site-logo site-logo

ساخت KeyLogger ویندوزی با استفاده از Hooking

آخرین بروزرسانی: 
hooking
آنچه در این پست میخوانید

در این قسمت به بررسی یکی دیگر از روش های مرسوم ساخت کیلاگر های ویندوزی خواهیم پرداخت . اگر مشاهده کرده باشید در یکی از ویدیو های قبلی بررسی کردیم یکی از روش های ساخت کیلاگر استفاده از تابع GetAsyncKeyState بود . در این روش از مکانیزم Hooking ویندوز برای ساخت کیلاگر استفاده میکنیم .

این آموزش متعلق به بخش توسعه بدافزار است

برای مشاهده تمام آموزش های توسعه بدافزار وبسایت مسترپایتون به بخش توسعه بدافزار مراجعه کنید

ورود به بخش توسعه بدافزار

مارا دنبال کنید

Telegram icon--color-black Youtube
حسین احمدی

علاقه مند به دنیای کامپیوتر ها ...

پست های مرتبط

مطالعه این پست ها رو از دست ندین!
resources in malware development

بهره گیری از بخش Resource فایل های PE در بدافزارها

همانطور که میدانید ساختار اصلی فایل های اجرایی در سیستم عامل ویندوز ، ساختار PE میباشد . این ساختار شامل بخش های مختلف برای نگهداری انواع مختلف اطلاعات میباشد . مثلا بخشی به نام text. برای نگهداری کد های ماشین فایل اجرایی ، بخشی به نام idata. برای نگهداری اطلاعات مربوط به واردات (Imports) فایل و …. یکی از بخش های بسیار مهم فایل های PE که در توسعه بدافزار ها به شدت استفاده میشود بخش Resource ها میباشد . برنامه نویس یا بدافزار نویس میتواند هرنوع اطلاعات دلخواهی را در این بخش ذخیره کند و حین اجرا آن اطلاعات را به دلخواه استخراج کرده و از آن ها استفاده کند . در این ویدیو نحوه کار با توابع Windows API جهت استفاده از Resource ها را یاد گرفته و برای مثال بدافزاری مینویسیم که یک پیلود reverse shell را در زمان اجرا از بخش resource های خود استخراج کرده و آن را اجرا میکند .

بیشتر بخوانید
Appinit_DLLs dll injection

تزریق DLL با استفاده از کلید رجیستری Appinit_DLLs

در این ویدیو یکی دیگر از روش های تزریق DLL را یاد میگیریم که با استفاده از تغییر رجیستری انجام میشود . مزیت این روش نسبت به روش های دیگر تزریق DLL در این هست که به محض پیاده سازی آن ، DLL دلخواه ما به تمام پروسه های ویندوز که پس از آن ساخته میشوند به طور خودکار تزریق میشود و درنتیجه با استفاده از آن برای مثال میتوانیم تکنیک هایی مثل API Hooking را برای تمامی پروسه های تازه سیستم انجام دهیم …. در این ویدیو با استفاده از تزریق DLL با این روش ، یک payload از نوع reverse_shell در سیستم قربانی اجرا میکنیم و به خط فرمان آن دسترسی پیدا میکنیم .

بیشتر بخوانید
Thread Hijacking in windows

تزریق کد با تکنیک Thread Hijacking

نخ ها واحد های اجرایی در پروسه ها و در هر پروسه در حال اجرا ، حداقل یک نخ (Thread) اجرایی وجود دارد . یکی از روش های مرسوم تزریق کد به نام Thread Hijacking به این روش عمل میکند که بدافزار یکی از نخ های در حال اجرا در پروسه هدف را وادار به اجرای کد دلخواه میکند . این روش با تغییر مقدار ثبات EIP یا RIP در نخ مربوطه انجام میشود . همانطور که میدانید ثبات EIP (در معماری x86) یا RIP (در معماری x86-64) یک ثبات ۳۲ یا ۶۴ بیتی است که حاوی آدرس دستورالعمل بعدی در حافظه است که پردازنده اجرا خواهد کرد حال اگر ما مقدار این ثبات را طوری تغییر دهیم که به کد دلخواه ما اشاره کند در نتیجه دستورالعمل های بعدی که پردازنده اجرا خواهد کرد ، کد ما خواهد بود . 

بیشتر بخوانید

نظرات

سوالات و نظراتتون رو با ما به اشتراک بذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


آواتار کاربر کاربر مهمان taha ۸ آبان ۱۴۰۴

سلام مرسی از آموزش خوبتون یه پیشنهاد داشتم اگر میتونید یک گیت هابم بسازید که فایل های هر پروژه داخلش باشه میتونه کمک خوبی باششه تشکر

نوشتن پاسخ
حسین احمدی ۹ آبان ۱۴۰۴

درود بر شما . ممنون از بازدید شما . حساب github داریم ولی معمولا این سورس های کوچیک رو روش نمیگذاشتیم .
تلاش میکنم یک مخزن تعریف کنم و از این به بعد قرارشون بدم .
آدرس github مسترپایتون : https://github.com/mrpythonblog

نوشتن پاسخ