Windows-Keylogger-Tespiti

İclal Sarıtaş

Team Member
Katılım
24 Ocak 2024
Mesajlar
4
Tepkime puanı
5
Puanları
3

İclal Sarıtaş tarafından yazılmıştır.


Merhabalar, bu yazım basitçe keylogger tanımı, python ile keylogger mantığının gösterilmesi ve keylogger tespiti hakkında olacak.

* Keylogger olarak bilinen bir yazılım, klavyenizdeki tuş vuruşlarını izleyen ve kaydeden bir tür izleme yazılımıdır. Bu yazılım, kullanıcıların klavyede ne yazdığını gizlice takip ederek, kullanıcıların etkinliklerini izlemeye ve kaydetmeye olanak tanır. Kullanım amacının ne olduğu tamamen kullanıcının sınırlarına ve neyi hedeflediğine bağlıdır.

* Python ile keylogger yazmayı ve kodu çalıştırdığımızda klavyedeki tüm tuşlamaların bir log.txt dosyasına kaydedilmesini istediğimizde bu tarz bir kod işimizi görebilir :


ç.jpeg


Ekranın herhangi bir yerine rastgele bir şeyler yazıyorum ya da rastgele tıklıyorum. İşte bu kodda basitçe bir keylogger nasıl çalışır bunu görmüş oluyoruz. Keylogger kullanımı parola hırsızlığı, kişisel bilgi çalma, casusluk, çocuk takibi ve kontrolü, personel izleme, yedekleme ve hata ayıklama, eğitim amaçları, klavye eylemlerinin kaydedilmesi gibi amaçlarla kullanılabilir. En başta da bahsettiğim üzere kişinin amacına göre durumun acımasızlık boyutu farklılık gösterebilir.

* Peki son olarak, Windows kullanıyorsun ve bilgisayarında keylogger bulunup bulunmadığını merak ediyorsun. Bunu en hızlı ve en temel şekilde öğrenebilmenin yolları var, biraz bundan konuşalım.

1- Windows pencereni aç, oradan c: 'ye gir. Windows klasörüne tıkla, System 32'yi bul, System 32'nin içinde iki dosya aratacağız şimdi. SystemDll32.log, SystemDll32.exe .


2..JPG


1..JPG


Bu iki dosyayı arattığında sonuç dönüyorsa nur topu gibi bir keylogger sahibisin. Dll dosyaları, birden fazla program tarafından kullanılabilen ve programların işlevselliğini genişleten işlevleri içerebilir, bu yüzden log ve onun execute versiyonunu arattık.


2- Klavyedeki dört farklı tuştan bahsedeceğim. CTRL+ALT+SHIFT+X tuşları. bu dördünü aynı anda tuşla. Tuşladın ve hiçbir değişiklik olmadı mı? Öyleyse güzel. Ekranda şifre soran bir pencere mi açıldı? Muhtemelen keylogger mağdurusun.

3- Pencereye gel ve arama kutusuna çalıştır yaz. cmd yazıp enter yap ve terminal açılsın. Terminale netstat -an | find ":25" yazıp enter yap. Temel olarak, bilgisayarın ağ bağlantılarını, ağ arayüzlerini, yönlendirme tablolarını ve ağ istatistiklerini görüntülemek için netstat komutunu kullandık. Netstat çıktısını belirli bir formatta göstermek için -an komutundan yararlandık. -a tüm bağlantıları ve bağlantı bekleyen noktaları gösterirken -n sayısal formatta (IP adresleri ve bağlantı noktaları) gösterir. Yani -an, IP adresleri ve bağlantı noktalarının sayısal değerlerini (IP adresleri ve port numaralarını) okunabilir bir formatta sunar.


3..JPG


4..JPG


Ezcümle bu komutu uyguladığında bir şeyler listelenmeye başladıysa bilgisayarında keylogger yüksek ihtimalle var.

4- Görev yöneticisini aç. Ayrıntılara gir, ayrıntılardan services.exe adındaki arkadaşı bul.


5..JPG


6..JPG


Bu arkadaşın Kullanıcı adında SYSTEM dışında bir isim yazıyorsa keylogger ile başının dertte olması muhtemeldir.


// Peki keylogger ile başım dertte, nasıl kurtulacağım ? //

\\ Ya antivirüs programından faydalan ya da pc formatla. Muhtemelen sorun ortadan kalkacak, düzelme olmazsa forumda buluşalım. \\

 
Faydalı bir paylaşım olmuş elinize sağlık. Sadece 3. kısımdaki komutu çalıştırırken ufak bir sorun oldu bende. Syntax uyarısı aldım.
Kod:
netstat -an | findstr ":25"
şeklinde çalıştırdığım zaman düzeldi. Burada findstr Windows'ta grep işlevi gören bir komut. Bu şekilde bize dönen liste içerisinde 25 portunun kullanılıyor olup olmadığını belirlemek için substring kontrolü yapabiliyoruz.
 
Faydalı bir paylaşım olmuş elinize sağlık. Sadece 3. kısımdaki komutu çalıştırırken ufak bir sorun oldu bende. Syntax uyarısı aldım.
Kod:
netstat -an | findstr ":25"
şeklinde çalıştırdığım zaman düzeldi. Burada findstr Windows'ta grep işlevi gören bir komut. Bu şekilde bize dönen liste içerisinde 25 portunun kullanılıyor olup olmadığını belirlemek için substring kontrolü yapabiliyoruz.
Hocam çok teşekkür ediyorum, find komutunu yazmayı unutmuşum. netstat -an | find ":25" şeklinde güncelledim, keza dediğiniz gibi findstr de olur 🧡
 
Geri
Üst