- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
Многие вирусописатели и хакеры используют Punto Switcher как кейлоггер, включая его функцию «дневник», и при этом ставят пароль, скрывая данные от лишних глаз.
Дневник Punto Switcher позволяет сохранять и упорядочивать весь текст, который вводится на клавиатуре. Это полезно для:
C:\Users\{USER}\AppData\Roaming\Yandex\Punto Switcher\User Data
Однако файл дневника diary.dat может быть перенесён в другое место, чтобы скрыть факт его существования. Взломщики часто маскируют его, чтобы пользователь случайно не заметил растущий файл.
Работа с файлом дневника
Мы рассмотрим пример, где diary.dat защищён паролем. На скриншоте был выделен участок, содержащий этот пароль. Наша задача — заменить данный блок собственным.
Код для вставки:
50 53 44 46 36 37 2B 0C 2B 4C 20 41 17 59 7B 5A
22 58 59 20 0F 19 21 14 15 2B 38 62 15
Алгоритм действий:
Для исследователей ИБ и хакеров подобные методы дают возможность обойти защиту встроенного кейлоггера, получить доступ к логам переписок и изучить сохранённые данные без ограничений. В пентесте это может быть полезно как дополнительный источник информации о действиях пользователя.
Дневник Punto Switcher позволяет сохранять и упорядочивать весь текст, который вводится на клавиатуре. Это полезно для:
- автоматической записи текста из буфера обмена;
- сохранения информации, набираемой на клавиатуре;
- фиксации выделенного текста через горячие клавиши;
- быстрого поиска и выборочного просмотра сохранённых данных;
- удаления ненужных записей.
C:\Users\{USER}\AppData\Roaming\Yandex\Punto Switcher\User Data
Однако файл дневника diary.dat может быть перенесён в другое место, чтобы скрыть факт его существования. Взломщики часто маскируют его, чтобы пользователь случайно не заметил растущий файл.
Работа с файлом дневника
Мы рассмотрим пример, где diary.dat защищён паролем. На скриншоте был выделен участок, содержащий этот пароль. Наша задача — заменить данный блок собственным.
Код для вставки:
50 53 44 46 36 37 2B 0C 2B 4C 20 41 17 59 7B 5A
22 58 59 20 0F 19 21 14 15 2B 38 62 15
Алгоритм действий:
- Создаём пустой файл размером 1024 Кб и сохраняем его как nopasswordDiary.dat.
- В начало файла вставляем приведённый код.
- К нему добавляем данные из оригинального diary.dat, которые находились после блока с паролем.
- Полученный файл сохраняем.
- Переименовываем nopasswordDiary.dat в diary.dat и копируем его обратно в папку:
C:\Users\{USER}\AppData\Roaming\Yandex\Punto Switcher\User Data - Запускаем Punto Switcher — теперь файл открывается без пароля.
Для исследователей ИБ и хакеров подобные методы дают возможность обойти защиту встроенного кейлоггера, получить доступ к логам переписок и изучить сохранённые данные без ограничений. В пентесте это может быть полезно как дополнительный источник информации о действиях пользователя.