Есть такое All In One Keylogger (http://www.relytec.com/) - кто-нибудь ковырял как он перехватывает нажатия клавиш? Было замечено,что после запуска висит процес kvzxxybptz.exe с подгруженной либой mslunkero.dll... Никаких ключей автозагрузки обнаружено не было... На каком уровне в системе вообще сидит?
Ни один антируткит не детектит аномальностей в системе,перехватов и драйверов,при установленном и работающем All In One Keylogger...Хотелось бы просто понять,как он перехватывает сообщения клавиатуры и т.п....
shchetinin,неа))) ProcessExplorer не детектит никаких подгруженных dll и левых процессов... Академический интерес
Ну тогда уже так http://forum.sysinternals.com/xuetr-small-tool-with-ark-features_topic19584.html. А вообще вы нам предлогаете скачать этот тулз и поставить его на машину что бы посмотреть как он работает?
reserved,спасибо! XueTr помог! До этого использовал Vba32 Anti-rootkit (beta xx.07.2011)- не помогло,не нашёл ничего интересного,а XueTr всё чёткл показал)
Там примитивный юзермодный руткит с фильтром клавиатурных сообщений и длл инжектами. Любой нормальный детектор его покажет при условии, что пользователь умеет пользоваться софтом.
Там устанавливается сервис с автозапуском,перехватываются сообщения WM_KEYBOARD_ALL и WM_CALLWINDOWPROC и скрывается папка на диске с модулем...Короче,да,оказался примитив...
