终于彻底挖除键盘记录器.docx
《终于彻底挖除键盘记录器.docx》由会员分享,可在线阅读,更多相关《终于彻底挖除键盘记录器.docx(28页珍藏版)》请在冰豆网上搜索。
终于彻底挖除键盘记录器
终于彻底挖除键盘记录器
2008/08/3119:
17
keyloqqer.Trojan是木马间谍,这是一种更新、更隐蔽的方法。
通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库(DLL)来加载木马。
这种方法与一般方法不同,它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。
对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些相应的操作。
实际上。
这样的事先约定好的特种情况,DLL会执行一般只是使用DLL进行监听,一旦发现控制端的请求就激活自身,绑在一个进程上进行正常的木马操作。
这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。
在往常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
keylogger.exe是一个键盘记录器程序。
会记录你的键盘录入的内容
第一种办法:
找到了彻底删除支付宝的办法,卡巴不再报警了
新版的支付宝还是有这个漏洞,老是偷偷监控用户键盘输入,还不给解决,不装系统无法登陆
好在牛人多,今天找到了解决办法,不敢独享,拿来晒晒。
0、复制C:
\Windows\system32\drivers\Alidevice.sys,更名为Alidevice.sy~以备不时之需
1、去支付宝首页下载最新版支付宝控件安装文件
2、关闭你所打开的所有窗口,执行安装程序(对,你没看错!
)
3、安装结束后,再次运行aliedit.exe,这时安装程序会提示是否要先执行卸载,请确认卸载(大家动作慢一点看清楚了再确认)
4、这一步很关键,看清楚,一定看清楚!
aliedit.exe会提示是否继续执行安装,不要装了,点退出!
5、运行REGEDIT,查找ALIDEVICE关键字,找到的都删掉!
删不掉的,不要管了。
6、退出,重启,大功告成。
7、重启后验证是否删除干净:
●C:
\WINDOWS\SYSTEM32\DRIVERS无ALIDEVICE.SYS;
●优化大师检查IE插件无ALIEDIT;
●HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNP0303\4&5289e18&0(这个值可能和你的不一样,没关系)\Control\ActiveService指向Kbdclass,没卸载前是指向Alideivce.sys;
●IE内容中的证书需手动删除;
●在C:
\搜索ali*.*,只会找到Aliedit目录,别留啦,删吧!
●打开设备管理器,看吧,键盘驱动详细信息只有两条了,C:
\Windows\system32\drivers\Alidevice.sys这一条消失啦!
8、大功告成!
再没有一双隐形的眼睛盯着我啦!
再用卡巴测,就不会有盗号木马的提示了。
第二种办法:
关于alidevice键盘监听是不是流氓软件就不讨论了,起码淘宝不给卸载alidevice键盘监听的方法,就此一点已经足够流氓。
我验证过10台机器,以下方法可干净卸载。
1.修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters键值,把alidevice删除,注意kbdclass保留,不要删除,否则重启机器你的键盘可能失效。
2.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNP0303\4&5289e18&0,这里直接删除会报错,用icesword这个软件删除4&5289e18&0(iceswordV1.22绿色版可以在华军软件
(没有安装过支付宝及阿里巴巴等控件的注册表里就没有ACPI\PNP0303\4&5289e18&0)
3.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alidevice
4.删除Windows\System32\Drivers\AliDevice.sys文件
5.重启系统
6.部分电脑可能出现"发现新硬件"的提示,继而要求重启系统,这是由于干净删除alidevice以后,键盘恢复初始状态,在系统重新注册的缘故。
我既没安装过支付宝也没去过阿里巴巴网站,那是怎么插进来的呢?
一个是封装系统带有,另一个就是软件捆绑来的!
键盘的驱动程序里面本来两条(见下图)
如果你的驱动程序里有三条多了一条未数字签名的alidevice.sys那就是它了
未删除前
删除后
该死的kbdclass记录一整天了!
终于消灭了这鬼东西,赞一个卡
Keyboard驱动介绍
2009-11-1008:
211360人阅读评论(0)收藏举报
Keyboard驱动介绍
最近手里面没啥事,就想看看一些Driver的MDD层。
以前改过KeyboardDriver的PDD层,但是对它的MDD层还真是一片空白,这两天随便看了看Keyboard的MDD层,赶紧把东西记录下来,以防以过段时间忘记了。
很多是个人理解,难免有错误的地方。
一.KeyboardDriver的加载过程
系统启动过程中,GWES注册表HKEY_LOCAL_MACHINE/Hardware/DeviceMap/KEYBD下的”Drivername”下去获取KeyboardDriver的名字,如果没找到,则使用默认的名字Keybddr.dll。
加载的大概过程如下:
首先GWES会去验证KeyboardDriver的导出接口是否存在;
接下来去调用导出函数KeybdDriverInitializeEx(),对KeyboardDriver进行初始化。
二.有关Keyboard的几个概念
1.DeviceLayout
以PC机键盘为例,有的键盘是101键,有的是108键(呵呵,记不清楚了,反正是有按键比较多的键盘),从外观上来看,它们的按键个数和键位不同,从功能上看,按键比较多的键盘支持更多的功能,其实这就是KeyboardLayout的含义。
对于相同Layout不同厂家生产的键盘,相同按键产生的ScanCode必须是相同的,这也是PC机在不用装驱动的情况下可以支持任何市面上见到的键盘。
对于WinCE系统而言,为了支持市面上常见的PC键盘,也需要支持这些标准的Layout,这也是WinCE中存在很多标准Layout的根本原因。
具体到功能来说,DeviceLayout的功能就是负责ScanCode和VirtualCode的转换,以及VirtualCode的Remapping。
比如,键盘上左边有一个Shift键,右边也有一个Shift键,它们的ScanCode和Virtualcode不一样的,但是可以通过Remapping把它们的VirtualCode进行Remapping,转化为一样的VirtualCode。
系统中的Layout都作了哪些工作,引用Help文档中的内容来进行说明:
Thefollowinglistshows,insequence,howtheLayoutManagerhandlesscancodes:
1. PDDreceivesascancode.
2. PDDsendsthescancodetotheLayoutManager.
3. LayoutManagerconvertsthescancodetoavirtual-keycodebasedonthekeyboardthatsenttheeventanditscurrentdevicelayout.
4. LayoutManagerremapsthescancodebasedonthekeyboardthatsenttheeventanditscurrentdevicelayout.
5. LayoutManagerhandlestheauto-repeatfunctionality.
Allkeyboardssharethesameauto-repeatsettings.
6. LayoutManagercallskeybd_eventtosendaneventorevents.
Layout在注册表中的位置HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Layouts/{Layoutname},观察会发现所有Layout下的DLL是同一个,这是因为默认情况下,DLL中包含了所有的Layout。
另外,输入法也是要在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Layouts/{Layoutname}记录的DLL以及UI等信息,但实际上,并不是输入法真正的Layout,它实际使用的Layout是在通过注册表项"KeyboardLayout"指出来,例如双拼的注册表配置如下:
;MakeyourownIMEUIdllandchange"UIModule"fieldtoyourdllname.
;OnlyneedtoexportoneAPI:
voidCALLBACKImeGetUIClassName(LPTSTR);
;IMEwillcallthisAPItocopyyourUIclassname.
[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Layouts/e0010804]
;@CESYSGENIFWCESHELLFE_MODULES_INTLL
;@CESYSGENENDIF
;@CESYSGENIFWCESHELLFE_MODULES_INTLP
"LayoutDisplayName"="@//Windows//intlp.cpl,-20483"
;@CESYSGENENDIF
"LayoutText"="MicrosoftCHSShuangPinIME"
"ImeFile"="msimesp.dll"
"UIModule"="msimeuic.dll"
"KeyboardLayout"="00000409"
2.InputLanguage
在VirtualCode和Unicode之间进行转换。
InputLanguage的入口函数名字是:
IL_{layout序号}。
3.Local
引用Help文档来进
升级会员 