TbMA] Так самая главная задача - найти.
Не только.
TbMA] В Винде столько дыр, и умышленных и неумышленных, что посадить на нее (потом) следящую программу для специалиста трудностей не представляет.
На нормально заплатанную систему. Уменьши рыбу.
Это все-таки труд и немалы.
TbMA] Вот недавний WMF сплойт был там черт его знает сколько лет, и судя по всему, умышленно.
А какие показатели, что умышленно? ИМХО, как раз от "большого ума" — не сделали, как требовал стандарт, а решели еще что-то умное добавить.
TbMA] А кейлоггер - он и в Африке кейлоггер, и снимок экрана пришлет куда надо, и все записанное с клавиатуры. Универсального средства их обнаружения - нет.
Ну понятно, только надо человека сначала найти, потом залезть на его комп. А так я скажу, дайте мне шипчики с иголачками, да нужной химии, да самого шпиона и я его расколю почти 100%. Осталось дело за малым — шпиона поймать.
TbMA] А никто разве никогда не слушал https с отравлением arp?
Есть бесплатные программы которые это делают автоматически.
А причем здесь ARP? Что он тебе даст? Про мои МАС адреса за пределами моего раутера уже никто ничего не знает. Извини, но ARP это уровня 2, а https это уже уровня 5, по крайне мере — что там внизу и не особо важно.
TbMA] Для провайдера даже таких финтов ушами не надо, весь трафик все равно через них идет.
И что? Как он узнает, какой этот трафик надо смотреть, а какой нет. Пупок развяжется. Все ISP c приличными каналами стонут, что не могут трафик хранить. Демос, насколько я знаю, просто сказал ФСБ (после этого закона о том, что провайдеры должны обеспечивать техникой для отбора), что они отберут и перенаправят весь трафик, а вот анализировать и хранить те будут сами. После чего вопрос о всеобщем перехвате и анализе трафика был снят.
TbMA] НЕ ФАКТ. Достаточно написать программу установки посложнее немного.
Ну можно и свои программки писать. Мы такое делали, загружается как один из первых драйверов и проверяет, что сидит в памяти на уровне ядра первым во всех цепочках.
TbMA] Например не тупо прописываться в автозагрузку, а подменять своим загрузчиком одну из уже прописанных там программ. Или пройдясь по ее импортам, подменять ее диэлэль. Хотя лучше конечно то-же самое делать с уже существующим сервисом
А какая разница? У многих систем системы реального анализа работают на уровне ядра в реальном (а не виртуальном) режиме. И получают доступ к файлам напрямую, проверяя живые. Они очень быстро находят отклонения.
TbMA] Высылать на мыло тоже можно по-умному, не так сложно впрыснуться в память любой уже легально используемой почтовой программы.
Это, если есть какой-нибудь эксплоит. А, если бит исполнения стоит, то это намного труднее сделать.
TbMA] Да и софтовые файрволы обходятся.
Обходятся, только не это не просто — взял и сделал.
TbMA] Ну согласитесь что все можно сделать, если очень нужно (и есть время и средства).
А вот тут я полностью согласен.
Только их, как правило, ни у кого нет в достаточном количестве.
Какие-то программы все равно должны быть разрешены. Да и скрытый канал можно организовать совершенно по разному. Вон люди и свои стаки пишут, и все что угодно.
Это, если комп напрямую подсоединен к инету. Иначе немного сложнее.
sicom] Хренотень!
Пардон, это у Вас хренотень.
sicom] Алгоритмы стеганографии достаточно оставляют следов в файле. Поскольку в файл вносятся лишние биты - статистически это не сложно определить - в смысле - того, что файл БЫЛ пропущен через Стеганографа - конечно - чем меньше вносится доп. данных тем сложнее выявить - но оценки говорят о 1-4 бита на 1 Мбт - тогда сложно.
Это, если есть исходный или знаете образец. А иначе труба. Тот же шум матрицы этими алгоритмами легко обнаруживается. Хорошие программы под него и маскируются.
sicom] РАРовские файлы легко определяются по характерному рисунку сжатия - дальше просто повышенное внимание и доп. обработка.
Не надо сжимать, надо запомнить. Тогда только заголовок. А файл уже зашифрован.
sicom] И потом - по площадям - почти не работают - вернее работают по - ну скажем по группе Айпишников или если есть оперативные данные по абонентам - в том числе и по абонентам созданным для редкого использования.
Никто так не делает. Это уже давно пройденый этап. Канал как раз делают широко используемым, а когда ничего нет, то гоняют мусор, чтоб статистически не отличить.
sicom] Кстати есть прога - которая блокирует доступ если за компом сидит не "родной" - просто статистически набирает данные как пользователь набирает на клаве, перерывы между нажатиями... - и т.п.
Это к чему? Какое отношение возможные методы аутенфикации имеют к передаче данных? Или это на тему того, что тем, кто будет устанавливать keylogger навредить?
sicom] Вот такой принцип.
Какой?