Обезвредить клавиатурного паука!

← →
Viacheslav (2003-03-08 09:26) [0]

Скажите, кто знает. Как работают клавиатурные пауки(сканеры и т.д.), вред которых заключается в нелегальной краже паролей с машины, на которой работает несколько пользователей? Как его можно увидеть или просто обойти?

← →
ANDREY (2003-03-08 09:56) [1]

Удалено модератором
Примечание: Личная переписка

← →
Shadow (2003-03-08 11:01) [2]

"...нелегальной краже..." - шедевр...
Увидеть? В автозагрузку посмотри.

← →
DiamondShark (2003-03-08 11:43) [3]

> Shadow © (08.03.03 11:01)
> "...нелегальной краже..." - шедевр...
> Увидеть? В автозагрузку посмотри.

Мда... "Легальная кража" -- это было бы круто ;-)

А автозагрузка может и не показать ничего. Они могут и в процессы внедряться, так что список процесов тоже ни о чём не скажет. Ну разве что о каких-то совсем ламерских поделках.

← →
Ihor Osov'yak (2003-03-08 14:51) [4]

В большистве случаев это делается через общесистемные хуки. Длл хука внедряется в адресное пространство процессов-жертв. Для шпиона - это вероятнее всего во все процессы. В том числе написанные тобой. То есть, пишешь простенькую программу, состоящую из пустой формы, запускаешь ее на выполнение. И анализируешь, какие длл отражены на ее адресное пространставо ( по простому говоря - загружены). Если не знаешь, как это сделать - на www.sysinternals.com есть соотв. утилита, называется listdll (или dlllist, уже точно не помню). Смотришь, чего там отобразилось в твою программу. Только не спутай с системными DLL. Впрочем, список легальных dll ты можешь получить, почмотрев секцию импорта... тем же tdump...

Если есть непрошенная гостя - пытаешся выяснить, кто эту dll активизировал как общесистемный хук.... Это может быть любой процесс, запускаемый до того.. В простейшем случае имя длл может явно фигурировать в бинарнике соотв. процесса...

... Удачи в борьбе со шпийонами...

Обезвредить клавиатурного паука! Найти похожие ветки