Общедоступный непалящийся кейлоггер

Сегодня, детишки мои, я расскажу вам сказку. Я как всегда решил совместить приятное с полезным. Один хороший знакомый, продавец rdp дедиков, учеток и прочего, долго жаловался мне на то, что иногда после продажи он заходил на свой дедик и видел окна браузера с крупными переводами в киви и др. До того как он успевал что то сделать продавец естественно успевал либо удалить историю либо завершить перевод на другой кошелек (и т.д.). Мне надоело выслушивать его темные помыслы и я решил ему помочь. Заодно и другим участникам этого форума. У нас неоднократно уже обсуждалось что то вроде: "А не принесет ли кто на блюдечке кейлогер и т.д. не детектящийся антивирусами.". Сразу оговорюсь, что я пошел путем наименьшего  сопротивления и решил долго не думая пошарить на гитхабе. Среди всего разнообразия вариантов нашелся и Radium Keylogger написанный на python2.7. После непродолжительного гугления выяснилось, что он широко обсуждался и публиковался на новостных сайтах чак что его описание и возможности лучше почитать там. Казалось бы что его сигнатуры уже как пол года должны быть в антивирусных базах. Но как выяснилось не тут то было. Постараюсь описывать как можно подробнее, как раз для категории лиц "подайте мне готовенькое".

Что нам понадобится?
1. Гуглим название "Radium Keylogger" и качаем все с гитхаба, распаковываем в рандомную папку.
2. Гуглим "Python2.7 скачать бесплатно без смс в высоком качестве" загружаем и устанавливаем с параметрами по умолчанию, единственное о чем хотелось бы сказать, что нужно выбрать ВСЕ компоненты для установки в окне выбора компонентов для установки соответственно. В противном случае вас ждут проблемы, не буду описывать подробностей.
3. Так же все загружаем и устанавливаем оттуда же, со страницы Radium Keylogger на гитхабе из раздела Requirements (PyHook; PyWin32; Microsoft Visual C++ Compiler for Python) кроме PyInstaller. Его мы установим ручками в следующем шаге.
4. Открываем PowerShell от имени администратора. Далее переходим в папку с распакованными исходниками с помощью команды

cd С:\полный\путь\до\ исходников

Потом выполняем комманду

pip install pyinstaller

так же следом установим рекомендованные пакеты

pip install -r .\requirements.txt

5. Открываем исходник Radiumkeylogger.py в вашем любимом текстовом редакторе можете хоть в Word.
Ищем строки

из названия не трудно догадаться что для чего. Но все же скажу что нужно сделать. Заменяем значения вида base64.b64decode("") на просто тупо "ваше значение". Если не лень можете сконвертировать ваши данные в кодировку base64 с помощью любого онлайн конвертера и прописать значение в кавычки между скобок.
6. Пройдемся по исходнику и для порядка и маскировки поправим везде где упоминается "AdobePush.exe" на "svchost.exe". Так же заменим "Radiumkeylogger.py" и "AdobePush.py" на svchost.exe для обеспечения работоспособности автозагрузки.

7. Компилируем все в исполняемый файл, в том же окне PowerShell
выполняем команду

pyinstaller --onefile --windowed Radiumkeylogger.py

Если вы все делали правильно в папке с исходниками появится пара папок. В папке dist и будет ваш долгожданный кейлогер. Весит сие чудо 9100Kb. Что очень печально для малвари должен я сказать, но ничего не поделаешь, я не стал заморачиваться ибо не для себя. Тем более, что стандартный svchost иногда и все 50Mb отжирает и если он будет весить 20Kb может вызвать подозрение у опытного пользователя.
8. На этом еще не все, с паковкой и криптом можете сами заморочиться, мы сейчас же произведем базовую маскировку. Качаем и устанавливаем программы VerPatch и Resource Hacker. Для вашего удобства выбрал самое общедоступное.
9. Переименовываем получившийся файл в svchost.exe. Открываем с помощью Resource Hacker библиотеку /Windows/system32/imageres.dll и сохраняем все ее ресурсы в какую либо папку, думаю с функционалом этой программы вы разобраться в состоянии. Далее открываем наш кейлогер и заменяем его иконку на 15.ico это стандартная иконка для приложений внутри которых нет ресурсов, с этой же иконкой и отображаются основные системные процессы Windows. Сохраняем и выходим.
10. Копируем наш файл в папку с распакованным VerPatch. Открываем командную строку и переходим в эту папку. Выполняем команду

verpatch svchost.exe 6.3.9600.0 /va /s description "Host Process for Windows Services" /s product "Microsoft Windows"

Если система с российской локалью замените "Host Process for Windows Services" на Хост процесс для сервисов Windows" или как там мать ее.
После этого наш кейлогер будет палиться только тем что запущен от имени пользователя. Впрочем и эту проблему можно легко решить погуглив пару минут.
11. Все. Можно запускать и проверять электронную почту, после запуска должно придти уведомление на электронную почту что все ОК. Хотелось бы предупредить, что логи отправляются по умолчанию после набора 300 символов скриншоты после набора 500 символов, скриншоты пакуются по 10 штук и отправляются на почту как и логи. Естественно покопавшись ручками в исходнике все значения можно заменить под ваши требования.
Профит под спойлером.

Как вы видите он не детектится основными антивирусами лишь только какими то совсем экзотическими. Вам остается только решить вопрос доставки его на машину жертвы, но это уже совсем другая история.

Роль кейлогера у меня уже лет 5, если не больше, выполняет обыкновенный Punto Switcher. Со своими недостатками конечно, имя процесса не сменишь и в новых версиях некоторые ограничения (фразы менее двух слов не записываются по-моему, поэтому нужно использовать не новее определенной версии), но зато 100% беспалевность для антивируса и плюс цифровая подпись, что тоже дает некоторые плюсы. Правда средство доставки логов нужно уже отдельное искать, но я обычно выкачиваю уже установленным до этого RAT-клиентом (среди которых тоже есть "чистые" для антивируса. Хотя некоторые все равно выдают окошко "возможно, за вами следят"). Для окучивания пользователей дедиков (после этого поста кстати вряд ли я тут дедик брать буду) вряд ли подойдет, но против обыкновенных юзеров вполне.

Эх, вот бы ты ещё статью написал как его на компьютер жертвы закинуть
Жаль + тебе поставить не могу

Хороший_Человек, закинуть вместе с другим файлом или внутри его

Kuda, Тут очень спорный момент - скушает ли джоинер вот такое вот чудо питоновское и получится ли это чудо упаковать, чтобы размер поменьше был.

burroughs, согласен, но ведь без этого не было бы так интересно 

Не, паковать не получается точно скажу. Много алгоритмов пробовал. Меньше 3х процентов все. Да и тогда палиться начинает антивирусом. Если только приватным криптом с упаковщиком) Видимо из за того что язык не стандартный потому и не детектит) Если будет много кому интересно запилю модули для него. Почтовый сервер кстати  желательно свой и фтп тоже. У меня то есть, я учетку создал своему знакомому продавцу дедиков. Что ради скидки не сделаешь))) А то он тоже уже сказал что он очень большой и мыло банят сразу, ну или пасс поменять просят по подозрению во взломе, что не вариант т.к. он вкомпилен.

Мне интересно

кейлоггер немного поработал и перестал записывать логи

А у меня не получается на комп жертве закинуть,современные антивирусы всё палят... А что не палят то нихера не работает...

Не сочтите за рекламу, но вот неплохой на мой взгляд продукт 3w.spyrix.com , хоть и стоит немного денег. Зато функционала больше чем достаточно. Антивирями не палится.
Кста появилась и фришная версия.

Ссылку на фри версию можно?

w w w . s p yrix.c o m / spyrix-free-keylogger.php
пробелы убрать

Благодарю, опробую

Прям как в 2007 очутился.
Можно сократить до:
1. Скачиваем Radiumkeylogger.py и pyinstaller
2. Меняем данные на свои и собираем в exe

Лучше бы описал вот

Очень интересно как беспалевно от другого юзера запустить, желательно администратора. 

Тут думаю 2 пути. Либо покупать приватные сплоиты под интересующую платформу/архитектуру, либо же пользоваться связкой публичных. Благо их много в паблике, но к сожалению мало что из них реально работает. Из действующих (не всегда конечно зависит от системы и поставленных обнов) хотелось бы отметить Hot Potato.

кейлоггеры на питоне... я не сошёл с ума и я вижу это на дарк форуме в ветке "хакерство". помню похожие статьи 10 лет назад, тогда такое гавно клепали в батниках или вбсками. и сейчас словно в прошлое попал. я один чувствую запах "батников"-вирусов из прошлого? 
а если серьезно, то каков посыл?

1. если учить людей делать кейлоггеры, то отчего не с++ с винапи? для обучающихся созданию вирусов это будет всяко полезней питона. или нубодельфи на худой конец.
2. а если суть в способе, как без знаний получить рабочий кейлоггер, то почему палящийся, громоздкий и запарный? отчего не купить за 10уе?

пахнет школой. то ли школьник учит, то ли материал на школу ориентирован.

P.S. угорел с покупки приватных сплоитов. так себе сплоит стоит от 200уе.  чоб не купить нормальный кейлоггер? который авером не палится и весит всяко меньше 10мб(или сколько это чудо питонье весит)

Умник, там был вопрос про доставку контента на машину, или ты думаешь что логгеры за 10$ сами доставляются куда нужно да? Ты что восставший из пепла дух Ens'a или его мультиакк? Если ты внимательно читал, хотя я уже понял что способностью ты этой не обладаешь, то там написано, что материал рассчитан на школьников. Всем когда то в свое время не хватало таких вот статей, а некоторым просто тупо лень и обломно долго изучать вопрос, а узнать пасс сисадмина училки в кабинете информатики нужно, во что бы то ни стало и 10$ даже в кармане нету. Виндузятник, ты себе свой WinAPI вместе с Net.Framework и MFC засунь ка плашмя в одно из отверстий в своем теле и не вынимай до полного экстаза.

Вроде как изначально было про покупку дедика с RDP

Ну да, действительно. Зачем под виндой для кейлоггера использовать WinAPI или дотнет которые в винде есть? Ведь можно стоя в гамаке на лыжахтаскать с собой интерпритатор со всеми зависимостями и библиотеками. А то и два сразу, как в соседней теме советуют perl обязателен для взлома. Хотя я бы советовал scala или haskel, чтоб в тренде быть.

Про вин апи со психу... Это вовсе не к тому, что нужно обязательно питон юзать, просто тут частный пример был для школоты зачем все усложнять. Да и на exploit.ин уже подзадолбали такими темами: "дайте что нибудь работающее в пару кликов и что бы мозг не нужно было включать". А к винапи у меня личная неприязнь с тех пор как открыл мир *NIX))) И как осознал какое это зло и сплошное ограничение, да и не практиковался я давно под винду что то писать и даже желания не возникает как то)))))  Под руку попался рабочий и не палевый, вот и написал, а на сишках поди найди не палевый с открытыми сорцами. Конечно согласен, язык нужно выбирать под задачу и лучше что бы это был изначально компилируемый язык, а не интерпретируемый (по крайней мере для выше стоящей задачи).