TP keylogger - Qui suis je ?

BTS SIO – SI1-SI2
SI1 – SI2
TP 14
TP 14 – Sécurité – Keylogger
Sécurité – Mise en place d’un Keylogger
Présentation
L’objectif de ce TP est de mettre en place un Keylogger logiciel.
Un keylogger (enregistreur de frappe) est un dispositif matériel ou logiciel qui espionne l'utilisateur
d'un ordinateur et enregistre les actions (frappes au clavier, URL visitées, …) dans un fichier
« espion ».
L’installation d’un Keylogger sur un poste de travail
sans en informer l’utilisateur du poste de travail est illégale.
cf. Code du travail - article L.121-8
Le logiciel utilisé dans ce TP est Powered Keylogger, un keylogger développé par un éditeur de
logiciel américain, Eltima Software.
Ce logiciel est payant (une licence coute environ 50 $ US) mais il est également téléchargeable
gratuitement en version d’évaluation.
Le logiciel Powered Keylogger est composé de
deux parties :
Logiciel « Espion »
un logiciel « espion » qui est à installer
sur les machines à espionner
Visionneuse
une partie « visionneuse » qui peut être
installée sur les machines à espionner
ou bien sur une autre machine.
PoweredKeylogger
Cette « visionneuse » permet de visualiser les fichiers « espions » enregistrés sur les machines
espionnées.
Vous disposez dans le dossier du TP, en plus de l’énoncé :
• De l’exécutable powered_keylogger.exe permettant d’installer le logiciel dans un
environnement Windows XP :
• Du dossier Documentation qui contient de la documentation utile (FAQ, procédure de
désinstallation, …) concernant ce logiciel.
Lycée du Grand Nouméa
1/6
Marc BATY
BTS SIO – SI1-SI2
TP 14 – Sécurité – Keylogger
Partie 1 –Installation sur une même machine
Dans cette partie, les deux parties du logiciel seront installées sur une même machine virtuelle.
Dans un scenario de ce type, il faut se connecter sur la machine espionnée pour voir le résultat de
l’espionnage :
Logiciel « Espion »
Visionneuse
Machine espionnée
Scénario de la Partie 1
Travail à faire
1.1
Démarrez votre machine virtuelle en tant qu’administrateur.
1.2
Lancez le fichier d’installation en conservant les options par défaut sur les deux
premiers écrans de l’installation :
Ecran 1
Ecran 2
Le troisième écran de l’installation permet de choisir entre les deux types d’installation :
-
une installation complète (les deux parties du logiciel seront installées : core driver – la partie
« espion » - et log viewer – la partie « visionneuse » des actions espionnées)
-
une installation partielle (seulement la « visionneuse » sera installée).
Lycée du Grand Nouméa
2/6
Marc BATY
BTS SIO – SI1-SI2
TP 14 – Sécurité – Keylogger
Travail à faire
1.3
Choisissez l’installation complète :
Ecran 3
Le quatrième écran de l’installation permet de choisir une installation complètement furtive (Enable
Windows Safe Mode – le logiciel est invisible et inaccessible, même en mode sans échec) ou bien une
installation invisible (option recommandée – le logiciel est invisible mais accessible en mode sans
échec).
Cet écran permet également de choisir le « mot secret » : cette suite de caractères, tapée à n’importe
quel moment dans l’environnement Windows, permettra d’accéder à l’interface de contrôle du logiciel.
Travail à faire
1.4
Choisissez l’installation invisible avec le mot secret « sio2012 » :
Ecran 4
1.5
Validez le dernier écran qui lance l’installation.
Lycée du Grand Nouméa
3/6
Marc BATY
BTS SIO – SI1-SI2
TP 14 – Sécurité – Keylogger
Une fois que le keylogger est installé, on peut constater qu’il n’y a aucune trace de cette installation
(pas de trace dans le menu Démarrer, dans le Panneau de configuration, dans les fichiers cachés et
protégés de Windows, …)
On peut accéder à tout moment à l’interface d’administration (la « visionneuse ») du keylogger en
tapant simplement la suite de caractères composant le « mot secret ».
On peut taper le mot secret directement dans l’interface de Windows XP (quand le bureau Windows
est à l’écran) ou bien dans l’interface de n’importe quelle application.
Travail à faire
1.6
Afficher l’interface du keylogger en tapant le mot secret.
L’interface se présente alors ainsi :
B
C
A
Bouton d’options
La zone A permet de choisir les opérations à réaliser : choisir un jour espionné dans le
calendrier, choisir les actions espionnées à afficher, effacer le journal des actions espionnées,
filtrer les actions espionnées
La zone B affiche un menu contextuel dépendant de l’action choisie dans la zone A
La zone C affiche les actions espionnées
Le bouton d’options permet de configurer l’espionnage, notamment en définissant les actions à
espionner (frappes au clavier, sites web visités, captures d’écran, e-mails envoyés, …) et leur
fréquence, l’envoi automatique des fichiers « espions » par e-mail, …
Lycée du Grand Nouméa
4/6
Marc BATY
BTS SIO – SI1-SI2
TP 14 – Sécurité – Keylogger
Travail à faire
1.7
Paramétrez la surveillance suivante :
-
Récupération des touches frappées au clavier
Captures d’écran en 16 couleurs toutes les 30 secondes
Récupération des sites web visités
1.8
Fermez l’interface du Keylogger et simulez une utilisation de la machine espionnée :
navigation internet, création de dossiers, ouverture et fermeture de sessions, etc
1.9
Ouvrez à nouveau l’interface du Keylogger et vérifiez que la surveillance a fonctionné.
Partie 2 –Installation sur deux machines distinctes
Dans cette partie, la « visionneuse » de fichiers journaliers est installée sur une machine différente de
la machine espionnée :
Logiciel « Espion »
fichier « espion »
(extension « .PKL »)
Visionneuse
Machine espionnée
Visionneuse
Machine « contrôle »
Scénario de la Partie 2
Lycée du Grand Nouméa
5/6
Marc BATY
BTS SIO – SI1-SI2
TP 14 – Sécurité – Keylogger
Dans un scenario de ce type, le plus efficace est de programmer l’envoi automatique par e-mail des
fichiers espions : Ainsi, on a plus besoin de se connecter sur la machine espionnée pour voir le
résultat de l’espionnage.
Travail à faire
2.1
Modifiez la configuration du Keylogger :
-
Envoi automatique des fichiers « espions » toutes les 3 minutes par e-mail sur
votre boite mail « btssio.nc »
(serveur mail : mail.btssio.nc)
2.2
Fermez l’interface du Keylogger et simulez une utilisation de la machine espionnée :
navigation internet, création de dossiers, ouverture et fermeture de sessions, etc
(ces actions doivent durer au moins 3 minutes)
Pour visionner ces fichiers espions, il faut installer la visionneuse sur une deuxième machine.
Travail à faire
2.3
Démarrez une deuxième machine virtuelle en tant qu’administrateur.
2.4
Installez la visionneuse du keylogger uniquement (décochez l’option Powered Keylogger
core driver dans l’écran 3 de l’installation) sur cette machine virtuelle
2.5
Récupérez les fichiers « espions » que vous avez reçus par e-mail de la première
machine et visionnez-les sur la deuxième machine.
Partie 3 –Désinstallation du keylogger
L’objectif de cette partie est de désinstaller le keylogger sur la machine espionnée même si on ne
connait pas le mot secret.
Travail à faire
3.1
Désinstallez le logiciel de la machine espionnée sans utiliser l’interface de Powered
keylogger (la « visionneuse »).
(aidez-vous des pages contenues dans le dossier Documentation)
Lycée du Grand Nouméa
6/6
Marc BATY