows si accorgesse della cosa dando errore di protezione
Oggi pomeriggio provo a modificare il codice per evitare di usare il campo TypeOffset nella struct IMAGE_BASE_RELOCATION, non dovrebbe essere complicato.

[-fidel-]

Quote:

Originariamente inviato da 71104

edit: uu, ma vedo su MSDN che c'è un sacco di roba carina, tipo MapVirtualKey(Ex) e ToUnicode :P
mi erano sfuggite

Eheh, MapVirtualKey la stavo provando per ottenere i caratteri tipo %, & (quelli raggiungibili con lo shift ad esempio, o con AltGr) ma in prima battuta niente (quindi avevo cambiato strada), ma adesso ci riprovo!

EDIT: che poi è il motivo per cui ho inserito i tag <SHIFT>...</SHIFT>: per le lettere maiuscole non ce n'era bisogno, ma per tutti gli altri tipo % o ? sì. Quindi per evitare incongruenze anche con layout di tastiera diversi, ho usato i tag, così da prevedere tutti i casi.
Per il momento MapVirtualKey non mi mappa tali caratteri, vediamo se si può aggirare il problema...

[mamo139]

grazie per l'allegato -fidel-, ho preso quello dal sito...

ora me lo studio bene bene aiutandomi con msdn!!!!

[-fidel-]

Ok, come annunciato prima, ho modificato il codice della CopyAndRelocate() postato prima da 71104 per fare in modo di non usare il campo TypeOffset della struct IMAGE_BASE_RELOCATION, dato che quel campo è di default commentato in WinNT.h.
Ho modificato questo stralcio (linea 90):

Codice:

uFixupCount = (pBaseReloc->SizeOfBlock - (sizeof(IMAGE_BASE_RELOCATION) - sizeof(WORD))) / sizeof(WORD);
for (u = 0; u < uFixupCount; u++) {
     PVOID pFixupLocation = (PBYTE)pNewImage + pBaseReloc->VirtualAddress + (pBaseReloc->TypeOffset[u] & 0x0FFF);
     switch (pBaseReloc->TypeOffset[u] >> 12) {

in questo modo:

Codice:

uFixupCount = (pBaseReloc->SizeOfBlock - (sizeof(IMAGE_BASE_RELOCATION))) / sizeof(WORD);
for (u = 0; u < uFixupCount; u++) {
     PVOID pFixupLocation = (PBYTE)pNewImage + pBaseReloc->VirtualAddress + (u * sizeof(WORD));
     switch (*(PWORD)pFixupLocation >> 12) {

In più, per rendere "più leggibile" il codice ho modificato la seguente linea (121):

Codice:

hThread = CreateThread(NULL, 0, (PTHREAD_START_ROUTINE)((DWORD)ThreadEntry - (DWORD)pImageBase + (DWORD)pNewImage), NULL, 0, &dwDummy);

con questa:

Codice:

hThread = CreateThread(NULL, 0, (PTHREAD_START_ROUTINE)((DWORD)ThreadEntry + (DWORD)dwDelta), NULL, 0, &dwDummy);

così è più chiaro che il codice del thread si trova all'indirizzo della funzione nella dll attuale + l'offset rispetto alla nuova posizione della DLL appena rilocata (dwDelta rappresenta appunto la distanza in bytes tra la zona di memoria in cui la DLL viene caricata e quella rilocata).

[mamo139]

fidel... ti volevo chiedere se avevi abbandonato o meno il progetto di construire un keylogger che ti dice anche in quale finestra sono stati premuti i tasti...
sono curiosissimo di vedere in che modo si possa fare

[71104]

Quote:

Originariamente inviato da mamo139

fidel... ti volevo chiedere se avevi abbandonato o meno il progetto di construire un keylogger che ti dice anche in quale finestra sono stati premuti i tasti...
sono curiosissimo di vedere in che modo si possa fare

da quanto ho capito installando anche un altro tipo di hook, il CBT: gli serve per vedere quale finestra assume il focus.

[-fidel-]

Ok, ho implementato la funzionalità annunciata
Ho dovuto abbandonare la strategia dell'hook CBT, dal momento che tale hook può essere globale ma non è Low Level. Quando è globale (è il nostro caso), non essendo Low Level, ogni processo agganciato va a caricare la nostra DLL, quini in breve tempo un alto numero di processi sul sistema carica la DLL, rendendola quindi facilmente tracciabile (oppure consumando molta memoria nel caso iniettiamo la DLL rilocandola - seguendo la strategia descritta prima da 71104).

Ho quindi risolto in modo differente... Posto qui il progetto Visual Studio .NET 2003 (ma è compilabile con qualunque altro IDE, basta leggere i commenti iniziali del sorgente).
Tutto il codice è ampiamente commentato, a scopo didattico.

EDIT: ho fatto anche una versione che usa la CopyAndRelocate() (leggermente modificata come descritto nei post precedenti) postata da 71104. Non la posto perchè è banale implemenetarla, dal momento che nel thread c'è già il sorgente della CopyAndRelocate, più le modifiche (se le volete aggiungere) che ho apportato.
La rilocazione della DLL la trovo un'ottima strategia

[-fidel-]

Quote:

Originariamente inviato da mamo139

fidel... ti volevo chiedere se avevi abbandonato o meno il progetto di construire un keylogger che ti dice anche in quale finestra sono stati premuti i tasti...
sono curiosissimo di vedere in che modo si possa fare

Non l'ho abbandonato come vedi , ho solo poco tempo da dedicarci

[mamo139]

grazie fidel...

nel compilarlo con Microsoft Visual C++ 6.0 però nn mi trova questo:
#include <psapi.h>
non che sai xche???

[cionci]

Cercalo su google...
Dovrebbe essere distribuita con DDK...

[-fidel-]

Quote:

Originariamente inviato da cionci

Cercalo su google...
Dovrebbe essere distribuita con DDK...

Esatto, nell'SDK/DDK fornita con VS .NET c'è già.
@Mamo:
Comunque la libreria psapi.dll è in tutti i sistemi Win NT e successivi (quindi anche su XP), ti serve solo il .h per compilare il programma. Lo posto qui.

Ho aggiutno .txt sennò non mi faceva allegare...

EDIT: Ah, comunque quella libreria serve solo se vuoi loggare anche il nome del processo. Nel frattempo, se vuoi provare, disattiva il log del nome del processo (è scritto nel sorgente come fare, ti basta commentare una riga) e commenta l'include di psapi.h (che in questo caso non serve più), e compila.

[mamo139]

come sempre, grazie