火绒安全软件

登录| 注册
火绒安全软件»论坛 火绒官方服务 动态防御问题反馈 关于键盘记录的拦截
动态防御问题反馈
发新帖
打印 上一主题 下一主题

关于键盘记录的拦截

[复制链接]
21897 25
楼主
发表于 2017-8-24 14:54:44 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 w-tekeze 于 2017-8-24 15:48 编辑

先参考一个帖子:  https://bbs.huorong.cn/thread-24248-1-1.html    感谢原帖楼主@莫过于你   
首先声明,键盘记录方面的详细情况我不清楚,还没认真研究过这类间谍软件的工作原理。。。  我用火绒剑来观察,本来是想看下这个AKLT是不是悄悄创建了键盘钩子,但发现这个软件很高明,它只是将原属于鼠标驱动的钩子“转移”到了键盘部位,而相应的鼠标钩子消失了,但却又全然不影响触摸板的使用。。。   另外,这个程序是如何取得这么高的权限,它运行后并没有加驱啊,请官人解答。。


由此我有个初步想法:  火绒自身工作在内核态,权限极高,阻止程序创建键盘钩子,同时阻止对鼠标钩子的篡改,应该不难吧?  通过增加内置规则也许就能实现吧?     现在的火绒没有这方面防御能力,在卡饭和绒友当中很被人诟病哦。。

PS:  1. 截图里的SynTP.sys是笔记本原配的触摸板驱动。    2. 想要键盘记录测试程序的童鞋请下载附件吧。



键盘驱动钩子.png (109.74 KB, 下载次数: 8263)

键盘驱动钩子.png

键盘与截屏测试.rar

105.06 KB, 下载次数: 19, 下载积分: 金钱 -1

回复

举报

Hay
21897 25
沙发
发表于 2017-8-24 15:47:07 | 只看该作者
火绒的系统加固->危险动作拦截中包含“加载全局钩子”拦截点,默认不开启。很多时候主防的防御点不是能否拦截的问题,还需要在开启后尽可能的不印影响用户正常操作。这个测试程序我们已经下载,之后会考虑如何防护的问题的,谢谢反馈
回复

举报

21897 25
板凳
发表于 2017-8-24 15:53:53 | 只看该作者
本帖最后由 w-tekeze 于 2017-8-24 16:00 编辑
Hay 发表于 2017-8-24 15:47
火绒的系统加固->危险动作拦截中包含“加载全局钩子”拦截点,默认不开启。很多时候主防的防御点不是能否拦 ...

官人,您错了,首先我系统加固选项是全开的,还不仅仅只是加载全局钩子的拦截哦,你们测试下就清楚了。。。另外,这个程序高明之处不是去创建键盘钩子,而只是“挪”了一下 (从名称上就能看出来了)。。。不愧是老外放出的专业测试软件哟。。。
回复

举报

Hay
21897 25
地板
发表于 2017-8-24 16:29:45 | 只看该作者
w-tekeze 发表于 2017-8-24 15:53
官人,您错了,首先我系统加固选项是全开的,还不仅仅只是加载全局钩子的拦截哦,你们测试下就清楚了。。{ ...

嗯,谢谢提醒,MR.stone 也对问题进行了回复,我们会看看如何对键盘记录进行防护的

点评

w-tekeze
好的,谢谢官人回复。。。  发表于 2017-8-24 16:49
回复

举报

21897 25
5#
发表于 2017-8-24 22:33:18 | 只看该作者
键盘记录是到网吧必中的,为什么网吧都这么坏!
火绒应该有这样的防范才行啊....

点评

系统防护
正是 在家里很难中键盘记录,除非要远控偷偷安装到别人的电脑 监视人家  发表于 2017-9-15 19:18
回复

举报

21897 25
6#
发表于 2017-8-25 14:36:21 | 只看该作者
这个软件真是厉害,我的SBie也漏沙了。。   这么多年第一次亲身碰到啊。。
回复

举报

21897 25
7#
发表于 2017-8-25 15:39:20 | 只看该作者
Hay 发表于 2017-8-24 16:29
嗯,谢谢提醒,MR.stone 也对问题进行了回复,我们会看看如何对键盘记录进行防护的 ...

官人,这个软件确实厉害啊,我的SBie也被搞得漏沙了。。。   理论上来说,键盘、截屏,还有挂钩输入法都容易造成漏沙,但用了将近8年的SBie,真实发生在自己身上的漏沙还是第一次碰上啊。。。   这个程序才100k多点,要是被有心之人利用就麻烦了,另外在网上看了下,这个程序已经被很多杀软加入黑名单了,所以火绒也尽早把它关进小黑屋吧,要研究它可以慢慢来,先关起来再说。。
回复

举报

Hay
21897 25
8#
发表于 2017-8-25 16:01:40 | 只看该作者
w-tekeze 发表于 2017-8-25 15:39
官人,这个软件确实厉害啊,我的SBie也被搞得漏沙了。。。   理论上来说,键盘、截屏,还有挂钩 ...

安全测试程序,程序有界面交互,没有发送用户数据,可以主动关闭,没有启动项创建,这些都不符合火绒对病毒的定义,没有必要添加到病毒库中。
回复

举报

21897 25
9#
发表于 2017-8-25 16:54:29 | 只看该作者
Hay 发表于 2017-8-25 16:01
安全测试程序,程序有界面交互,没有发送用户数据,可以主动关闭,没有启动项创建,这些都不符合火绒对病 ...

是个测试程序,归入病毒木马肯定不对,国外杀软可能把它归入恶意软件UAC,所以误报率比较高。。。好吧,希望火绒好好研究下,早日加入键盘记录拦截这类功能吧,现在很被人诟病的啊。。。
回复

举报

Hay
21897 25
10#
发表于 2017-8-28 14:06:59 | 只看该作者
w-tekeze 发表于 2017-8-25 16:54
是个测试程序,归入病毒木马肯定不对,国外杀软可能把它归入恶意软件UAC,所以误报率比较高。。。好吧, ...

说的是PUA  (potentially unwanted application) 或者 PUP (potentially unwanted program)吧?
一般也不会将安全测试程序放到这里面的:)
回复

举报

21897 25
11#
发表于 2017-8-28 16:06:09 | 只看该作者
Hay 发表于 2017-8-28 14:06
说的是PUA  (potentially unwanted application) 或者 PUP (potentially unwanted program)吧?
一般 ...

哦,是PUA。。。哈哈,UAC是系统自带的那个啊,笔误。。
回复

举报

21897 25
12#
发表于 2017-9-15 19:20:27 | 只看该作者
我想您收集远程软件 上传给火绒会更好 多多收集木马远控和非木马远控  火绒现在支持灰鸽子了 不信您安装灰鸽子后,扫描无显示病毒

点评

w-tekeze
你根本没有搞清楚情况,不要乱说话。。。  发表于 2017-9-16 15:04
回复

举报

21897 25
13#
发表于 2017-10-17 18:25:29 | 只看该作者
cgqz366 发表于 2017-8-24 22:33
键盘记录是到网吧必中的,为什么网吧都这么坏!
火绒应该有这样的防范才行啊.... ...

关机的话,但是没有拔除电池,还会不会被继续监控呢?

点评

w-tekeze
即使是待机、睡眠,也不可能被监控,何况是关机,放心吧。。。  发表于 2017-10-17 20:02
回复

举报

21897 25
14#
发表于 2017-10-17 18:26:55 | 只看该作者
w-tekeze 发表于 2017-8-25 15:39
官人,这个软件确实厉害啊,我的SBie也被搞得漏沙了。。。   理论上来说,键盘、截屏,还有挂钩 ...

我要把防护中心-系统防御,所有的勾勾都打上,才行
回复

举报

21897 25
15#
发表于 2017-10-17 20:09:19 | 只看该作者
Ashin 发表于 2017-10-17 18:26
我要把防护中心-系统防御,所有的勾勾都打上,才行

我的“系统加固”选项是全开,你可以试着尽量多开启些,自己电脑上的软件做好排除就行了,这样在某些时候可以不依赖病毒入库,防御某些未知病毒,对流氓软件、静默安装等等也很管用。
回复

举报

下一页 »
12下一页
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

版权所有©2011-2025北京火绒网络科技有限公司 All Rights Reserved

官方网站 | 加入我们 | 站点统计

快速回复 返回顶部 返回列表