Olimpo Informatico

[caponord]

Ciao a tutti, volevo chiedere ai più esperti in materia se esiste un KEYLOGGER - ovviamente invisibile - che si attivi già dall?avvio del PC e non dopo l?accesso dell?utente e/o accesso di rete.



Mi spiego meglio, ho usato su Win2000 il ?Ghost KeyLogger? (www.keylogger.net/) nella versione 3.11, affidabile semplice ed intuitivo, ma inizia a loggare solo dopo il logging dell?utente (sistema operativo + rete).



In sostanza va in esecuzione solo dopo il logging in quanto viene installata tra le applicazioni all?avvio del pc.



Bisognerebbe in pratica trovare ? se esiste ? un keylogger che possa essere caricato e che lavori prima del log di rete, tanto per dire una banalità come se lo si facesse eseguire dal file Autoexec.bat del vecchio ambiente dos.



In alternativa se volessi provare con questo KEYLOGGER a farlo eseguire da qualche file di avvio di WIN2000 sarebbe possibile ? in quale file potrei far caricare questa applicazione ?



Grazie 1.000 in anticipo.



Caponord

[SverX]

hai provato a inserire una chiave nel registro alla voce



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



?

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

[caponord]

No questa cosa non l'ho fatta per il semplice motivo che la prova, con il consenso/assenso del collega la vorrei fare tramite rete LAN sul suo PC ma intervenendo da remoto, ossia lui mi da i diritti di accesso ed io da remoto volevo provare ad inserirci il key logger, tuttoqua.

E non credo sia possibile da remoto intervenire facilmente sulle chiavi di registro dei un altro PC, o sbaglio?

Grazie 1000

caponord

[SverX]

Quote:

---

E non credo sia possibile da remoto intervenire facilmente sulle chiavi di registro dei un altro PC, o sbaglio?

---

dipende. se hai privilegi sufficienti puoi lanciare un RPC, ad esempio con i PSTools di sysinternals... tipo lanciare regedit in remoto su un file .reg che hai preventivamente depositato sulla sua macchina...

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

[caponord]

Privilegi pieni, assolutamente si, sono delle prove che sto facendo con un collega con il quale ci siamo scambiati appunto privilegi pieni, quindi potremmo provare ciò che vogliamo e cmq avremmo anche la password di installatore di rete. Ma come detto è una cosa che vogliamo provare a capire e fare da remoto attraverso la rete.

Sul fatto di poter depositare un file non c'è quindi il minimo problema.

Considera che nel frattempo ho fatto qualche prova in più grazie anche alle informazioni ricevute altrove, in sostanza sembrava fosse possibile fare tutto tramutando l'eseguibile in un servizio di windows, in effetti è stata una cosa veloce e semplice con un software dedicato, il problema cmq persiste quello che il logger parte SOLO dopo il LOGIN non prima.

Quindi credo che sia la strada sbagliata, in sostanza poi il programma ha fatto in automatico un'operazione che io avevo fatto manualmente, nulla di più, ed ho ottenuto il medesimo risultato, non soddisfacente.



Proverei ciò che dici con SYSINTERNALS però mi devi dare qualche info in più se puoi, dato che per me RPC è arabo



Grazie ancora.

caponord

[SverX]

allora... procurati i PsTools, in particolare hai bisogno di PsExec che trovi qui: www.sysinternals.com/ntw2...exec.shtml



poi metti il file ".reg" (se hai constatato che effettivamente inserendo la chiave di registro dove si diceva allora ottieni l'effetto voluto...) in qualche cartella del PC destinazione, diciamo C : temp per dire...



e poi, dal tuo PC, fai:

 pstools \nomealtropc regedit -s C tempchiavediregistro.reg

pstools eseguirà in remoto regedit e regedit caricherà in modo "silente" (-s) il file .reg al suo interno.

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

[caponord]

Ciao SVERX, intanto 1.000 grazie, mi hai preso per mano



Al 90% ci sono, nel senso che ho capito i passaggi, salvo che il file REG mi sfugge solo come potrei farcirlo, correggemi se sbaglio, apro un txt vuoto, ci incollo una stringa di questo tipo:



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



lo salvo e lo rinomino .REG



Poi lo posiziono da remoto lo posiziono in una cartella dopodichè lancio il comando:



pstools \nomealtropc regedit -s C tempchiavediregistro.reg



Sai qual'è il grosso dubbio ? Che così ottengo quello che ho ottentuo o manualmente oppure in automatico tramite il software AT YOUR SERVICE (che fa diventare un SERVIZIO di WIN un qualsiasi BAT o EXE) ma in sostanza il LOGGER non mi va in esecuzione PRIMA del LOGIN ma solo dopo.



Che ne dici ?

Grazie ancora.

caponord

[SverX]

ok, prima assicurati che la chiave di registro inserita "a manina" faccia il lavoro corretto, ovvero che il programma venga avviato _prima_ del logon come da te desiderato.



se ciò funziona il resto è semplice. Il file ".reg" ad esempio potrebbe contenere:

  Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]


"Keylogger"="C WINNT\keylogger.exe"

(la faccina come sai è : e senza spazio e attento che le vanno doppie nelle stringhe)

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

Edited by: SverX  at: 1/7/04 16:24

[zeusnews]

:



basta deselezionare l'opzione "Use emoticons" quando si posta un messaggio (a destra nella riga "Formatting")

[caponord]

Ciao SverX, mmm prove negative, ti spiego perchè, sia manualmente sia con quel sistema come ti dicevo nn c'è alcun problema a mandarlo in esecuzione, solo che NON logga nulla se non dopo il LOGIN.



Però con "Starter" ho dato un occhio alle applicazioni ed ai servizi, e tra quei 8/10 che vanno in esecuzione all'avvio del PC ho trovato delle differenze notevoli. Esempio, visualizzo in na colonna chiamata SECTION delle voci tra le quali ne riporto alcuna:

UserRun

UserRunOnce

MachineRun

MachineRunOnce

MachineRunServices

MachineRunServicesOnce

UserStartup

CommonStartup



.. be le ho citate tutte



Dunque, settandola come applicazione all'avvio di default prendeva USerRun, al che ho provato a settarlo con MachineRun ma non cambia nulla, logga ma sempre dopo il login.



Forse si potrebbe tentare altro? Non sono abbastanza esperto però



Altra cosa che ho notato, alcune applicazione che vanno in esecuzione, hanno al termine del percorso "c:/programmi....." delle istruzioni tipo /LOGON /STANDALONE



Potrebbe esserci qualche speranza con ciò ? ho paura che qualche variazione particolare mi facciano saltare l'OS col rischio di ricorrere all'IT che ne sanno meno di me



Intanto penso

Grazie ancora.

Caponord

[SverX]

Quote:

---

basta deselezionare l'opzione "Use emoticons" quando si posta un messaggio (a destra nella riga "Formatting"

---

oh che figuraccia



essere redarguito dal padre di tutti noi...





cmq... grazie

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

[SverX]

forse forse forse funziona ancora se inserisci il lancio del programma all'interno di autoexec.bat nella root del disco di sistema... almeno, il file autoexec.bat c'è "ancora" anche in Win2K...

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

[caponord]

mmmm

si può provare, il file c'è ma è completamente vuoto.



dio non mi ricordo manco come si facesse, se non erro iniziava con @echo off mmmm chi si ricorda, e poi c'era anche un comando per non far vedere l'esecuzione del programma.... poi la stringa come andrebbe inserita ? su una riga con:



c:/programmi/etc etc?



ammesso e non concesso che vada .... cmq il key logger NON è un'applicazione DOS ma WIN32, quindi credo non funzioni, ma posso provare



ciao e grazie.

caponord

[SverX]

prova!



mettici:

 


@echo off 


C:programmiprogramma.exe

e fine. il fatto che "programma" sia una winapp e non una dosapp non cambia :)

---

Ci sono 10 tipi di persone. Quelle che capiscono l'aritmetica binaria... e poi gli altri 9 non ho capito.

[caponord]

niente da fare, l'autoexec non funziona, dato che non ricordavo molto bene come funzionasse il problema dello spazio esistente nel nome della cartella da indicare (si chiama "sync mangaer") ho provato anche a fare un collegamento ad una cartella chiamata "prova/syncagent.exe" ... ma niente da fare non va nulla in esecuzione, come se dell'autoexec.bat se ne fregasse, del resto dicevano che da win98 non serve più ... però c'è



boh, che devo fare abbandono tutto ?



ci sarà un file di windows nel quale si possa inserire il collegamento a quel file in modo che vada in esecuizione prima del logon .... per forza ci deve essere.



grazie intanto per l'appoggio.

caponord

[kingofworms]

Non so a quanto possa servire, ma programmi come firedaemon e NTWrapper promettono di eseguire applicazioni come servizi, prima del logon. Mai provati, però.

---

Coltivate Linux. Windows si pianta da solo...

[caponord]

serve sempre, ci do un'occhiata di sicuro e lo testo.

grazie.

caponord

[caponord]

niente da fare purtroppo, ho provato anche NTWRAPPER ma sempre il medesimo risultato, ossia non viene loggato nulla se non dopo il logon, nonostante le note sul software sembra dicano il contrario.

in sostanza con ntwrapper ottengo il medesimo risultato di ATYOURSERVICE.

Mi sa che mi tocca abbandonare tutto, mi sembra davvero impossibile che non sia possibile, che non esista magari un file di sistema che consenta di caricare qualcosa prima del logon, anche perchè guardando la mascherina di win200o - prima del logon - si vede che carica le impostazioni personali, quelle della rete etc etc.

bohhhh



ciao e grazie cmq.

caponord

[caponord]

Come anticipato ieri stamattina ho provato quel Remote task Manager su rete aziendale .... mmm stranissimo il suo comportamento



Appena avviato una finestrella chiede ENTER NETWORK PASSWORD e sotto cita:



Incorrect Password or unknown user name for: local machine



Mi da comunque la possibilità sotto di inserire il mio user name e la password. Inserita quindi la mia login di rete tutto ok ma a differenza di quello che succedeva a casa (dove non ho una rete), tutte le funzionalità che si notano in alto sono grigie e vuote (intendo applicazioni, processi, servizi etc etc).

Già questa cosa è piuttosto strana, non capisco perché mi debba chiedere login e password per la local machine e comunque dopo non mi faccia fare alcunchè.



Premesso questo, se provo poi a connettermi ad un computer in rete, vado su Connect, poi Net Browser, scelgo il pc ma quando tento di connettermi mi da sempre:



?la sequenza del protocollo RPC non è valida?.



Altra cosa strana, dopo aver scelto il pc mi dovrebbe chiedere le credenziali per entrare in quella macchina, o login dell?utente oppure login con dati di installatore, ma non mi chiede nulla.





Qualcuno sa darmi gentilmente qualche input ?

Grazieeeeeeeeee

caponord