Ahoj, dá se nejak odhalit keylogger v pc, odesílající data někam přes net?
Jak poznat podezřelé pakety nebo aktivitu, jen bych poprosil o konstruktivní rady, obecné mě moc nepomohou a hlavne někoho kdo umí s wiresharkem. Momentálně nemám jinou technologii k dispozici. Spyware programy nic nenajdou a přeinstal systému se mi opravdu dělat nechce :( Děkuji za pochopení
wireshark a keylogger
-
- Level 3
- Příspěvky: 529
- Registrován: červen 18
- Bydliště: Brno-venkov
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
ano třeba windows defender dokáže... napiš jaké programy spyware si použil
Základní deska: B450 PRO GAMING ,CPU Ryzen 7 2700,GPU Nvidia RTX 3060,Patriot Viper Steel 32GB KIT DDR4 3600Mhz CL18,Zdroj:VERO M2 600W / Case: SilentiumPC Signum SG1X TG RGB
Re: wireshark a keylogger
tak použil jsem Spybot a Malwarebytes a nic
-
- Level 3
- Příspěvky: 529
- Registrován: červen 18
- Bydliště: Brno-venkov
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
co ten defender?? zkus start-do vyhledávacího pole napiš defender. budeš tam mít dva windows defender a vyhledat spyware
Základní deska: B450 PRO GAMING ,CPU Ryzen 7 2700,GPU Nvidia RTX 3060,Patriot Viper Steel 32GB KIT DDR4 3600Mhz CL18,Zdroj:VERO M2 600W / Case: SilentiumPC Signum SG1X TG RGB
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23605
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
Hlavně, že jsi žádal někoho, kdo umí s wiresharkem
Pedrosliz ani neví, co to je...
Předně netuším, jestli wireshark je na takovéto hledání nejvhodnější nástroj...
Odposlech hesla ftp (jednoduchá věc) je třeba tu: download/file.php?id=40025&mode=view je to součát tohoto článku: viewtopic.php?f=117&t=141396
Problém je, že nevím, jestli keylogger odesílá každou informaci z klávesnice, nebo jen informace z přihlašovacích dialogů. Ve druhém případě těch paketů moc nebude...
Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations. Nastavíš zachytávání a začneš psát. Pak si otevřeš okno endpoits a uvidíš IP adresy s komunikací. Pak je budeš muset nějak prověřit. Předpokládám, že keylogger nebude znaky přenášet v otevřené formě (tak jak je to u příkladu), takže to rozhodně nerozkóduješ.
Pokud keylogger reaguje jen na přihlašovací dialogy, pak jedině porovnat stejný postup s nenapadeným strojem.
Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack], ale zase se musí ověřit, kdo pod tou ip je. V tomto případě bych postupoval tak, že bych nastartoval stroj bez připojení k síti (vytažený kabel), spustil wireshark a pak zastrčil kabel. Těch syn,ack paketů tam naskočí množství. Ale zase - nikde není psáno, že keyloger ověří spojení hned...
Ale možná se tu ozve někdo s více zkušenostmi.
Pedrosliz ani neví, co to je...
Předně netuším, jestli wireshark je na takovéto hledání nejvhodnější nástroj...
Odposlech hesla ftp (jednoduchá věc) je třeba tu: download/file.php?id=40025&mode=view je to součát tohoto článku: viewtopic.php?f=117&t=141396
Problém je, že nevím, jestli keylogger odesílá každou informaci z klávesnice, nebo jen informace z přihlašovacích dialogů. Ve druhém případě těch paketů moc nebude...
Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations. Nastavíš zachytávání a začneš psát. Pak si otevřeš okno endpoits a uvidíš IP adresy s komunikací. Pak je budeš muset nějak prověřit. Předpokládám, že keylogger nebude znaky přenášet v otevřené formě (tak jak je to u příkladu), takže to rozhodně nerozkóduješ.
Pokud keylogger reaguje jen na přihlašovací dialogy, pak jedině porovnat stejný postup s nenapadeným strojem.
Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack], ale zase se musí ověřit, kdo pod tou ip je. V tomto případě bych postupoval tak, že bych nastartoval stroj bez připojení k síti (vytažený kabel), spustil wireshark a pak zastrčil kabel. Těch syn,ack paketů tam naskočí množství. Ale zase - nikde není psáno, že keyloger ověří spojení hned...
Ale možná se tu ozve někdo s více zkušenostmi.
Naposledy upravil(a) ITCrowd dne 08 úno 2019 23:38, celkem upraveno 2 x.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Re: wireshark a keylogger
Jen bych napsal, že co se týká znalostí,jsem tady na tom nejhuř z vás já:) Vyjadřil bych se k tomu Defenderu, ten se mi na win7 ani nepodařilo ze Startu rozchodit bohužel.
1.Tady uplně presne nevim, co myslis: "Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations"
2.Zkusím prozatím metodu TCP syn, ack, jestli neco nenajdu : "Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack]" - tady tedy navrhuješ prověřit ip adresy, že , jestli dobře chápu.
Jen by mě možná zajímalo, čistě teoreticky, jak by ten keylogger pres tcp pracoval, kdo s kým navazuje spojení předpokladám moje ip adresa by navazovala spojení s jinou na kterou by se posílala data, že?
Děkuji
1.Tady uplně presne nevim, co myslis: "Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations"
2.Zkusím prozatím metodu TCP syn, ack, jestli neco nenajdu : "Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack]" - tady tedy navrhuješ prověřit ip adresy, že , jestli dobře chápu.
Jen by mě možná zajímalo, čistě teoreticky, jak by ten keylogger pres tcp pracoval, kdo s kým navazuje spojení předpokladám moje ip adresa by navazovala spojení s jinou na kterou by se posílala data, že?
Děkuji
Naposledy upravil(a) shockwave dne 09 úno 2019 10:05, celkem upraveno 1 x.
- mmmartin
- Moderátor
-
Elite Level 10
- Příspěvky: 9504
- Registrován: srpen 04
- Bydliště: Praha
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
Prosím oba zúčastněné rádce, aby pro výměnu líbezností zvolili cestu SZ. Co si navzájem o sobě myslíte tazatele určitě nezajímá. Děkuji
ASUS Prime Z390-P / Hexa Core Intel core i5 Coffee Lake-S / Gigabyte GeForce GTX 650 Ti / FORTRON BlueStorm Bronze 80PLUS / W 11
- ITCrowd
- Tvůrce článků
-
Guru Level 13.5
- Příspěvky: 23605
- Registrován: březen 10
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
Vypadá to takhle:
Jsou tam IP adresy, na které bylo spojení. Pokud by keylogger odesílal data během psaní na klávesnici, pak tam ta přijímaná IP adresa "přiskočí".
Jsou tam IP adresy, na které bylo spojení. Pokud by keylogger odesílal data během psaní na klávesnici, pak tam ta přijímaná IP adresa "přiskočí".
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router
Re: wireshark a keylogger
jestli bych mohl poprosit, aby mi někdo erudovaný screen trošku popsal
a zde by mě zajímalo, co znamená to RST, reset čeho? Z překladu ip adresy
viz. http://www.nmonitoring.com/ip-na-domeno ... ub=1&ln=cz
sem nedohledal vubec nic , překlad mě odkázal zase jen na ip adresu
Děkuji
- Microsheep
- Level 4.5
- Příspěvky: 1656
- Registrován: leden 10
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
Navázané spojení TCP s nějakou službou po 443, která má cloud od amazonu AWS (takže drtivá většina aplikací apod. sídlí u amazonu, nedivil bych se ani mrkvosoftu i když ten to bude mít na svém azurovém písečku).
RST bude konec TCP spojení na vzdálené straně (např. zavřený port).
Možná už ti začíná docházet, proč tohle není ideální způsob zjištění keyloggeru.
Nevíš, jak se aplikace chová, kdy data odesílá (hned, jednou za den? za rok?), kam? jakým způsobem? (a že jich je) schovaný za něco? Pokud nevíš co hledáš, hledá se to docela těžko.
Já mít podezření, že je v pc keyloggeru, neztrácel bych čas zjišťováním a udělal bych reinstall systemu rovnou.
Nenapsal si jaký máš firewall, bylo by vhodné začít se nad tím zamyslet a nějaký interaktivní režim fw použít..
Viděl by si okamžitě, co se kam snaží připojit bez tvého vědomí a konat např. Buď si z toho něco vem nebo ne.
RST bude konec TCP spojení na vzdálené straně (např. zavřený port).
Možná už ti začíná docházet, proč tohle není ideální způsob zjištění keyloggeru.
Nevíš, jak se aplikace chová, kdy data odesílá (hned, jednou za den? za rok?), kam? jakým způsobem? (a že jich je) schovaný za něco? Pokud nevíš co hledáš, hledá se to docela těžko.
Já mít podezření, že je v pc keyloggeru, neztrácel bych čas zjišťováním a udělal bych reinstall systemu rovnou.
Nenapsal si jaký máš firewall, bylo by vhodné začít se nad tím zamyslet a nějaký interaktivní režim fw použít..
Viděl by si okamžitě, co se kam snaží připojit bez tvého vědomí a konat např. Buď si z toho něco vem nebo ne.
Re: wireshark a keylogger
Ako pise Microsheep, ak mas podozrenie na keylogger v pocitaci a nedari sa ti ho najst pomocou nejakeho antivirusu/ antispywaru a pod. Okamzite preinstaluj pocitac s tym ze vyformatujes disk pri instalacii.
Hladat keylogger na zaklade sietovej prevadzky je uz skor otazka na profesionala, a aj ten ho nemusi najst. Ak je keylogger napisany nejakym amaterom, tak ho dokazes najst. Ale akonahle je napisany profesionalne a snazi sa akivne skryvat, tj roby rozne necakane veci, nedrzi sa pevne nejakeho patternu ze kazdy den o 14:00 odosiela data na nejaky server, navyse v plaintexte, alebo po kazdych 10tich minutach a pod. tak ho casto krat nema velku sancu najst ani profik zaoberajuci sa tymto.
Takze znovu opakujem, odzalohovat veci ako su videa fotky hudba, tam je mala sanca na infiltraciu. Dokumenty (word, excel, pdf a pod) prebehnut viacerymi antivirakmy a az nasledne ich zalohovat (vyssia sanca na infiltraciu, napr pomoocu nejakeho makra vo wordowskom dokumente sa ti moze znovu stiahnut keylogger do PC). Ale urcite nezalohovat ziadne hry, programy a pod, cokolvek sa spusta cez .exe, .bat a pod -> velmi vysoka sanca na infiltraciu. Nasledne preinstalovat PC a vyformatovat kompletne cely disk pri instalacii.
Hladat keylogger na zaklade sietovej prevadzky je uz skor otazka na profesionala, a aj ten ho nemusi najst. Ak je keylogger napisany nejakym amaterom, tak ho dokazes najst. Ale akonahle je napisany profesionalne a snazi sa akivne skryvat, tj roby rozne necakane veci, nedrzi sa pevne nejakeho patternu ze kazdy den o 14:00 odosiela data na nejaky server, navyse v plaintexte, alebo po kazdych 10tich minutach a pod. tak ho casto krat nema velku sancu najst ani profik zaoberajuci sa tymto.
Takze znovu opakujem, odzalohovat veci ako su videa fotky hudba, tam je mala sanca na infiltraciu. Dokumenty (word, excel, pdf a pod) prebehnut viacerymi antivirakmy a az nasledne ich zalohovat (vyssia sanca na infiltraciu, napr pomoocu nejakeho makra vo wordowskom dokumente sa ti moze znovu stiahnut keylogger do PC). Ale urcite nezalohovat ziadne hry, programy a pod, cokolvek sa spusta cez .exe, .bat a pod -> velmi vysoka sanca na infiltraciu. Nasledne preinstalovat PC a vyformatovat kompletne cely disk pri instalacii.
-
- Level 3
- Příspěvky: 529
- Registrován: červen 18
- Bydliště: Brno-venkov
- Pohlaví:
- Stav:
Offline
Re: wireshark a keylogger
shockwave jen chci vedet, jak jsi přišel na to, že máš v PC keyloggera?? jestli si ho nainstaloval, vidět nejde, jde pouze zviditelnit zkratkou nebo unhidem.. chtěl si někoho špehovat nebo někdo tebe ?
Základní deska: B450 PRO GAMING ,CPU Ryzen 7 2700,GPU Nvidia RTX 3060,Patriot Viper Steel 32GB KIT DDR4 3600Mhz CL18,Zdroj:VERO M2 600W / Case: SilentiumPC Signum SG1X TG RGB
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti