反键盘记录测试

巍巍

刚刚试了一下,ksc在英语(美国),美式键盘同样无法阻止键盘记录
先前用的是中文 简体(简体，中国) 微软拼音,浏览器均为Microsoft Edge 版本 91.0.864.70 (官方内部版本) (64 位)

救命稻草

G DATA 打开网银保护和键盘记录防护




在防护中自定义添加傲游浏览器便携版



使用Spyshelter工具测试防御成功，并且一段时间后主防删除




使用自制keylogger工具测试防御成功




实机测试GetKeyState工具防御成功，并且一段时间后主防删除




实机测试84楼驱动级键盘记录工具成功


首先加载内核，用PCHunter可以看到驱动成功加载



然后做对照实验，G DATA键盘防护取消360极速浏览器的保护，添加傲游浏览器便携版的保护



测试360浏览器结果



测试傲游浏览器结果

swizzer

SpyShelter Premium 10.6.1
win7 x32 & x64

刚刚测试了GetKeyState，
若将SSP10.6.1击键加密中的挂钩防护开启为防护优化模式，则程序提示挂钩错误，无法启动。
若开启为兼容性优化模式，则运行后hips弹窗提示记录键盘输入，允许后击键加密无效，记录输入成功。阻止则无法记录到击键。


综合来看防御是成功的。（挂钩防护默认为防护优化模式）

@a27573

救命稻草

不想被妳发现 发表于 2021-7-19 13:32
你系统是不是WIN10？

7

水过无痕。

水过无痕。 发表于 2021-7-19 09:28
源代码
编译好的exe
自制记录器 有可能被报毒 之前测试的时候卡巴、腾讯不报，无提示 360钩子抓到了

emmm 刚才忘了放卸载脚本了。。。尴尬
卸载bat

水过无痕。

刚才用Google查点东西，然后edge就提示可以安装卡巴的插件安装完了成这样了

之前用Google的时候也没有提示啊  应该是edge或者卡巴更新了 具体不太清楚
edge 91.0.864.70 (官方内部版本) (64 位)

救命稻草

不想被妳发现 发表于 2021-7-19 13:47
你电脑上那个GD安装包能给我下吗？

我官网下的在线安装包啊https://secure.gd/dl-is

swizzer

win7 x64,
@a27573 HMPA3.8.14 build 907
美式键盘&中文输入法

均无法防御GetKeyState。

swizzer

水过无痕。 发表于 2021-7-19 09:28
源代码
编译好的exe
自制记录器 有可能被报毒 之前测试的时候卡巴、腾讯不报，无提示 360钩子抓到了

SSP10.6.1

1. 2021/7/19 15:45:17,D:\$aa\1\WUDFHost.exe,57,Allowed ;正在以只读方式打开受保护的进程 (explorer.exe(pid=1668))
   
2. 2021/7/19 15:45:18,D:\$aa\1\WUDFHost.exe,57,Allowed ;正在以只读方式打开受保护的进程 (explorer.exe(pid=1668))
   
3. 2021/7/19 15:45:19,D:\$aa\1\WUDFHost.exe,57,Allowed ;正在以只读方式打开受保护的进程 (explorer.exe(pid=1668))
   
4. 2021/7/19 15:45:23,D:\$aa\1\WUDFHost.exe,47,Allowed ;创建交换数据流 (C:\Windows\WUDFHost.exe:Zone.Identifier)
   
5. 2021/7/19 15:45:26,D:\$aa\1\WUDFHost.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run,WUDFHost)
   
6. 2021/7/19 15:45:28,D:\$aa\1\WUDFHost.exe,11,Allowed ;记录键盘输入

复制代码

救命稻草

不想被妳发现 发表于 2021-7-19 16:11
安装了之后也更新了，双击beast主防没反应

等一下呢？G DATA主防拦截点靠后