wireshark a keylogger

Problematika administrace LAN či WIFI sítí

Moderátor: Mods_senior

shockwave
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: únor 11
Pohlaví: Muž

wireshark a keylogger

Příspěvekod shockwave » 08 úno 2019 12:58

Ahoj, dá se nejak odhalit keylogger v pc, odesílající data někam přes net?

Jak poznat podezřelé pakety nebo aktivitu, jen bych poprosil o konstruktivní rady, obecné mě moc nepomohou a hlavne někoho kdo umí s wiresharkem. Momentálně nemám jinou technologii k dispozici. Spyware programy nic nenajdou a přeinstal systému se mi opravdu dělat nechce :( Děkuji za pochopení



Reklama
Pedrossos
Level 2
Level 2
Příspěvky: 226
Registrován: červen 18
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod Pedrossos » 08 úno 2019 14:51

ano třeba windows defender dokáže... napiš jaké programy spyware si použil

shockwave
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: únor 11
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod shockwave » 08 úno 2019 21:14

tak použil jsem Spybot a Malwarebytes a nic

Pedrossos
Level 2
Level 2
Příspěvky: 226
Registrován: červen 18
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod Pedrossos » 08 úno 2019 22:45

co ten defender?? zkus start-do vyhledávacího pole napiš defender. budeš tam mít dva windows defender a vyhledat spyware

Uživatelský avatar
ITCrowd
Tvůrce článků
Elite Level 12
Elite Level 12
Příspěvky: 15752
Registrován: březen 10
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod ITCrowd » 08 úno 2019 22:55

Hlavně, že jsi žádal někoho, kdo umí s wiresharkem :-)
Pedrosliz ani neví, co to je...
Předně netuším, jestli wireshark je na takovéto hledání nejvhodnější nástroj...
Odposlech hesla ftp (jednoduchá věc) je třeba tu: download/file.php?id=40025&mode=view je to součát tohoto článku: viewtopic.php?f=117&t=141396
Problém je, že nevím, jestli keylogger odesílá každou informaci z klávesnice, nebo jen informace z přihlašovacích dialogů. Ve druhém případě těch paketů moc nebude...
Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations. Nastavíš zachytávání a začneš psát. Pak si otevřeš okno endpoits a uvidíš IP adresy s komunikací. Pak je budeš muset nějak prověřit. Předpokládám, že keylogger nebude znaky přenášet v otevřené formě (tak jak je to u příkladu), takže to rozhodně nerozkóduješ.
Pokud keylogger reaguje jen na přihlašovací dialogy, pak jedině porovnat stejný postup s nenapadeným strojem.
Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack], ale zase se musí ověřit, kdo pod tou ip je. V tomto případě bych postupoval tak, že bych nastartoval stroj bez připojení k síti (vytažený kabel), spustil wireshark a pak zastrčil kabel. Těch syn,ack paketů tam naskočí množství. Ale zase - nikde není psáno, že keyloger ověří spojení hned...
wiresharkTCP.jpg

Ale možná se tu ozve někdo s více zkušenostmi.
Nemáte oprávnění prohlížet přiložené soubory.
Naposledy upravil(a) ITCrowd dne 08 úno 2019 23:38, celkem upraveno 2 x.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router

shockwave
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: únor 11
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod shockwave » 09 úno 2019 09:52

Jen bych napsal, že co se týká znalostí,jsem tady na tom nejhuř z vás já:) Vyjadřil bych se k tomu Defenderu, ten se mi na win7 ani nepodařilo ze Startu rozchodit bohužel.

1.Tady uplně presne nevim, co myslis: "Domnívám se, že by šlo použít oken Endpoits, popřípadě Conversations"

2.Zkusím prozatím metodu TCP syn, ack, jestli neco nenajdu : "Dál je možná detekce navázání spojení pomocí TCP (pokud tímto protokolem keylogger komunikuje) -[syn][syn, ack][ack]" - tady tedy navrhuješ prověřit ip adresy, že , jestli dobře chápu.

Jen by mě možná zajímalo, čistě teoreticky, jak by ten keylogger pres tcp pracoval, kdo s kým navazuje spojení předpokladám moje ip adresa by navazovala spojení s jinou na kterou by se posílala data, že?

Děkuji
Naposledy upravil(a) shockwave dne 09 úno 2019 10:05, celkem upraveno 1 x.

Uživatelský avatar
mmmartin
Moderátor
Master Level 9
Master Level 9
Příspěvky: 7845
Registrován: srpen 04
Bydliště: Praha
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod mmmartin » 09 úno 2019 10:01

Prosím oba zúčastněné rádce, aby pro výměnu líbezností zvolili cestu SZ. Co si navzájem o sobě myslíte tazatele určitě nezajímá. Děkuji

Uživatelský avatar
ITCrowd
Tvůrce článků
Elite Level 12
Elite Level 12
Příspěvky: 15752
Registrován: březen 10
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod ITCrowd » 09 úno 2019 10:09

Vypadá to takhle:
Jsou tam IP adresy, na které bylo spojení. Pokud by keylogger odesílal data během psaní na klávesnici, pak tam ta přijímaná IP adresa "přiskočí".
Nemáte oprávnění prohlížet přiložené soubory.
Zkusili jste to vypnout a zapnout? Problémy řeším pouze v tématech. Do SZ mi proto píšete zbytečně.
Základní diagnostika WiFi Jak na diagnostiku sítě Router jako switch Proč je nesmysl chtít router s velkým dosahem Vybíráme router

shockwave
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: únor 11
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod shockwave » 09 úno 2019 11:32

Wireshark1.JPG


jestli bych mohl poprosit, aby mi někdo erudovaný screen trošku popsal

a zde by mě zajímalo, co znamená to RST, reset čeho? Z překladu ip adresy
viz. http://www.nmonitoring.com/ip-na-domeno ... ub=1&ln=cz
sem nedohledal vubec nic , překlad mě odkázal zase jen na ip adresu
wireshark2.JPG


Děkuji
Nemáte oprávnění prohlížet přiložené soubory.

Uživatelský avatar
Microsheep
Level 4
Level 4
Příspěvky: 1317
Registrován: leden 10
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod Microsheep » 09 úno 2019 11:49

Navázané spojení TCP s nějakou službou po 443, která má cloud od amazonu AWS (takže drtivá většina aplikací apod. sídlí u amazonu, nedivil bych se ani mrkvosoftu i když ten to bude mít na svém azurovém písečku).
RST bude konec TCP spojení na vzdálené straně (např. zavřený port).
Možná už ti začíná docházet, proč tohle není ideální způsob zjištění keyloggeru.
Nevíš, jak se aplikace chová, kdy data odesílá (hned, jednou za den? za rok?), kam? jakým způsobem? (a že jich je) schovaný za něco? Pokud nevíš co hledáš, hledá se to docela těžko.
Já mít podezření, že je v pc keyloggeru, neztrácel bych čas zjišťováním a udělal bych reinstall systemu rovnou.
Nenapsal si jaký máš firewall, bylo by vhodné začít se nad tím zamyslet a nějaký interaktivní režim fw použít..
Viděl by si okamžitě, co se kam snaží připojit bez tvého vědomí a konat např. Buď si z toho něco vem nebo ne.
Ryzen 5 1400 | MSI B350M GAMING PRO | MSI GeForce GTX 1050 Ti 4GT | 2x8GB Corsair
Media Creation Tool | Crystal disk Info | Ninite | NirLaucher

kanoe222
Level 1.5
Level 1.5
Příspěvky: 110
Registrován: červenec 18
Pohlaví: Nespecifikováno

Re: wireshark a keylogger

Příspěvekod kanoe222 » 09 úno 2019 12:44

Ako pise Microsheep, ak mas podozrenie na keylogger v pocitaci a nedari sa ti ho najst pomocou nejakeho antivirusu/ antispywaru a pod. Okamzite preinstaluj pocitac s tym ze vyformatujes disk pri instalacii.

Hladat keylogger na zaklade sietovej prevadzky je uz skor otazka na profesionala, a aj ten ho nemusi najst. Ak je keylogger napisany nejakym amaterom, tak ho dokazes najst. Ale akonahle je napisany profesionalne a snazi sa akivne skryvat, tj roby rozne necakane veci, nedrzi sa pevne nejakeho patternu ze kazdy den o 14:00 odosiela data na nejaky server, navyse v plaintexte, alebo po kazdych 10tich minutach a pod. tak ho casto krat nema velku sancu najst ani profik zaoberajuci sa tymto.

Takze znovu opakujem, odzalohovat veci ako su videa fotky hudba, tam je mala sanca na infiltraciu. Dokumenty (word, excel, pdf a pod) prebehnut viacerymi antivirakmy a az nasledne ich zalohovat (vyssia sanca na infiltraciu, napr pomoocu nejakeho makra vo wordowskom dokumente sa ti moze znovu stiahnut keylogger do PC). Ale urcite nezalohovat ziadne hry, programy a pod, cokolvek sa spusta cez .exe, .bat a pod -> velmi vysoka sanca na infiltraciu. Nasledne preinstalovat PC a vyformatovat kompletne cely disk pri instalacii.

Pedrossos
Level 2
Level 2
Příspěvky: 226
Registrován: červen 18
Pohlaví: Muž

Re: wireshark a keylogger

Příspěvekod Pedrossos » 09 úno 2019 18:21

shockwave jen chci vedet, jak jsi přišel na to, že máš v PC keyloggera?? jestli si ho nainstaloval, vidět nejde, jde pouze zviditelnit zkratkou nebo unhidem.. chtěl si někoho špehovat nebo někdo tebe ?


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Wireshark a router
    od shockwave » 02 led 2019 12:25 » v Sítě - hardware
    10
    523
    od ITCrowd
    02 led 2019 18:54

Zpět na “Administrace sítě”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 2 hosti