Отправлено: 03.02.13 13:01. Заголовок: Использование НЕшпионских программ для шпионажа

Использование НЕшпионских программ для шпионажа

Давайте рассмотрим программы, которые предназначены для мирных целей, но при определенных условиях помогают злоумышленникам шпионить за пользователем. Один из главных плюсов в этом случае становится то, что данные программы редко детектируются антивирусными программами.

Например, это может быть программа которая делает снимки с камеры или ведет какой-то лог.

Автозапуск потенциально-шпионских программ

Программа может не иметь самостоятельной функции автозапуска. Самый простой способ добавить программу в автозапуск Windows - это использовать Назначенные задания Windows (можно быть уверенным, что программа будет запущена под всеми учетными записями, настройки автозапуска очень гибкие)

Хоть сейчас WinXP все реже встречается, но, т.к. под рукой нет другого компьютера, буду объяснять именно на этой операционной системе.

Итак в "Панели управления" ищем "Назначенные задания" и жмем "Добавить задание".



Ищем EXE файл нужной программы. Далее указываем время срабатывания задания.
Например, если программа требует однократного запуска, то выбираем "При загрузке компьютера".
А если программа требует запуска, например, каждые 10 минут, то жмем "Ежедневно", далее щелкаем "далее" до окна ввода Имени учетной записи Windows от имени которого будет запускаться задание - очень желательно чтобы задание запускалось от имени пользователя у которого есть права админа (задание будет выполняться во всех учетных записях компьютера). А если устанавливать задание под пользователем с ограниченными правами, то оно будет срабатывать только под этим пользователем (и может оказаться так, что программа не работает без прав админа).
В общем введите имя учетной записи и пароль (если он имеется).
Далее зайдите в дополнительные параметры Задания. Здесь можно указать параметры командной строки, если они требуются. А также здесь можно установить время срабатывания Задания (например, каждые 10 минут).





Маскировка программы

Злоумышленники для маскировки потенциальношпионской программы делают следующее:
- располагают ее в менее подозрительной папке, переименовывают имя exe файла во что-то менее приметное, например, ChromeUpdate.exe
- если есть права админа, то можно ограничить доступ к папке программы, почитать: http://antivir.unoforum.ru/?1-3-0-00000031-000-0-0

Использование командных файлов

Нередко превращение программы в шпион осуществляется через командную строку (параметры запуска программы, работа с полученныеми файлами), также командный файл позволит не создавать кучу задания для запуска нескольких программ.

 Отправлено: 03.02.13 13:34. Заголовок: WebCamImageSave - скрытое фотографирование через web камеру

WebCamImageSave - скрытое фотографирование через web камеру

WebCamImageSave - небольшая утилита для получения фотографий через web камеру. Камера сейчас есть в любом компьютере, поэтому позволяет шпионить за пользователем очень эффективно. Данная программа превращается в шпион благодаря работе с командной строкой.

Итак, что потребуется для создания шпиона:
- скачать программу WebCamImageSave: http://www.nirsoft.net/utils/web_cam_image_capture.html

по данной ссылке также можно скачать русскоязычный интерфейс программы.
- разместить программу в удобной папке.
- запустить ее и настроить как нужно.
- создать задание Windows, которое будет запускать это приложение каждые 10 минут, причем с параметром /capture

Обратите внимание на параметр запуска:


Т.к. программа будет запускаться каждые 10 минут для получения нового снимка, то нет необходимости указывать в настройках самой программы авто-фотографирование.

Примечание:
злоумышленник может разграничить доступ к папке программы, чтобы пользователь не увидел папку с файлами-фотографиями.

 Отправлено: 03.02.13 14:07. Заголовок: Punto Switcher - потенциальный клавиатурный шпион.

Punto Switcher

— программа для автоматического переключения между различными раскладками клавиатуры в операционных системах семейства Microsoft Windows и Mac OS X.

Данная программа имеет очень интересную функцию "Ведение дневника", которая пишет в файл все что набиралось с клавиатуры. А доступ к дневнику можно защитить паролем.

Итого: клавиатурный шпион при совместном использовании одного компьютера несколькими пользователями.

Ссылка: http://samlab.ws/soft/punto/

 Отправлено: 24.03.13 14:36. Заголовок: LastActivityView - у..

LastActivityView

- утилита собирает информацию о действиях пользователя в операционной системе Windows из различных источников в системе и отображает в протоколе. Например, дает информацию о включении компьютера, выключении, запущенных программах, открытых файлах, просмотренных папках в проводнике, сетевые подключения, установленные программы и другую информацию. И это с момента установки Windows на компьютер по текущий день. Причем, если пользователь затирал следы своей работы с помощью программ вроде CCLENER, то все равно будет получено очень много информации.

Скачать: http://www.nirsoft.net/utils/computer_activity_view.html
По данной ссылке можно скачать русскоязычный интерфейс (разархивировать в папку утилиты).

MyLastSearch

- утилита сканирует кеш и истории браузеров и отображает историю поисковых запросов (Google, Yahoo and MSN) и в популярных социальных сетях (Twitter, Facebook, MySpace). Т.е. позволяет узнать информацию о том, что ищет пользователь в сети. Поддерживает все популярные браузеры (IE, Мозила, Опера, Гугл Хром).

Скачать: http://www.nirsoft.net/utils/my_last_search.html
По данной ссылке можно скачать русскоязычный интерфейс (разархивировать в папку утилиты).

SkypeLogView

- показывает журнал Скайпа: звонки (время, кому), сообщения из чата, отправленные\полученные файлы.

Скачать: http://www.nirsoft.net/utils/skype_log_view.html
По данной ссылке можно скачать русскоязычный интерфейс (разархивировать в папку утилиты).

 Отправлено: 16.05.13 18:57. Заголовок: NirCmd - скрытое соз..

NirCmd - скрытое создание скриншотов работы пользователя

Страница утилиты: http://www.nirsoft.net/utils/nircmd.html

NirCmd - очень удобная утилита для расширения возможностей работы с командной строкой. Одна из ее функций - создание скриншотов (фотографирование текущей картинки на мониторе).

Рассмотрим пример запуска утилиты через командную строку:

цитата:

nircmd.exe loop 10 60000 savescreenshot c:\temp\scr~$currdate.MM_dd_yyyy$-~$currtime.HH_mm_ss$.png

- будет сделано 10 снимков экрана с интервалом в 60 секунд. Т.е. процесс nircmd.exe будет сидеть в памяти примерно 10 минут и делать скриншоты каждую минуту в папку c:\temp. Ваша фантазия может дорисовать возможные варианты использования этой легальной утилиты.

А если не нужно, чтобы процесс утилиты висел в памяти, то программа может запускаться через Планировщик заданий, как было описано выше (например, запускать каждые десять минутс такими параметрами):

цитата:

nircmd.exe savescreenshot c:\temp\scr~$currdate.MM_dd_yyyy$-~$currtime.HH_mm_ss$.png

Итого: шпион, который фотографирует действия пользователя.