Keylogger self made

[Dj Hackmaster A]

[code]
Zb für XP kriegt man eins in 11 zeilen hin. (Ok nicht wirklich. Bzw das rootkit (ring-3) schon aber das hooken sind nen paar zeilen mehr))

Was für ein ausgemachter Schwachsinn. Nur weil du ein FindNextFile-Callback in 11 Zeilen hast (was natürlich noch lange keinen Schutz bietet) bedeutet das nicht, ist das noch lange, lange, lange kein rootkit. (abgesehen davon ist die Funktion auch schwachsinnig, da du im Falle eines Treffers in einer Endlosschleife endest bis der Stack überläuft.).

[wacked]

was natürlich noch lange keinen Schutz bietet

Auf XP Rechnern ist die Datei versteckt.(Außerdem wieso schutz?)

abgesehen davon ist die Funktion auch schwachsinnig, da du im Falle eines Treffers in einer Endlosschleife endest bis der Stack überläuft.).

Nein. FindNextFile() hangelt sich an einer LinkedList entlang ( NtQueryDirectoryFile() gibt diese liste an FindNextFile() (vereinfacht)).
Beim jedem aufruf von

Code:

Original_FindNextFileW(hFindFile, lpFindFileData);

wird der nächste eintraf in lpFindFileData kopiert.
Also:
LinkedListe von NtQue..() (verinfacht):
dir1\x00bot.exe\x00file1.txt

1 Aufruf (von explorer.exe) von Hooked_FindNextFileW:
lpFindFileData = "dir1".
Wird zurückgegeben.

2 Aufruf (von explorer.exe) ...:
lpFindFileData = "bot.exe"
Wird nicht zurückgegben sondern:

3 Aufruf (von bot.exe (injected in explorer,exe)) von Hooked_FindNextFileW:
lpFindFileData = "file1.txt"
Wird normal zurückgegeben.

[Ethon]

In Anbetracht dessen dass Vista/Win7 als 64bit Version ziemlich gut gegen unlizensierte Kernelmodule, also auch gegen Rootkits, geschützt sind würde ich eher etwas im Usermodebereich basteln.

Einfach in jeden Prozess eine DLL mit entsprechenden File/Registry und Prozess APIhooks injecten und gut ist (Du brauchst dann im Idealfall allerdings einen 64bit Loader, der hingegen aber auch 32bit DLLs in Wow64 Prozesse injecten kann).

Mfg,
Ethon