S.l.e!ep.¢%

像打了激速一样,以四倍的速度运转,开心的工作
简单、开放、平等的公司文化;尊重个性、自由与个人价值;
posts - 1098, comments - 335, trackbacks - 0, articles - 1
  C++博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

一个反键盘记录工具的分析

Posted on 2010-03-09 15:34 S.l.e!ep.¢% 阅读(976) 评论(0)  编辑 收藏 引用 所属分类: RootKit
http://hi.baidu.com/zzzevazzz/blog/item/a6d4f309a218d583d0581b37.html
一个反键盘记录工具的分析
2007-04-12 14:09

(下面的文字本是我在某个论坛的回贴,后来发现跑题了,食之无味弃之可惜,于是转贴到这里)

除了nProtect,国外还有一些反键盘记录工具,比如下面这个还不错:
http://www.anti-keyloggers.com/

是个通用型的,与QQ的nProtect专门用于保护密码不同。
而且反破解做的不错(对我这种破解外行而言,呵呵)。

它的原理我简单的说一下,就是替换键盘类驱动的KeyboardClassServiceCallback,然后把得到的ScanCode传递到用户态,由位于Winlogon.exe的一个线程负责调用NtUserSendInput,将按键消息发给当前焦点窗口。

应该说这款反键盘工具的设计思想是很先进的:
1,选用KeyboardClassServiceCallback的好处是,比键盘过滤驱动更底层,对PS/2或USB键盘通用。
2,用Winlogon转发消息的好处是,自动适应多用户(session)的情况。
3,用NtUserSendInput的好处是,不会被Windows消息钩子挂钩。
4,虽然它没有构建起完全独立的键盘输入通道(这么做太复杂,兼容性不好),但对于没有重建的部分,通过检测钩子的方式弥补。

它的钩子检测功能对于用户态不错,遗憾的是,居然漏掉了中断服务挂钩的检测,实在是个大疏忽。另外,作为通用型保护机制,不可避免的具有一些局限性,比如无法防御用窗口子类化来做键盘记录。

还有一款产品:

http://www.anti-keylogger.net/

以后有空再看看,呵呵。


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理