反键盘记录测试

a27573

win10 x64 21H1
HMPA 3.8.14 Build 907

真实输入:
test
password

我在 HitmanPro.Alert 按键加密开启的情况下，用 SpyShelter 的测试工具进行测试，发现记录的内容没有被加密：



Firefox 和 Edge 都测了
我以为是 SpyShelter 用某种方式绕过了加密，然后用自己写的 Keylogger 做了测试（初中时基于网上代码改的，用了最基础的方法），结果仍然记录了真实内容。
、

更新：经33楼提醒，HMPA的击键加密只支持纯英文输入法，测试表明确实如此


SpyShelter 的测试工具
https://www.spyshelter.com/security-test-tool/
或者
https://wwa.lanzoui.com/i0rIfrl09wj

自制 Keylogger
https://wwa.lanzoui.com/ipgNMrl0bxc
源码和可执行文件都在里面
运行后自动隐藏窗口，结果记录在 D:\test.txt 里，F12退出或者任务管理器找到并结束进程
32位版
https://wwa.lanzoui.com/isqqIrl8rra
除此之外没有其他行为，不放心可以自行审计源代码并编译
为了方便测试，最好不要上报

内核级 Keylogger
感谢84楼 @Yuki丶 提供的测试工具
https://wwa.lanzoui.com/iXNEornk70h
密码:azds

解压，运行 run.bat
可能会有同意 Eula 的弹窗，同意即可
如果混杂了其他输出，可能要取消勾选 Capture Win32
运行 uninstall.bat 卸载

效果演示：




内核级GetKeyState (只支持Win10)
再次感谢 @Yuki丶
https://wwa.lanzoui.com/i1EGks3vq1e
密码:3sgy

使用方法同上，注意可能记录不全，最好多次测试，如果都没有记录到或记录到不正确的击键则视为成功
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49209460



下面这个最好虚拟机测试
由 @00006666 提供
https://wwa.lanzoui.com/iGk2Orlb46j
用了GetKeyState，可以绕过一部分杀软的反键盘记录

更新了一张汇总表，大家可以参照这个格式，或者有更好的格式也可以提出来
有条件的话请帮忙测试，谢谢
某些杀软加密后的内容很有规律，只从截图中难以区分是否加密，建议附上原输入
最好说明所使用的输入法

安软	①SpyShelter 工具	②自制 Keylogger	③GetKeyState 工具	④内核 Keylogger	⑤内核级GetKeyState	备注
ESET Internet Security 14.2.10.0	成功	成功	成功	成功	成功	使用“网上银行和付款保护”功能 ①②④⑤在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体，中国) 微软拼音”和“英语(美国) 美式键盘 键盘”测试 ③在 Hyper-V 虚拟机 Windows LTSC 2019 上使用输入法“微软拼音”进行测试 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125775
HitmanPro.Alert 3.8.14 Build 907	部分成功	部分成功	失败	失败	部分成功	①②在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体，中国) 微软拼音”和虚拟机 Win7 x32 测试时失败 在物理机 Win10 x64 21H1 上使用输入法“英语(美国) 美式键盘 键盘”测试时成功 ③在 Win7 x64 上使用美式键盘和中文输入法测试 ④在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体，中国) 微软拼音”和“英语(美国) 美式键盘 键盘”测试 ⑤在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体，中国) 微软拼音”测试时失败，使用输入法“英语(美国) 美式键盘 键盘”测试时成功 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125709 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49130489
Spyshelter Premium 10.6.1	成功	成功	成功	成功	成功	①②在物理机 Win7 x64 上测试 ③在 win7 x32 和 x64 上测试，若将击键加密中的挂钩防护开启为防护优化模式（默认），则程序提示挂钩错误，无法启动。若开启为兼容性优化模式，则运行后hips弹窗提示记录键盘输入，允许后击键加密无效，记录输入成功。阻止则无法记录到击键。 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125709 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49129949 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49207345
Kaspersky Security Cloud 21.3.10.391(d)	报毒	失败		部分成功		开启受保护的浏览器、受保护的浏览器和屏幕键盘后结果一致 英语(美国),美式键盘和简体(简体，中国) 微软拼音结果一致 Microsoft Edge 版本 91.0.864.70 (官方内部版本) (64 位) ④软键盘测试成功，物理键盘测试失败 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125528 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125662
Norton	报毒	失败				网银保护，隔离模式，受保护的网站 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49126524
G DATA	成功	成功	成功	成功		物理机 Win7 打开网银保护和键盘记录防护 在防护中自定义添加傲游浏览器便携版 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49129937
COMODO Internet Security Premium	成功	成功	成功	成功		COMODO Secure Shopping（安全购物） 禁用反病毒、防火墙、自动 Containment 等保护组件及文件评级云查询功能 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49136504
KeyScrambler Personal 3.15.0.0	成功	成功	成功	成功		默认设置 ①②③④在 Hyper-V 虚拟机 Windows LTSC 2019 上使用输入法“微软拼音”进行测试 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125775
BitDefender	报毒	成功	成功	部分成功		SafePay浏览器 ④软键盘测试成功，物理键盘测试失败 https://bbs.kafan.cn/forum.php?m ... 212759&pid=49200165

注：本测试仅针对通用的反击键记录技术，反映安软对未知 Keylogger 的防御能力，同时由于排除可能引起功能失效，故报毒不算成功

巍巍

似乎并不只有这一家有问题


卡巴你在做什么呀卡巴,不会连你自己的网站都触发不了吧




什么,屏幕键盘?



键盘记录没拦住,倒是把我截图给拦住了,把键盘关了才能截图,GG


快捷键yyds





至于那个spyshelter的工具卡巴直接报毒,不好测,算了

测试的产品以及版本

巍巍

anthonyqian 发表于 2021-7-18 21:50
以前做过测试，ESET的安全浏览器、BD的safepay都可以阻挡键盘记录器。至于卡巴，好像是不行的，当时卡巴版 ...

外加一点
卡巴受保护的浏览器,凉凉受保护的浏览器+屏幕键盘,凉凉
测试产品与版本同上
补几张图片

手机拍摄
直接截图效果

swizzer

HitmanPro.Alert 3.8.14 build 907

win7 x32虚拟机下使用Spyshelter工具测试防御失败。



自制keylogger同样防御失败。。。


win7 x64 实体机，Spyshelter Premium 10.6.1,使用spyshelter工具测试，击键加密防御成功，自制keylogger防御成功。

a27573

EIS 14.2.10.0

ESET 银行付款保护 均成功


GetKeyState 防御成功




内核 Keylogger 防御成功


（手贱实机运行了，不过也没什么问题）

内核级GetKeyState 防御成功



HitmanPro.Alert
内核 Keylogger 防御失败
两种输入法结果一致



内核级GetKeyState
纯英文输入法下竟然成功了，震惊

无限刷屏 @Yuki丶


微软拼音还是失败，意料之中


KeyScrambler 3.15.0.0 全部成功


那个 F12 是自制 Keylogger 退出的快捷键，前面记录到的应该是不可见字符



退格


过了一段时间（没碰键盘），可能是一种填充虚假击键的防御措施，也可能是虚拟机的缘故
经过更多测试，应该是来自虚拟机

作为对比

aboringman

Norton：



先来个无意义的（杀SpyShelter的测试工具）

自制的运行（谷歌浏览器，网银保护，隔离模式，受保护的网站），扑街

huai168an

击键加密工具要看是否支持东南亚语言的支持，我们大部分用的是中文输入法，即使使用中文中的英文输入也不行，必须使用默认的键盘输入才可以
hitman加密功能早就测试过，应该是不支持中文输入的，你用纯英文输入在测试下，应该会有惊喜。

还有很多很好的加密工具，比如原来免费的Ghostpress，可惜不支持中文（现在还收费），Zemana AntiLogger Free虽然不更新了，但是依然很强大，但是。。不支持东南亚语言，浪费表情
现在比较好的免费击键加密只有Keyscrambler，免费版加密浏览器，够用

所以安软中的击键加密功能就看良心补良心了，是否支持东南亚语言


PS：之前用了Keyscrambler一段时间，感觉很好，但是击键加密这个东西还有个问题，就是会和有些功能冲突，
比如有些特别的用户名和密码输入框不支持，没办法输入，比如你要是用vimium这种浏览器插件的话，就悲剧了，最后我也没用击键加密了
同时还有个问题，击键加密虽然是最后的防线，但是安全这个最好还是初始发现和解决，不然系统被控制了，击键加密这个。。。kill也就没了

救命稻草

G DATA 打开网银保护和键盘记录防护




在防护中自定义添加傲游浏览器便携版



使用Spyshelter工具测试防御成功，并且一段时间后主防删除




使用自制keylogger工具测试防御成功




实机测试GetKeyState工具防御成功，并且一段时间后主防删除




实机测试84楼驱动级键盘记录工具成功


首先加载内核，用PCHunter可以看到驱动成功加载



然后做对照实验，G DATA键盘防护取消360极速浏览器的保护，添加傲游浏览器便携版的保护



测试360浏览器结果



测试傲游浏览器结果

Yuki丶

驱动级按键记录来了

打开DbgView内核捕获即可看到输出 (需要管理员身份运行)

密码:123

eternity.

测试 COMODO Internet Security Premium 12.2.2.8012。
操作系统为 Windows 10 Enterprise 20H2 x64。

测试将在 COMODO Secure Shopping（安全购物）模式下进行。
同时禁用反病毒、防火墙、自动 Containment 等保护组件及文件评级云查询功能（确保测试工具顺利运行）。



测试结果如下：

YorkWaugh

BitDefender
IE下自制 Keylogger失败

SafePay浏览器下成功


SpyShelter 的测试工具
被杀（顺便杀了我的VMware Tool）




内核级 Keylogger
SafePay失败

Yuki丶

我再来一个内核级GetKeyState (只支持Win10)

只写了一部分按键:F1->F12 A->Z 0->9 Back Ctrl Shift Tab
食用方法参考84楼 解压密码123

swizzer

Yuki丶 发表于 2021-7-31 23:46
我再来一个内核级GetKeyState (只支持Win10)

只写了一部分按键:F1->F12 A->Z 0->9 Back Ctrl Shif ...

Spyshelter Firewall 12.5 占位

成功防御

Yuki丶

a27573 发表于 2021-8-1 12:45
打字一快就截不全

因为加了延迟

巍巍

a27573 发表于 2021-8-1 12:09
驱动的服务已经存在的情况下，创建服务提示拒绝访问是正常的
如果同时运行两个dbgview，会提示无法连接
...

刚刚重试了内核级keylogger
无论在中文还是英文输入条件下这个卡巴依然没用，但是软键盘输入的东西并不会有记录

LDE

實測 在Anti-Keylogger Tester啟動方式都是能錄到但全是英數大寫 美廠商hmpa會殺

a27573

LDE 发表于 2021-7-18 19:54
實測 在alft下啟動方式都是能錄到但全是英數大寫 美廠商hmpa會殺

直接

1. SetWindowsHookEx(WH_KEYBOARD_LL,...);

复制代码

拿到的字母默认就是大写的
要确定大小写得靠其他信息辅助判断的（比如当前大小写模式，CapsLock按下，Shift按下且没有抬起等）

anthonyqian

以前做过测试，ESET的安全浏览器、BD的safepay都可以阻挡键盘记录器。至于卡巴，好像是不行的，当时卡巴版还有一个贴子专门讨论这个。

a27573

swizzer 发表于 2021-7-18 22:13
HitmanPro.Alert 3.8.14 build 907

win7 x32虚拟机下使用Spyshelter工具测试防御失败。

我编译的是64位的

swizzer

a27573 发表于 2021-7-18 22:15
我编译的是64位的

这很容易知道

我现在好奇的是为什么ssf自己的击键加密不防御自家工具难道ssf的击键加密也是内置了白名单？