ему, после чего ВСТАНОВИВ драйвер додаток может самозніщітіся. Можливе решение и без додатка-інсталятора - в цьом випадка драйвер встановлюється за помощью INF-файлу. p align="justify"> У момент завантаження драйвер винен підключітіся до стеку клавіатурного драйвера за помощью функцій IoCreateDevice и IoAttachDevice. У більшості відоміх реалізацій фільтр підключається до стека Пристрої В« Device KeyboardClass0В», что є драйвером класу и реалізує Загальну функціональність для клавіатур різніх тіпів. p align="justify"> Підміна драйвера клавіатурі. Даній метод в дійсності Заснований на підміні драйвера Kbdclass або одного з нізькорівневіх драйверів клавіатурі драйвером власної розробки. Складність реалізації зазначеного методу Полягає в тому, что заздалегідь Невідомий тип застосовуваної користувачем клавіатурі, а того підміну драйвера порівняно просто віявіті. Внаслідок цього подібний метод практично НЕ зустрічається. p align="justify"> Клавіатурній шпигун на базі руткіт-технології в UserMode
Принцип Дії такого клавіатурного Шпигуна Заснований на перехопленні ряду функцій USER32.DLL для МОНІТОРИНГУ їх вікліків. Дані шкідліві програми пока не отримай особливого Поширення, альо це Тільки питання годині. Небезпека! Застосування руткіт-технології в клавіатурному Шпигуна пояснюється тим, что, по-перше, багатая антікейлоггері НЕ розраховані на поиск на шпігунів такого типу и НЕ здатні їм протідіяті, а по-друге, антіруткіті часто вже не перевіряють перехоплення функцій бібліотеки user32.dll.
Принцип роботи Шпигуна й достатньо проста: за помощью будь-якої з відоміх руткіт-технологій віробляється перехоплення однієї або декількох функцій, что дозволяють отріматі контроль над вводитися з клавіатурі інформацією. Найпростішім є перехоплення функцій GetMessage и PeekMessage. p align="justify"> подібний клавіатурній шпигун Дуже небезпечний, ТОМУ ЩО:
ВІН НЕ віявляється стандартними методиками поиска клавіатурніх шпігунів;
можливе Впровадження перехоплювача за ПЄВНЄВ Умова, внаслідок чого ВІН впроваджується не в УСІ GUI-процес, а в строго певні (Наприклад, в процесі браузера або в додаток типом WebMoney);
проти нього НЕ діють екранні клавіатурі и Другие засоби Боротьба з клавіатурнімі Шпигун;
крім перехоплення функцій PeekMessage и GetMessage, могут буті перехоплені Функції копіювання ІНФОРМАЦІЇ при роботі з буфером обміну (OpenClipboard, CloseClipboard, GetClipboardData, SetClipboardData), опитування стану клавіатурі (GetKeyState, GetAsyncKeyState, GetKeyboardState) та Інші Функції user32 . dll, что посілює Небезпека Шпигуна, а перехоплення функцій типом CreateWindow дозволяє відстежуваті создания вікон.
Клавіатурній шпигун на базі руткіт-технології в KernelMode
Принцип Дії Шпигуна даного типу аналогічній UserMode, альо в даним випадка проводитися пер...
