Posted on 2010-03-09 15:34
S.l.e!ep.¢% 閱讀(992)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
http://hi.baidu.com/zzzevazzz/blog/item/a6d4f309a218d583d0581b37.html
一個反鍵盤記錄工具的分析
2007-04-12 14:09
(下面的文字本是我在某個論壇的回貼��,后來發現跑題了,食之無味棄之可惜,于是轉貼到這里 )
除了nProtect�����,國外還有一些反鍵盤記錄工具��,比如下面這個還不錯:
http://www.anti-keyloggers.com/
是個通用型的�����,與QQ的nProtect專門用于保護密碼不同。
而且反破解做的不錯(對我這種破解外行而言,呵呵)���。
它的原理我簡單的說一下,就是替換鍵盤類驅動的KeyboardClassServiceCallback,然后把得到的ScanCode傳遞到用戶態,由位于Winlogon.exe的一個線程負責調用NtUserSendInput,將按鍵消息發給當前焦點窗口。
應該說這款反鍵盤工具的設計思想是很先進的:
1,選用KeyboardClassServiceCallback的好處是��,比鍵盤過濾驅動更底層���,對PS/2或USB鍵盤通用���。
2��,用Winlogon轉發消息的好處是��,自動適應多用戶(session)的情況。
3,用NtUserSendInput的好處是�����,不會被Windows消息鉤子掛鉤���。
4�����,雖然它沒有構建起完全獨立的鍵盤輸入通道(這么做太復雜,兼容性不好)��,但對于沒有重建的部分���,通過檢測鉤子的方式彌補��。
它的鉤子檢測功能對于用戶態不錯���,遺憾的是���,居然漏掉了中斷服務掛鉤的檢測�����,實在是個大疏忽���。另外�����,作為通用型保護機制,不可避免的具有一些局限性,比如無法防御用窗口子類化來做鍵盤記錄���。
還有一款產品:
http://www.anti-keylogger.net/
以后有空再看看,呵呵。
|