Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Keylogger drpu pc data manager

Frage Sicherheit Viren und Trojaner

Mitglied: djevil-ad

djevil-ad (Level 1) - Jetzt verbinden

16.06.2010 um 08:51 Uhr, 5648 Aufrufe, 8 Kommentare, 1 Danke

hallo,
ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Seine Mailadresse müsste ja irgendwo gespeichert sein.
leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
An die Konfiguration komme ich so halt nicht so einfach ran.
Ich sehe da nur illegale Möglichkeiten(cr..k),
(obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
(ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Mitglied: koluschkiB
16.06.2010 um 09:04 Uhr
Moin Djevil-ad


wenn das programm noch versteckt im Hintergrund läuft, kannst du es mit einem Tastenkombo starten.
zb. Strg+Alt+Shift+F8. musst mal im netz schauen, welchen Tasten es genau sind, oder besser du ziehst dir selbst die Demo im netz, installierst sie auf nem testpc und so siehst du ganz genau, was wo wie funktioniert kannst dann auf dem betroffenem PC es Starten und schauen ob irgendwo die email hinterlegt ist.
Aus eigener Erfahrung, ist sie es

gruß

koluschkiB
Bitte warten ..
Mitglied: Snowman25
16.06.2010 um 09:09 Uhr
Zitat von djevil-ad:
hallo,
hallo,
ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Das ist schonmal nicht gut.
Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Wieso wollen immer alle die Teile zurückverfolgen? Wenn der überhaupt etwas nach draussen gesendet hat, dann musst du eben in deinen Proxy-/ Firewalllogs nachsehen
Seine Mailadresse müsste ja irgendwo gespeichert sein.
Wenn's dumm läuft, dann steht sie verschlüsselt fest im Programm
leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
Die wird auch kaum im gleichen Ordner gespeichert werden. Sowas versteckt man ja auch
zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
??? Hat den vllt. ein Mitarbeiter zu Testzwecken installiert?
An die Konfiguration komme ich so halt nicht so einfach ran.
Datenzugriffe loggen, wenn das Ding aktiv ist. Dann findest du auch Logs und ggb. Config
Ich sehe da nur illegale Möglichkeiten(cr..k),
Ein Crack ist einen Computer hacken (eigentlich cracken), um dem Besitzer oder einem Benutzer zu schaden und/oder sich selbst einen Vorteil zu verschaffen. (Oder das umgehen eines Kopierschutzes). Ausserdem kannst du auf deinem eigenen Rechner machen, was du willst. Da ist recht wenig illegal.
(obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
Das allein wohl nicht. Allerdings die Daten auszuwerten.
(ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Kannst ja auch mal versuchen, 'nen Debugger dran zu hängen

kein Gruß
snow
Bitte warten ..
Mitglied: djevil-ad
16.06.2010 um 09:23 Uhr
Zitat von Snowman25:
> Zitat von djevil-ad:
> ----
> hallo,
hallo,
> ich habe leider o.g. keylogger auf einem unserer Rechner gefunden.
Das ist schonmal nicht gut.
> Jetzt würde ich gerne wissen ob sich der Übeltäter zurückverfolgen lässt.
Wieso wollen immer alle die Teile zurückverfolgen? Wenn der überhaupt etwas nach draussen gesendet hat, dann musst du
eben in deinen Proxy-/ Firewalllogs nachsehen

Ah,ja.

> Seine Mailadresse müsste ja irgendwo gespeichert sein.
Wenn's dumm läuft, dann steht sie verschlüsselt fest im Programm
> leider besteht das Programm nur aus eine exe und einer dll, die log Datei kann ich nicht finden,
Die wird auch kaum im gleichen Ordner gespeichert werden. Sowas versteckt man ja auch
> zudem handelt es sich auch um eine Demo-Version die schon abgelaufen ist.
??? Hat den vllt. ein Mitarbeiter zu Testzwecken installiert?

Wäre möglich.

> An die Konfiguration komme ich so halt nicht so einfach ran.
Datenzugriffe loggen, wenn das Ding aktiv ist. Dann findest du auch Logs und ggb. Config
> Ich sehe da nur illegale Möglichkeiten(cr..k),
Ein Crack ist einen Computer hacken (eigentlich cracken), um dem Besitzer oder einem Benutzer zu schaden und/oder sich selbst
einen Vorteil zu verschaffen. (Oder das umgehen eines Kopierschutzes). Ausserdem kannst du auf deinem eigenen Rechner machen, was
du willst. Da ist recht wenig illegal.

Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.

> (obwohl es wohl auch illegal ist bei anderen Leuten einen keylogger zu installieren.)
Das allein wohl nicht. Allerdings die Daten auszuwerten.
> (ansonst vielleicht disassemblieren??hab ich allerdings keine Erfahrung mit)
Kannst ja auch mal versuchen, 'nen Debugger dran zu hängen

Ja falls ich mal nix zu tun hab

kein Gruß

warum kein Gruss, war ich so unhöflich?
snow
Bitte warten ..
Mitglied: Snowman25
16.06.2010 um 09:29 Uhr
Zitat von djevil-ad:
Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
Unter Umständen. Ab und zu heißt das auch 'kaufen'
Ich ging allerdings nicht davon aus, dass du den Keylogger 'erweitern' möchtest..

kein Gruß
warum kein Gruss, war ich so unhöflich?
Du hast ja auch nicht gegrüßt :-P
snow
Bitte warten ..
Mitglied: djevil-ad
16.06.2010 um 09:35 Uhr
Zitat von Snowman25:
> Zitat von djevil-ad:
> ----
> Ich dachte, man würde es auch cracken nennen wenn man aus einer Demo eine Vollversion macht.
Unter Umständen. Ab und zu heißt das auch 'kaufen'
Ich ging allerdings nicht davon aus, dass du den Keylogger 'erweitern' möchtest..

Nun, Geld für Malware wollte ich eigentlich nicht investieren.

>> kein Gruß
> warum kein Gruss, war ich so unhöflich?
Du hast ja auch nicht gegrüßt :-P
>> snow

Ok, mein Fehler..
Bitte warten ..
Mitglied: maretz
16.06.2010 um 10:27 Uhr
Moin,

also mit nem disassambler wäre das zwar möglich (sofern die email-adresse fest eingetragen wurde) aber aufwendig. Sofern du nix von ASM-Sprachen verstehst wirst du hier ins leere laufen.

Nen Crack? Gut - dann hast du die "Vollversion". Und dann? So die Email-Adresse fest im Programm eingetragen ist bist du noch keinen Schritt weiter...

Jetzt könntest du natürlich einfach mal den Datenverkehr von deinem Rechner mitschneiden -> und zwar alles was auf dport 25 geht. Sofern derjenige sich an nen SMTP-Standard gehalten hat wird er versuchen an seine Adresse zu senden - und bei normalen SMTP ist die Adresse jetzt im Klartext lesbar. Nachteil: Du weisst nicht WANN das Programm sendet -> d.h. das kann sehr lange dauern.

Und jetzt die 100.000 Euro Masterfrage: Was bringt es dir wenn du die Email-Adresse von der Person kennst? Wenn der/diejenige auch nur eine Minimal-Intelligenz hat dann wird das irgendwo ein Free-Mailer sein und mit irgendeiner Sinnfreien Email-Adresse arbeiten. Gut - du weisst jetzt das deine Daten an grmbfix@xxx.org gesendet wurden. Bist du jetzt weiter?

Ich würde eher folgendes machen: Den Rechner sauber neu aufsetzen und danach NICHT mit Cracks u. ä. Software rumspielen (denn üblicherweise kommt nen Keylogger genau dort her!). Dann noch sämtliche Passwörter (ebay, Banking,...) ändern und aus der ganzen Aktion lernen...
Bitte warten ..
Mitglied: djevil-ad
16.06.2010 um 10:50 Uhr
Zitat von maretz:
Moin,

also mit nem disassambler wäre das zwar möglich (sofern die email-adresse fest eingetragen wurde) aber aufwendig. Sofern
du nix von ASM-Sprachen verstehst wirst du hier ins leere laufen.

Nen Crack? Gut - dann hast du die "Vollversion". Und dann? So die Email-Adresse fest im Programm eingetragen ist bist du
noch keinen Schritt weiter...

Die Einstellungen sind doch im Programm

Jetzt könntest du natürlich einfach mal den Datenverkehr von deinem Rechner mitschneiden -> und zwar alles was auf
dport 25 geht. Sofern derjenige sich an nen SMTP-Standard gehalten hat wird er versuchen an seine Adresse zu senden - und bei
normalen SMTP ist die Adresse jetzt im Klartext lesbar. Nachteil: Du weisst nicht WANN das Programm sendet -> d.h. das kann
sehr lange dauern.

Und jetzt die 100.000 Euro Masterfrage: Was bringt es dir wenn du die Email-Adresse von der Person kennst? Wenn der/diejenige auch
nur eine Minimal-Intelligenz hat dann wird das irgendwo ein Free-Mailer sein und mit irgendeiner Sinnfreien Email-Adresse
arbeiten. Gut - du weisst jetzt das deine Daten an grmbfix@xxx.org gesendet wurden. Bist du jetzt weiter?

Muss nicht, kann aber.. ,es geht aber rein ums Interesse wies gehen könnte

Ich würde eher folgendes machen: Den Rechner sauber neu aufsetzen und danach NICHT mit Cracks u. ä. Software rumspielen
(denn üblicherweise kommt nen Keylogger genau dort her!). Dann noch sämtliche Passwörter (ebay, Banking,...)
ändern und aus der ganzen Aktion lernen...

zum Glück waren da keine wichtigen Daten oder Passwörter etc. drauf..
Bitte warten ..
Mitglied: maretz
16.06.2010 um 11:22 Uhr
die einstellungen sind im Programm? Woher weisst du das? Jetzt geb ich dir mal ne Option wie ich das machen würde:

Keylogger startet und zieht sich die Konfiguration von einem beliebigen (web-)Server. Eleganter Vorteil: Wenn McAfee usw. in ihre Scanner-Signaturen meine Email-Adresse hinterlegen dann wechsel ich die Email-Adresse schnell und schon erkennt die Signatur (wenn die so simpel ist) meine Adresse nicht mehr. Der Keylogger läuft weiter. Jetzt besorge ich mir ggf. noch irgendwo in Timbuktu nen Root-Server-Zugang und richte dort ne Catch-All-Adresse ein. Schon kann die Konfiguration sogar ne dynamische Email-Adresse enthalten die Täglich/Stündlich wechselt. Gleichzeitig könnte ich so dem Keylogger noch eine Funktionserweiterung spendieren -> z.B. Auto-Update oder Destruktive Funktionen nachladen (wenn ich keine Daten mehr bekomme dann plättet man eben alle Rechner die infiziert sind - damit ich Zeit gewinne die geklauten Daten zu verwenden).

So - jetzt kommst du mit deinem Decompiler oder deinem Crack. Du siehst hier keine Adresse "@xyz.de" im Quellcode -> da die Konfig ja erst zur Laufzeit geladen wird. Und du siehst ggf. auch (je nachdem in welcher Sprache man das macht und wie man das aufbaut) keinen Aufruf "http" sondern nur ne Socket-Verbindung. Und ob du die ohne Programmierkenntnisse erkennst (speziell bei Assambler-Sprachen) ist eher fraglich.

Hier würdest du aber eben mit einem Programm welches deinen Traffic mitschneidet weiterkommen. Allerdings: Nehmen wir an das ich der Versender wäre. Da ich ja weiss zu welchem Server mein Keylogger kontakt aufnehmen soll und da ich ggf. den Mail-Verkehr auf nem geknackten Root-Server erwarte (ich möchte ja nicht meinen eigenen dafür nehmen...) würde ich auch da etwas anders vorgehen: Ich würde mich eben abseits vom Port 25 / SMTP bewegen -> z.B. Port 12349. Da kann ich auf dem Root-Server nen Mailserver drauf lauschen lassen ohne das es dem Möchtegern-Admin auffällt. Gleichzeitig umgehe ich noch einiges an Firewalls von Möchtegern-Admins (Ports oberhalb von 1023 lässt man erstmal per Default durch...) und umgehe auch die SMTP-Sperre von Virenscannern (die blocken nur ausgehend Port 25 damit man keine Massenwürmer versendet -> da fall ich ja dann nicht drunter). Da dein Rechner aber ja vermutlich mehr macht als nur rumstehen und Keylogger-Daten zu versenden kannst du bei der Datenmenge kaum was sinnvoll prüfen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
IDE & Editoren
USB STICK Datei AUTOMATISCH beim anschliessen auf fremden PC öffnen (9)

Frage von Jwanner83 zum Thema IDE & Editoren ...

Sicherheit
Mit Big Data heutigen Sicherheitsbedrohungen begegnen

Link von runasservice zum Thema Sicherheit ...

Batch & Shell
gelöst WinXP-PC mit einem Barcodescanner herunterfahren (8)

Frage von Sinzal zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...