TP keylogger - Qui suis je ?
Transcription
TP keylogger - Qui suis je ?
BTS SIO – SI1-SI2 SI1 – SI2 TP 14 TP 14 – Sécurité – Keylogger Sécurité – Mise en place d’un Keylogger Présentation L’objectif de ce TP est de mettre en place un Keylogger logiciel. Un keylogger (enregistreur de frappe) est un dispositif matériel ou logiciel qui espionne l'utilisateur d'un ordinateur et enregistre les actions (frappes au clavier, URL visitées, …) dans un fichier « espion ». L’installation d’un Keylogger sur un poste de travail sans en informer l’utilisateur du poste de travail est illégale. cf. Code du travail - article L.121-8 Le logiciel utilisé dans ce TP est Powered Keylogger, un keylogger développé par un éditeur de logiciel américain, Eltima Software. Ce logiciel est payant (une licence coute environ 50 $ US) mais il est également téléchargeable gratuitement en version d’évaluation. Le logiciel Powered Keylogger est composé de deux parties : Logiciel « Espion » un logiciel « espion » qui est à installer sur les machines à espionner Visionneuse une partie « visionneuse » qui peut être installée sur les machines à espionner ou bien sur une autre machine. PoweredKeylogger Cette « visionneuse » permet de visualiser les fichiers « espions » enregistrés sur les machines espionnées. Vous disposez dans le dossier du TP, en plus de l’énoncé : • De l’exécutable powered_keylogger.exe permettant d’installer le logiciel dans un environnement Windows XP : • Du dossier Documentation qui contient de la documentation utile (FAQ, procédure de désinstallation, …) concernant ce logiciel. Lycée du Grand Nouméa 1/6 Marc BATY BTS SIO – SI1-SI2 TP 14 – Sécurité – Keylogger Partie 1 –Installation sur une même machine Dans cette partie, les deux parties du logiciel seront installées sur une même machine virtuelle. Dans un scenario de ce type, il faut se connecter sur la machine espionnée pour voir le résultat de l’espionnage : Logiciel « Espion » Visionneuse Machine espionnée Scénario de la Partie 1 Travail à faire 1.1 Démarrez votre machine virtuelle en tant qu’administrateur. 1.2 Lancez le fichier d’installation en conservant les options par défaut sur les deux premiers écrans de l’installation : Ecran 1 Ecran 2 Le troisième écran de l’installation permet de choisir entre les deux types d’installation : - une installation complète (les deux parties du logiciel seront installées : core driver – la partie « espion » - et log viewer – la partie « visionneuse » des actions espionnées) - une installation partielle (seulement la « visionneuse » sera installée). Lycée du Grand Nouméa 2/6 Marc BATY BTS SIO – SI1-SI2 TP 14 – Sécurité – Keylogger Travail à faire 1.3 Choisissez l’installation complète : Ecran 3 Le quatrième écran de l’installation permet de choisir une installation complètement furtive (Enable Windows Safe Mode – le logiciel est invisible et inaccessible, même en mode sans échec) ou bien une installation invisible (option recommandée – le logiciel est invisible mais accessible en mode sans échec). Cet écran permet également de choisir le « mot secret » : cette suite de caractères, tapée à n’importe quel moment dans l’environnement Windows, permettra d’accéder à l’interface de contrôle du logiciel. Travail à faire 1.4 Choisissez l’installation invisible avec le mot secret « sio2012 » : Ecran 4 1.5 Validez le dernier écran qui lance l’installation. Lycée du Grand Nouméa 3/6 Marc BATY BTS SIO – SI1-SI2 TP 14 – Sécurité – Keylogger Une fois que le keylogger est installé, on peut constater qu’il n’y a aucune trace de cette installation (pas de trace dans le menu Démarrer, dans le Panneau de configuration, dans les fichiers cachés et protégés de Windows, …) On peut accéder à tout moment à l’interface d’administration (la « visionneuse ») du keylogger en tapant simplement la suite de caractères composant le « mot secret ». On peut taper le mot secret directement dans l’interface de Windows XP (quand le bureau Windows est à l’écran) ou bien dans l’interface de n’importe quelle application. Travail à faire 1.6 Afficher l’interface du keylogger en tapant le mot secret. L’interface se présente alors ainsi : B C A Bouton d’options La zone A permet de choisir les opérations à réaliser : choisir un jour espionné dans le calendrier, choisir les actions espionnées à afficher, effacer le journal des actions espionnées, filtrer les actions espionnées La zone B affiche un menu contextuel dépendant de l’action choisie dans la zone A La zone C affiche les actions espionnées Le bouton d’options permet de configurer l’espionnage, notamment en définissant les actions à espionner (frappes au clavier, sites web visités, captures d’écran, e-mails envoyés, …) et leur fréquence, l’envoi automatique des fichiers « espions » par e-mail, … Lycée du Grand Nouméa 4/6 Marc BATY BTS SIO – SI1-SI2 TP 14 – Sécurité – Keylogger Travail à faire 1.7 Paramétrez la surveillance suivante : - Récupération des touches frappées au clavier Captures d’écran en 16 couleurs toutes les 30 secondes Récupération des sites web visités 1.8 Fermez l’interface du Keylogger et simulez une utilisation de la machine espionnée : navigation internet, création de dossiers, ouverture et fermeture de sessions, etc 1.9 Ouvrez à nouveau l’interface du Keylogger et vérifiez que la surveillance a fonctionné. Partie 2 –Installation sur deux machines distinctes Dans cette partie, la « visionneuse » de fichiers journaliers est installée sur une machine différente de la machine espionnée : Logiciel « Espion » fichier « espion » (extension « .PKL ») Visionneuse Machine espionnée Visionneuse Machine « contrôle » Scénario de la Partie 2 Lycée du Grand Nouméa 5/6 Marc BATY BTS SIO – SI1-SI2 TP 14 – Sécurité – Keylogger Dans un scenario de ce type, le plus efficace est de programmer l’envoi automatique par e-mail des fichiers espions : Ainsi, on a plus besoin de se connecter sur la machine espionnée pour voir le résultat de l’espionnage. Travail à faire 2.1 Modifiez la configuration du Keylogger : - Envoi automatique des fichiers « espions » toutes les 3 minutes par e-mail sur votre boite mail « btssio.nc » (serveur mail : mail.btssio.nc) 2.2 Fermez l’interface du Keylogger et simulez une utilisation de la machine espionnée : navigation internet, création de dossiers, ouverture et fermeture de sessions, etc (ces actions doivent durer au moins 3 minutes) Pour visionner ces fichiers espions, il faut installer la visionneuse sur une deuxième machine. Travail à faire 2.3 Démarrez une deuxième machine virtuelle en tant qu’administrateur. 2.4 Installez la visionneuse du keylogger uniquement (décochez l’option Powered Keylogger core driver dans l’écran 3 de l’installation) sur cette machine virtuelle 2.5 Récupérez les fichiers « espions » que vous avez reçus par e-mail de la première machine et visionnez-les sur la deuxième machine. Partie 3 –Désinstallation du keylogger L’objectif de cette partie est de désinstaller le keylogger sur la machine espionnée même si on ne connait pas le mot secret. Travail à faire 3.1 Désinstallez le logiciel de la machine espionnée sans utiliser l’interface de Powered keylogger (la « visionneuse »). (aidez-vous des pages contenues dans le dossier Documentation) Lycée du Grand Nouméa 6/6 Marc BATY