To 2009 είχα γράψει ένα πρόγραμμα για να παρακολουθώ αλλαγές αρχείων σε ένα δίσκο. Είχε πολλές εφαρμογές αλλά μια από τις σημαντικότερες ήταν οτι κοιτάζοντας τα logs του, θα μπορούσα μετά απο λίγο ψάξιμο να βρώ ύποπτες εγγραφές ή δημιουργίες νέων αρχείων. Τι σημαίνει το ύποπτες; Keyloggers. Το παλιό άρθρο είναι εδώ.
Aπο τότε αρκετοί άνθρωποι με ρώτησαν αν έχω αυτό το πρόγραμμα. Υπάρχει και ένα θέμα στο φόρουμ του insomnia.gr . Η αλήθεια είναι οτι έχασα τον κώδικα σε κάποιο format, αν και ποτέ δεν θεώρησα οτι ήταν κάτι το ιδιαίτερο σαν πρόγραμμα.
Σήμερα όμως έπεσε το μάτι μου σε ένα freeware πρόγραμμα που κάνει πάνω κάτω αυτή την δουλεία. Στηρίζεται και αυτό στην παρακολούθηση του αρχείου συστήματος για αλλαγές. Οπότε όσοι ψάχνετε ακόμα το δικό μου πρόγραμμα, μπορείτε να κατεβάσετε αυτό.
Πριν τρέξετε το πρόγραμμα καλό είναι να κλείσετε τα πάντα. Antivirus, browsers και οτιδήποτε άλλο τρέχει στο system tray σας, που ούτως η άλλος παράγει εγγραφές στο δίσκο χωρίς καν να το ξέρουμε. Αυτό είναι σημαντικό γιατί αλλιώς θα καταλήξετε με ένα μεγάλο log file και θα είναι δύσκολο να βρείτε "ύποπτες" καταχωρήσεις. Όταν το ενεργοποιήσετε θα κάνετε μερικές ενέργειες που απαιτούν πληκτρολόγιο. Όπως το να μιλήσετε σε κάποιο instant messaging πρόγραμμα, να γράψετε στο notepad ή στο word κλπ. Μετά από λίγο, το πρόγραμμα συστήνει τα 10 λεπτά, μπορείτε να επαναφέρετε το πρόγραμμα από το system tray και να δείτε τι περιέχει το log file του. Στην καλύτερη των περιπτώσεων θα είναι άδειο. Κάτι που σημαίνει οτι δεν πρέπει να υπάρχει κάποιος keylogger. Σε μια πιο ρεαλιστική εκδοχή, ειδικά αν ανοίξετε κάποιον browser και γράψετε εκεί, προφανώς θα υπάρχουν καταχωρίσεις από τον browser σε διάφορα αρχεία. Γενικά μπορούμε να τα αγνοήσουμε αυτά. Βέβαια από την άλλη σχετικό είναι αυτό το "να τα αγνοήσουμε", μιας και μπορεί άνετα να γραφτεί πιστεύω ενας keylogger, που να μιμείται εγγραφές σε προσωρινά αρχεία του browser.
Όπως με τα περισσότερα πράγματα στην ασφάλεια, έτσι και εδώ με την χρήση αυτού του προγράμματος, μειώνουμε απλά τις πιθανότητες να συμβεί κάτι κακό. Δεν γίνεται να είμαστε απολύτως σίγουροι για τίποτα. Αν όντως έχετε κάτι σημαντικό να κρύψετε, τότε σκεφτείτε την κρυπτογράφηση ή ένα usb στικάκι με Linux που θα το έχετε για αυτή την δουλεία.
Εγώ για παράδειγμα πήρα αρκετές εγγραφές απο το Chrome, μερικά stantar αρχεία τών Windows όπως το ntuser.dat ursclass.dat και 3 ύποπτες για μένα εγγραφές.
Στην περίπτωση αυτή κρατάμε τις εγγραφές που δεν γνωρίζουμε γιατί έγιναν και ψάχνουμε στο Google για κάποια πιθανή εξήγηση.
Το μόνο μείον που έχει το πρόγραμμα, είναι οτι δεν έχει κάποιο export σε αρχείο κειμένου του log file.
Και δεν λειτουργεί και το ctrl + A κάτι που το κάνει ακόμα πιο εκνευριστικό.
Aπο τότε αρκετοί άνθρωποι με ρώτησαν αν έχω αυτό το πρόγραμμα. Υπάρχει και ένα θέμα στο φόρουμ του insomnia.gr . Η αλήθεια είναι οτι έχασα τον κώδικα σε κάποιο format, αν και ποτέ δεν θεώρησα οτι ήταν κάτι το ιδιαίτερο σαν πρόγραμμα.
Σήμερα όμως έπεσε το μάτι μου σε ένα freeware πρόγραμμα που κάνει πάνω κάτω αυτή την δουλεία. Στηρίζεται και αυτό στην παρακολούθηση του αρχείου συστήματος για αλλαγές. Οπότε όσοι ψάχνετε ακόμα το δικό μου πρόγραμμα, μπορείτε να κατεβάσετε αυτό.
Πριν τρέξετε το πρόγραμμα καλό είναι να κλείσετε τα πάντα. Antivirus, browsers και οτιδήποτε άλλο τρέχει στο system tray σας, που ούτως η άλλος παράγει εγγραφές στο δίσκο χωρίς καν να το ξέρουμε. Αυτό είναι σημαντικό γιατί αλλιώς θα καταλήξετε με ένα μεγάλο log file και θα είναι δύσκολο να βρείτε "ύποπτες" καταχωρήσεις. Όταν το ενεργοποιήσετε θα κάνετε μερικές ενέργειες που απαιτούν πληκτρολόγιο. Όπως το να μιλήσετε σε κάποιο instant messaging πρόγραμμα, να γράψετε στο notepad ή στο word κλπ. Μετά από λίγο, το πρόγραμμα συστήνει τα 10 λεπτά, μπορείτε να επαναφέρετε το πρόγραμμα από το system tray και να δείτε τι περιέχει το log file του. Στην καλύτερη των περιπτώσεων θα είναι άδειο. Κάτι που σημαίνει οτι δεν πρέπει να υπάρχει κάποιος keylogger. Σε μια πιο ρεαλιστική εκδοχή, ειδικά αν ανοίξετε κάποιον browser και γράψετε εκεί, προφανώς θα υπάρχουν καταχωρίσεις από τον browser σε διάφορα αρχεία. Γενικά μπορούμε να τα αγνοήσουμε αυτά. Βέβαια από την άλλη σχετικό είναι αυτό το "να τα αγνοήσουμε", μιας και μπορεί άνετα να γραφτεί πιστεύω ενας keylogger, που να μιμείται εγγραφές σε προσωρινά αρχεία του browser.
 |
| Τα αποτελέσματα του KL-Detector. |
Εγώ για παράδειγμα πήρα αρκετές εγγραφές απο το Chrome, μερικά stantar αρχεία τών Windows όπως το ntuser.dat ursclass.dat και 3 ύποπτες για μένα εγγραφές.
 |
| Ειλικρινά δεν έχω ιδέα τι είναι αυτές οι εγγραφές... |
Το μόνο μείον που έχει το πρόγραμμα, είναι οτι δεν έχει κάποιο export σε αρχείο κειμένου του log file.
Και δεν λειτουργεί και το ctrl + A κάτι που το κάνει ακόμα πιο εκνευριστικό.
