火绒安全软件

标题: 关于键盘记录的拦截 [打印本页]

作者: w-tekeze 时间: 2017-8-24 14:54
标题: 关于键盘记录的拦截
本帖最后由 w-tekeze 于 2017-8-24 15:48 编辑

先参考一个帖子： https://bbs.huorong.cn/thread-24248-1-1.html 感谢原帖楼主@莫过于你

首先声明，键盘记录方面的详细情况我不清楚，还没认真研究过这类间谍软件的工作原理。。

。我用火绒剑来观察，本来是想看下这个AKLT是不是悄悄创建了键盘钩子，但发现这个软件很高明，它只是将原属于鼠标驱动的钩子“转移”到了键盘部位，而相应的鼠标钩子消失了，但却又全然不影响触摸板的使用。。。

另外，这个程序是如何取得这么高的权限，它运行后并没有加驱啊，请官人解答。。

由此我有个初步想法：火绒自身工作在内核态，权限极高，阻止程序创建键盘钩子，同时阻止对鼠标钩子的篡改，应该不难吧？通过增加内置规则也许就能实现吧？

现在的火绒没有这方面防御能力，在卡饭和绒友当中很被人诟病哦。。

PS： 1. 截图里的SynTP.sys是笔记本原配的触摸板驱动。 2. 想要键盘记录测试程序的童鞋请下载附件吧。

键盘与截屏测试.rar

105.06 KB, 下载次数: 19, 下载积分: 金钱 -1

作者: Hay 时间: 2017-8-24 15:47
火绒的系统加固->危险动作拦截中包含“加载全局钩子”拦截点，默认不开启。很多时候主防的防御点不是能否拦截的问题，还需要在开启后尽可能的不印影响用户正常操作。这个测试程序我们已经下载，之后会考虑如何防护的问题的，谢谢反馈

作者: w-tekeze 时间: 2017-8-24 15:53
本帖最后由 w-tekeze 于 2017-8-24 16:00 编辑

Hay 发表于 2017-8-24 15:47
火绒的系统加固->危险动作拦截中包含“加载全局钩子”拦截点，默认不开启。很多时候主防的防御点不是能否拦 ...

官人，您错了，首先我系统加固选项是全开的，还不仅仅只是加载全局钩子的拦截哦，你们测试下就清楚了。。

。另外，这个程序高明之处不是去创建键盘钩子，而只是“挪”了一下 (从名称上就能看出来了)。。。不愧是老外放出的专业测试软件哟。。。

作者: Hay 时间: 2017-8-24 16:29

w-tekeze 发表于 2017-8-24 15:53
官人，您错了，首先我系统加固选项是全开的，还不仅仅只是加载全局钩子的拦截哦，你们测试下就清楚了。。{ ...

嗯，谢谢提醒，MR.stone 也对问题进行了回复，我们会看看如何对键盘记录进行防护的

作者: cgqz366 时间: 2017-8-24 22:33
键盘记录是到网吧必中的，为什么网吧都这么坏！
火绒应该有这样的防范才行啊....

作者: w-tekeze 时间: 2017-8-25 14:36
这个软件真是厉害，我的SBie也漏沙了。。

这么多年第一次亲身碰到啊。。

作者: w-tekeze 时间: 2017-8-25 15:39

Hay 发表于 2017-8-24 16:29
嗯，谢谢提醒，MR.stone 也对问题进行了回复，我们会看看如何对键盘记录进行防护的 ...

官人，这个软件确实厉害啊，我的SBie也被搞得漏沙了。。

。理论上来说，键盘、截屏，还有挂钩输入法都容易造成漏沙，但用了将近8年的SBie，真实发生在自己身上的漏沙还是第一次碰上啊。。

。这个程序才100k多点，要是被有心之人利用就麻烦了，另外在网上看了下，这个程序已经被很多杀软加入黑名单了，所以火绒也尽早把它关进小黑屋吧，要研究它可以慢慢来，先关起来再说。。

作者: Hay 时间: 2017-8-25 16:01

w-tekeze 发表于 2017-8-25 15:39
官人，这个软件确实厉害啊，我的SBie也被搞得漏沙了。。。理论上来说，键盘、截屏，还有挂钩 ...

安全测试程序，程序有界面交互，没有发送用户数据，可以主动关闭，没有启动项创建，这些都不符合火绒对病毒的定义，没有必要添加到病毒库中。

作者: w-tekeze 时间: 2017-8-25 16:54

Hay 发表于 2017-8-25 16:01
安全测试程序，程序有界面交互，没有发送用户数据，可以主动关闭，没有启动项创建，这些都不符合火绒对病 ...

是个测试程序，归入病毒木马肯定不对，国外杀软可能把它归入恶意软件UAC，所以误报率比较高。。。好吧，希望火绒好好研究下，早日加入键盘记录拦截这类功能吧，现在很被人诟病的啊。。。

作者: Hay 时间: 2017-8-28 14:06

w-tekeze 发表于 2017-8-25 16:54
是个测试程序，归入病毒木马肯定不对，国外杀软可能把它归入恶意软件UAC，所以误报率比较高。。。好吧， ...

说的是PUA （potentially unwanted application）或者 PUP （potentially unwanted program）吧？
一般也不会将安全测试程序放到这里面的：）

作者: w-tekeze 时间: 2017-8-28 16:06

Hay 发表于 2017-8-28 14:06
说的是PUA （potentially unwanted application）或者 PUP （potentially unwanted program）吧？
一般 ...

哦，是PUA。。。哈哈，UAC是系统自带的那个啊，笔误。。

作者: 系统防护 时间: 2017-9-15 19:20
我想您收集远程软件上传给火绒会更好多多收集木马远控和非木马远控火绒现在支持灰鸽子了不信您安装灰鸽子后，扫描无显示病毒

作者: Ashin 时间: 2017-10-17 18:25

cgqz366 发表于 2017-8-24 22:33
键盘记录是到网吧必中的，为什么网吧都这么坏！
火绒应该有这样的防范才行啊.... ...

关机的话,但是没有拔除电池,还会不会被继续监控呢?

作者: Ashin 时间: 2017-10-17 18:26

w-tekeze 发表于 2017-8-25 15:39
官人，这个软件确实厉害啊，我的SBie也被搞得漏沙了。。。理论上来说，键盘、截屏，还有挂钩 ...

我要把防护中心-系统防御,所有的勾勾都打上,才行

作者: w-tekeze 时间: 2017-10-17 20:09

Ashin 发表于 2017-10-17 18:26
我要把防护中心-系统防御,所有的勾勾都打上,才行

我的“系统加固”选项是全开，你可以试着尽量多开启些，自己电脑上的软件做好排除就行了，这样在某些时候可以不依赖病毒入库，防御某些未知病毒，对流氓软件、静默安装等等也很管用。

作者: Ashin 时间: 2017-10-17 20:56

w-tekeze 发表于 2017-10-17 20:09
我的“系统加固”选项是全开，你可以试着尽量多开启些，自己电脑上的软件做好排除就行了，这样在某些时候 ...

好的,收到,大佬

作者: Ashin 时间: 2017-10-17 21:42

Ashin 发表于 2017-10-17 20:56
好的,收到,大佬

很腻害了,赞一个

作者: tianhu3 时间: 2017-10-31 09:34

Hay 发表于 2017-8-24 15:47
火绒的系统加固->危险动作拦截中包含“加载全局钩子”拦截点，默认不开启。很多时候主防的防御点不是能否拦 ...

有结果吗？

作者: 吾爱火絨 时间: 2021-2-15 18:14

tianhu3 发表于 2017-10-31 09:34
有结果吗？

火绒早已5.0了
然而此程序仍可像幽灵一样悄悄记录下所有的键盘记录和截图...太可怕了!

作者: 吾爱火絨 时间: 2021-2-20 21:11
时隔N年,然而问题依旧
因为能够全面防范键盘记录器/后台截屏/剪辑板监控之类间谍程序的安全软件的确罕见.
不知题主问题是怎么解决的,但我的解决方法是这样的:
安装SpyShelterFirewall
这个软件专治各种间谍程序,就像是给每个软件都加了个类似安卓系统的权限管理一样,可以拒绝流氓程序的所有不合理请求
当然对于题主发的测试程序,7钟键盘记录方式/2种后台截图方式全部成功拦截,如图所示
无标题.jpg

软件唯一的缺点就是并不免费当然题主也可能有更好的解决办法我这里权当抛砖引玉了

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)