查看: 23816|回复: 151
收起左侧

[讨论] 反键盘记录测试

  [复制链接]
a27573
发表于 2021-7-18 19:51:50 | 显示全部楼层 |阅读模式
本帖最后由 a27573 于 2021-8-1 19:49 编辑

win10 x64 21H1
HMPA 3.8.14 Build 907

真实输入:
test
password

我在 HitmanPro.Alert 按键加密开启的情况下,用 SpyShelter 的测试工具进行测试,发现记录的内容没有被加密:



Firefox 和 Edge 都测了
我以为是 SpyShelter 用某种方式绕过了加密,然后用自己写的 Keylogger 做了测试(初中时基于网上代码改的,用了最基础的方法),结果仍然记录了真实内容。


更新:经33楼提醒,HMPA的击键加密只支持纯英文输入法,测试表明确实如此


SpyShelter 的测试工具
https://www.spyshelter.com/security-test-tool/
或者
https://wwa.lanzoui.com/i0rIfrl09wj

自制 Keylogger
https://wwa.lanzoui.com/ipgNMrl0bxc
源码和可执行文件都在里面
运行后自动隐藏窗口,结果记录在 D:\test.txt 里,F12退出或者任务管理器找到并结束进程

32位版
https://wwa.lanzoui.com/isqqIrl8rra
除此之外没有其他行为,不放心可以自行审计源代码并编译
为了方便测试,最好不要上报

内核级 Keylogger
感谢84楼 @Yuki丶 提供的测试工具
https://wwa.lanzoui.com/iXNEornk70h
密码:azds

解压,运行 run.bat
可能会有同意 Eula 的弹窗,同意即可
如果混杂了其他输出,可能要取消勾选 Capture Win32
运行 uninstall.bat 卸载

效果演示:




内核级GetKeyState (只支持Win10)
再次感谢 @Yuki丶
https://wwa.lanzoui.com/i1EGks3vq1e
密码:3sgy

使用方法同上,注意可能记录不全,最好多次测试,如果都没有记录到或记录到不正确的击键则视为成功
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49209460



下面这个最好虚拟机测试

由 @00006666 提供
https://wwa.lanzoui.com/iGk2Orlb46j
用了GetKeyState,可以绕过一部分杀软的反键盘记录

更新了一张汇总表,大家可以参照这个格式,或者有更好的格式也可以提出来
有条件的话请帮忙测试,谢谢
某些杀软加密后的内容很有规律,只从截图中难以区分是否加密,建议附上原输入
最好说明所使用的输入法

安软 ①SpyShelter 工具 ②自制 Keylogger ③GetKeyState 工具 ④内核 Keylogger ⑤内核级GetKeyState 备注
ESET Internet Security 14.2.10.0 成功 成功 成功 成功成功
使用“网上银行和付款保护”功能
①②④⑤在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体,中国) 微软拼音”“英语(美国) 美式键盘 键盘”测试
③在 Hyper-V 虚拟机 Windows LTSC 2019 上使用输入法“微软拼音”进行测试
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125775
HitmanPro.Alert 3.8.14 Build 907 部分成功 部分成功失败
失败
部分成功①②在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体,中国) 微软拼音”和虚拟机 Win7 x32 测试时失败
在物理机 Win10 x64 21H1 上使用输入法“英语(美国) 美式键盘 键盘”测试时成功
③在 Win7 x64 上使用美式键盘中文输入法测试
④在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体,中国) 微软拼音”“英语(美国) 美式键盘 键盘”测试
⑤在物理机 Win10 x64 21H1 上使用输入法“中文 简体(简体,中国) 微软拼音”测试时失败,使用输入法“英语(美国) 美式键盘 键盘”测试时成功
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125709
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49130489
Spyshelter Premium 10.6.1 成功 成功成功
成功
成功
①②在物理机 Win7 x64 上测试
③在 win7 x32 和 x64 上测试,若将击键加密中的挂钩防护开启为防护优化模式(默认),则程序提示挂钩错误,无法启动。若开启为兼容性优化模式,则运行后hips弹窗提示记录键盘输入,允许后击键加密无效,记录输入成功。阻止则无法记录到击键。
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125709
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49129949
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49207345
Kaspersky Security Cloud 21.3.10.391(d)
报毒
失败
部分成功
开启受保护的浏览器、受保护的浏览器和屏幕键盘后结果一致
英语(美国),美式键盘和简体(简体,中国) 微软拼音结果一致
Microsoft Edge 版本 91.0.864.70 (官方内部版本) (64 位)
④软键盘测试成功,物理键盘测试失败
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125528
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125662
Norton
报毒
失败


网银保护,隔离模式,受保护的网站
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49126524
G DATA
成功 成功 成功
成功

物理机 Win7
打开网银保护和键盘记录防护
在防护中自定义添加傲游浏览器便携版
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49129937
COMODO Internet Security Premium
成功 成功 成功
成功

COMODO Secure Shopping(安全购物)
禁用反病毒、防火墙、自动 Containment 等保护组件及文件评级云查询功能
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49136504
KeyScrambler Personal 3.15.0.0
成功 成功 成功 成功
默认设置
①②③④在 Hyper-V 虚拟机 Windows LTSC 2019 上使用输入法“微软拼音”进行测试
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49125775
BitDefender 报毒
成功 成功
部分成功
SafePay浏览器
④软键盘测试成功,物理键盘测试失败
https://bbs.kafan.cn/forum.php?m ... 212759&pid=49200165

注:本测试仅针对通用的反击键记录技术,反映安软对未知 Keylogger 的防御能力,同时由于排除可能引起功能失效,故报毒不算成功

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 13分享 +3 魅力 +1 人气 +30 收起 理由
带刀侍卫 + 2 精品文章
dongwenqi + 2 版区有你更精彩: )
ikochina + 2 测下大蜘蛛12.5测试版呢
ANY.LNK + 2 加分鼓励
InApproaching + 1 精品文章

查看全部评分

巍巍
发表于 2021-7-18 21:27:48 | 显示全部楼层
本帖最后由 巍巍 于 2021-7-18 21:51 编辑

似乎并不只有这一家有问题


卡巴你在做什么呀卡巴,不会连你自己的网站都触发不了吧




什么,屏幕键盘?



键盘记录没拦住,倒是把我截图给拦住了,把键盘关了才能截图,GG


快捷键yyds





至于那个spyshelter的工具卡巴直接报毒,不好测,算了

测试的产品以及版本


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +5 收起 理由
小难民 + 3 感谢解答: )
Kalium + 2 版区有你更精彩: )

查看全部评分

巍巍
发表于 2021-7-18 22:00:49 | 显示全部楼层
本帖最后由 巍巍 于 2021-7-19 08:34 编辑
anthonyqian 发表于 2021-7-18 21:50
以前做过测试,ESET的安全浏览器、BD的safepay都可以阻挡键盘记录器。至于卡巴,好像是不行的,当时卡巴版 ...

外加一点
卡巴受保护的浏览器,凉凉受保护的浏览器+屏幕键盘,凉凉
测试产品与版本同上
补几张图片

手机拍摄
直接截图效果



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2021-7-18 22:13:49 | 显示全部楼层
本帖最后由 swizzer 于 2021-7-18 22:51 编辑

HitmanPro.Alert 3.8.14 build 907

win7 x32虚拟机下使用Spyshelter工具测试防御失败。




自制keylogger同样防御失败。。。


win7 x64 实体机,Spyshelter Premium 10.6.1,使用spyshelter工具测试,击键加密防御成功,自制keylogger防御成功。




a27573
 楼主| 发表于 2021-7-18 22:31:31 | 显示全部楼层
本帖最后由 a27573 于 2021-8-1 19:47 编辑

EIS 14.2.10.0

ESET 银行付款保护 均成功


GetKeyState 防御成功




内核 Keylogger 防御成功


(手贱实机运行了,不过也没什么问题)

内核级GetKeyState 防御成功



HitmanPro.Alert
内核 Keylogger 防御失败
两种输入法结果一致



内核级GetKeyState
纯英文输入法下竟然成功了,震惊

无限刷屏 @Yuki丶


微软拼音还是失败,意料之中


KeyScrambler 3.15.0.0 全部成功


那个 F12 是自制 Keylogger 退出的快捷键,前面记录到的应该是不可见字符



退格


过了一段时间(没碰键盘),可能是一种填充虚假击键的防御措施,也可能是虚拟机的缘故
经过更多测试,应该是来自虚拟机

作为对比




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
swizzer + 1 版区有你更精彩: )

查看全部评分

aboringman
发表于 2021-7-19 00:42:09 | 显示全部楼层
本帖最后由 aboringman 于 2021-7-19 01:14 编辑

Norton:



先来个无意义的(杀SpyShelter的测试工具)

自制的运行(谷歌浏览器,网银保护,隔离模式,受保护的网站),扑街

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huai168an
发表于 2021-7-19 09:56:29 | 显示全部楼层
本帖最后由 huai168an 于 2021-7-19 10:03 编辑

击键加密工具要看是否支持东南亚语言的支持,我们大部分用的是中文输入法,即使使用中文中的英文输入也不行,必须使用默认的键盘输入才可以
hitman加密功能早就测试过,应该是不支持中文输入的,你用纯英文输入在测试下,应该会有惊喜。

还有很多很好的加密工具,比如原来免费的Ghostpress,可惜不支持中文(现在还收费),Zemana AntiLogger Free虽然不更新了,但是依然很强大,但是。。不支持东南亚语言,浪费表情
现在比较好的免费击键加密只有Keyscrambler,免费版加密浏览器,够用

所以安软中的击键加密功能就看良心补良心了,是否支持东南亚语言


PS:之前用了Keyscrambler一段时间,感觉很好,但是击键加密这个东西还有个问题,就是会和有些功能冲突,
比如有些特别的用户名和密码输入框不支持,没办法输入,比如你要是用vimium这种浏览器插件的话,就悲剧了,最后我也没用击键加密了
同时还有个问题,击键加密虽然是最后的防线,但是安全这个最好还是初始发现和解决,不然系统被控制了,击键加密这个。。。kill也就没了

评分

参与人数 2人气 +2 收起 理由
小小龙 + 1 好久不见
a27573 + 1 感谢解答: )

查看全部评分

救命稻草
发表于 2021-7-19 13:08:20 | 显示全部楼层
本帖最后由 救命稻草 于 2021-7-20 12:23 编辑

G DATA 打开网银保护和键盘记录防护




在防护中自定义添加傲游浏览器便携版



使用Spyshelter工具测试防御成功,并且一段时间后主防删除




使用自制keylogger工具测试防御成功




实机测试GetKeyState工具防御成功,并且一段时间后主防删除




实机测试84楼驱动级键盘记录工具成功


首先加载内核,用PCHunter可以看到驱动成功加载



然后做对照实验,G DATA键盘防护取消360极速浏览器的保护,添加傲游浏览器便携版的保护



测试360浏览器结果



测试傲游浏览器结果


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
swizzer + 1

查看全部评分

Yuki丶
发表于 2021-7-19 23:57:59 | 显示全部楼层
本帖最后由 Yuki丶 于 2021-7-20 00:56 编辑

驱动级按键记录来了

打开DbgView内核捕获即可看到输出 (需要管理员身份运行)

密码:123









本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
a27573 + 2 感谢提供分享

查看全部评分

eternity.
发表于 2021-7-20 13:35:58 | 显示全部楼层
本帖最后由 eternity. 于 2021-7-20 14:15 编辑

测试 COMODO Internet Security Premium 12.2.2.8012。
操作系统为 Windows 10 Enterprise 20H2 x64。

测试将在 COMODO Secure Shopping(安全购物)模式下进行。
同时禁用反病毒、防火墙、自动 Containment 等保护组件及文件评级云查询功能(确保测试工具顺利运行)。



测试结果如下:







评分

参与人数 2人气 +4 收起 理由
swizzer + 1 毛豆威武
YorkWaugh + 3 版区有你更精彩: )

查看全部评分

YorkWaugh
发表于 2021-7-30 23:06:15 | 显示全部楼层
本帖最后由 YorkWaugh 于 2021-7-30 23:42 编辑

BitDefender
IE下自制 Keylogger失败

SafePay浏览器下成功


SpyShelter 的测试工具
被杀(顺便杀了我的VMware Tool)




内核级 Keylogger
SafePay失败

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
a27573 + 3

查看全部评分

Yuki丶
发表于 2021-7-31 23:46:57 | 显示全部楼层
本帖最后由 Yuki丶 于 2021-7-31 23:58 编辑

我再来一个内核级GetKeyState (只支持Win10)

只写了一部分按键:F1->F12 A->Z 0->9 Back Ctrl Shift Tab
食用方法参考84楼 解压密码123





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
swizzer + 3 版区有你更精彩: )

查看全部评分

swizzer
发表于 2021-8-1 08:06:28 | 显示全部楼层
本帖最后由 swizzer 于 2021-8-1 08:56 编辑
Yuki丶 发表于 2021-7-31 23:46
我再来一个内核级GetKeyState (只支持Win10)

只写了一部分按键:F1->F12 A->Z 0->9 Back Ctrl Shif ...

Spyshelter Firewall 12.5 占位

成功防御


Yuki丶
发表于 2021-8-1 14:00:08 | 显示全部楼层
a27573 发表于 2021-8-1 12:45
打字一快就截不全

因为加了延迟
巍巍
发表于 2021-8-1 15:38:13 | 显示全部楼层
a27573 发表于 2021-8-1 12:09
驱动的服务已经存在的情况下,创建服务提示拒绝访问是正常的
如果同时运行两个dbgview,会提示无法连接
...

刚刚重试了内核级keylogger
无论在中文还是英文输入条件下这个卡巴依然没用,但是软键盘输入的东西并不会有记录
LDE
发表于 2021-7-18 19:54:50 来自手机 | 显示全部楼层
本帖最后由 LDE 于 2021-7-19 19:31 编辑

實測 在Anti-Keylogger Tester啟動方式都是能錄到但全是英數大寫 美廠商hmpa會殺
a27573
 楼主| 发表于 2021-7-18 20:01:24 | 显示全部楼层
LDE 发表于 2021-7-18 19:54
實測 在alft下啟動方式都是能錄到但全是英數大寫 美廠商hmpa會殺

直接
  1. SetWindowsHookEx(WH_KEYBOARD_LL,...);
复制代码

拿到的字母默认就是大写的
要确定大小写得靠其他信息辅助判断的(比如当前大小写模式,CapsLock按下,Shift按下且没有抬起等)
anthonyqian
发表于 2021-7-18 21:50:38 | 显示全部楼层
以前做过测试,ESET的安全浏览器、BD的safepay都可以阻挡键盘记录器。至于卡巴,好像是不行的,当时卡巴版还有一个贴子专门讨论这个。
a27573
 楼主| 发表于 2021-7-18 22:15:19 | 显示全部楼层
swizzer 发表于 2021-7-18 22:13
HitmanPro.Alert 3.8.14 build 907

win7 x32虚拟机下使用Spyshelter工具测试防御失败。

我编译的是64位的
swizzer
发表于 2021-7-18 22:16:20 | 显示全部楼层
a27573 发表于 2021-7-18 22:15
我编译的是64位的

这很容易知道

我现在好奇的是为什么ssf自己的击键加密不防御自家工具难道ssf的击键加密也是内置了白名单?

评分

参与人数 1人气 +1 收起 理由
a27573 + 1

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 03:03 , Processed in 0.133236 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表