wireshark a keylogger

[shockwave]

Ahoj, dá se nejak odhalit keylogger v pc, odesílající data někam přes net?

Jak poznat podezřelé pakety nebo aktivitu, jen bych poprosil o konstruktivní rady, obecné mě moc nepomohou a hlavne někoho kdo umí s wiresharkem. Momentálně nemám jinou technologii k dispozici. Spyware programy nic nenajdou a přeinstal systému se mi opravdu dělat nechce :( Děkuji za pochopení

[Reklama]

[Pedrossos]

ano třeba windows defender dokáže... napiš jaké programy spyware si použil

[shockwave]

tak použil jsem Spybot a Malwarebytes a nic

[Pedrossos]

co ten defender?? zkus start-do vyhledávacího pole napiš defender. budeš tam mít dva windows defender a vyhledat spyware

[ITCrowd]

Hlavně, že jsi žádal někoho, kdo umí s wiresharkem
Pedrosliz ani neví, co to je...
Předně netuším, jestli wireshark je na takovéto hledání nejvhodnější nástroj...
Odposlech hesla ftp (jednoduchá věc) je třeba tu: download/file.php?id=40025&mode=view je to součát tohoto článku: viewtopic.php?f=117&t=141396
Problém je, že nevím, jestli keylogger odesílá každou informaci z klávesnice, nebo jen informace z přihlašovacích dialogů. Ve druhém případě těch paketů moc nebude...
Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations. Nastavíš zachytávání a začneš psát. Pak si otevřeš okno endpoits a uvidíš IP adresy s komunikací. Pak je budeš muset nějak prověřit. Předpokládám, že keylogger nebude znaky přenášet v otevřené formě (tak jak je to u příkladu), takže to rozhodně nerozkóduješ.
Pokud keylogger reaguje jen na přihlašovací dialogy, pak jedině porovnat stejný postup s nenapadeným strojem.
Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack], ale zase se musí ověřit, kdo pod tou ip je. V tomto případě bych postupoval tak, že bych nastartoval stroj bez připojení k síti (vytažený kabel), spustil wireshark a pak zastrčil kabel. Těch syn,ack paketů tam naskočí množství. Ale zase - nikde není psáno, že keyloger ověří spojení hned...

syn ack

Ale možná se tu ozve někdo s více zkušenostmi.

[shockwave]

Jen bych napsal, že co se týká znalostí,jsem tady na tom nejhuř z vás já:) Vyjadřil bych se k tomu Defenderu, ten se mi na win7 ani nepodařilo ze Startu rozchodit bohužel.

1.Tady uplně presne nevim, co myslis: "Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations"

2.Zkusím prozatím metodu TCP syn, ack, jestli neco nenajdu : "Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack]" - tady tedy navrhuješ prověřit ip adresy, že , jestli dobře chápu.

Jen by mě možná zajímalo, čistě teoreticky, jak by ten keylogger pres tcp pracoval, kdo s kým navazuje spojení předpokladám moje ip adresa by navazovala spojení s jinou na kterou by se posílala data, že?

Děkuji

[mmmartin]

Prosím oba zúčastněné rádce, aby pro výměnu líbezností zvolili cestu SZ. Co si navzájem o sobě myslíte tazatele určitě nezajímá. Děkuji

[ITCrowd]

Vypadá to takhle:
Jsou tam IP adresy, na které bylo spojení. Pokud by keylogger odesílal data během psaní na klávesnici, pak tam ta přijímaná IP adresa "přiskočí".

[shockwave]

jestli bych mohl poprosit, aby mi někdo erudovaný screen trošku popsal

a zde by mě zajímalo, co znamená to RST, reset čeho? Z překladu ip adresy
viz. http://www.nmonitoring.com/ip-na-domeno ... ub=1&ln=cz
sem nedohledal vubec nic , překlad mě odkázal zase jen na ip adresu

Děkuji

[Microsheep]

Navázané spojení TCP s nějakou službou po 443, která má cloud od amazonu AWS (takže drtivá většina aplikací apod. sídlí u amazonu, nedivil bych se ani mrkvosoftu i když ten to bude mít na svém azurovém písečku).
RST bude konec TCP spojení na vzdálené straně (např. zavřený port).
Možná už ti začíná docházet, proč tohle není ideální způsob zjištění keyloggeru.
Nevíš, jak se aplikace chová, kdy data odesílá (hned, jednou za den? za rok?), kam? jakým způsobem? (a že jich je) schovaný za něco? Pokud nevíš co hledáš, hledá se to docela těžko.
Já mít podezření, že je v pc keyloggeru, neztrácel bych čas zjišťováním a udělal bych reinstall systemu rovnou.
Nenapsal si jaký máš firewall, bylo by vhodné začít se nad tím zamyslet a nějaký interaktivní režim fw použít..
Viděl by si okamžitě, co se kam snaží připojit bez tvého vědomí a konat např. Buď si z toho něco vem nebo ne.

[kanoe222]

Ako pise Microsheep, ak mas podozrenie na keylogger v pocitaci a nedari sa ti ho najst pomocou nejakeho antivirusu/ antispywaru a pod. Okamzite preinstaluj pocitac s tym ze vyformatujes disk pri instalacii.

Hladat keylogger na zaklade sietovej prevadzky je uz skor otazka na profesionala, a aj ten ho nemusi najst. Ak je keylogger napisany nejakym amaterom, tak ho dokazes najst. Ale akonahle je napisany profesionalne a snazi sa akivne skryvat, tj roby rozne necakane veci, nedrzi sa pevne nejakeho patternu ze kazdy den o 14:00 odosiela data na nejaky server, navyse v plaintexte, alebo po kazdych 10tich minutach a pod. tak ho casto krat nema velku sancu najst ani profik zaoberajuci sa tymto.

Takze znovu opakujem, odzalohovat veci ako su videa fotky hudba, tam je mala sanca na infiltraciu. Dokumenty (word, excel, pdf a pod) prebehnut viacerymi antivirakmy a az nasledne ich zalohovat (vyssia sanca na infiltraciu, napr pomoocu nejakeho makra vo wordowskom dokumente sa ti moze znovu stiahnut keylogger do PC). Ale urcite nezalohovat ziadne hry, programy a pod, cokolvek sa spusta cez .exe, .bat a pod -> velmi vysoka sanca na infiltraciu. Nasledne preinstalovat PC a vyformatovat kompletne cely disk pri instalacii.

[Pedrossos]

shockwave jen chci vedet, jak jsi přišel na to, že máš v PC keyloggera?? jestli si ho nainstaloval, vidět nejde, jde pouze zviditelnit zkratkou nebo unhidem.. chtěl si někoho špehovat nebo někdo tebe ?