---[  Phrack Magazine   Volume 8, Issue 53 July 8, 1998, article 07 of 15
      프랙매거진 책 8번째, 주제 53번  1998년 7월 8일 기사 15개 글중 7번째	

-------------------------[  A Stealthy Windows Keylogger
                            윈도우 키 몰래 잡기  

--------[  markj8@usa.net ( 이하 필자) 


  
    나는 최근에 소규모 TCP-IP네트웍크에서 윈도우내에서 타이핑되는 어떤 데이타에
대한 필요를 느꼈다.

    나는 수시로  물리적으로 머신들과 접속했고, 그래서 나는 관리자의 패스워드를 
알아내기 까지 이르렀다. 하지만 화일들은 BestCryptNP에 저장되었고, 나는 
그 패스워드 문장을 알수 없게 되었다.

    나는 내가 할수 있는 한, 그에 알맞는, 남의 눈에 띄지않게 그 패스워드구절을 가
로챌수 있는 키로깅 프로그램을  인터넷에서 샅샅히  뒤져 보았다. 하지만 내가 찾은
것이라곤 윈도우에  설치를 하라고 고집피는 비주얼베이직으로 짜여진 거대한 버그
투성이의 프로그램이었다.

    그래서 내가 직접한번 짜보기로 맘먹었다. 나는 Level 0에서 모든 작업을 할수 
있는 VXD를 이용해서 한번 써보기로 했다. 하지만 나는 그에대한 툴도 구할수없을 뿐
아니라, 그런것을 살수 있는 여유도 없었다.

    우리 지방 공공 도서관을  컴퓨터로 찾아보던 중에 나는 베리 코울이 쓴,
"WINDOWS ASSEMBLY LANGUAGE and SYSTEMS PROGRAMMING" (ISBN 0 13 020207 X) c 1993
라고 불리는 아주 얇은 책을 발견하게 되었다.
 
     목차에서 휙휙 훑터보는데 "Chapter 10: Real-Time Events, Enhanced Mode Hardware
 Interrupts". ( 제10과 : 하드웨어 인터럽트 모드의 실시간 이벤트)라는 것이 튀어
나왔다. 책을 브라우져로 보면서 카피했고 (물론 저작자 베리에겐 로얄티를 못줘서 미안.)
그러면서 내가 깨달은것은 내가 지금 필요한 모든 것은 노말 사용자 프로세서로서 
윈도에서 타이핑되는 작은 16비트 윈도 프로그램을 짜는 것이 었다.

      대신 한가지 아쉬은 점은 도스박스에서 타이핑되는 키스트록은 잡아낼수 없다는 것이다.
좋다. 어쩔수 없다. 그정도는 없어도 된다. 내가 윈도의 모든 유저에게 윈도는 단일 인터럽트 
디스크립터 테이블(IDT)를 공유한다는  골때린 사실을 하나 깨닫게 해줘야지.. 이것은 어떤 
한 유저의 프로그램이 어떤 IDT의 벡터를 패치하면 , 그때 모든 다른 유저프로그램들이 당장
영향을 받는 다는 것이다.
 

     내가 윈도를 실행시킬수 있게 할수있는 유일한 툴은 볼랜드 2.0 씨였다. 이것은 
아주 작고 귀여운 윈도우 3.0 실행프로그램을 만들수 있는 것이다. 그래서 이것을 
사용했다.  나는 이걸로 윈도우 워크그룹3.11, 윈도우95 osr2, 그리고 윈도우 98 BETA3
에서 테스트 해보았다. 아마도 윈도우 3.x에서두 잘돌아 갈 것이라 생각된다.

    이것을 제공하면서 말하건데, 이 프로그램은 \windows\system디렉토리에 powerx.dll
이란 히든 파일을 만들고 ,키스트록을  도스용 Doc Cypher's KEYTRAP3.COM과 같은 구조로
엔코딩 할것이다.

    이것은 당신도 똑같은 컨버전 프로그램을 사용할 수 있다는 것을 의미한다.
CONVERT3.C라고 이것은 원 스캔코드를 읽을수 있는 아스키 코드로 바꾸는 프로그램이다.
내가 살짝 한번 CONVERT3.C의 버그 두개를 잡은 개선판을 끼워넣어 봤다.
 
    내가 완벽하게 CONVERT3의 함수를  W95Klog에 통합시켜 넣어 봤다. 하지만 로깅 
스캔코드는 아주 안전하게 그래서 그대로의 아스키로 ... 프로그램이 시작할때 로그파일
이 2메가가 넘는다면 지워질것이고, 다시 블랭크파일로 만들어 질것이다.

 
    당신이 작업리스트를 보기위해 윈도우 95,98에서 CTRL-ALT-DEL눌렀을때 , W95Klog 가 
익스 프로러로 보일것이고.  .DEF파일이나, 재컴파일, 아니면 .EXE화일을 헥스에디트
함으로써 바꿀수 있을 것이다. 만일 어떤 사람이든 이 리스트에서 어떻게 유저프로그램을
중단시킬수 있는지 알게 돼었다면 나한테 알려주기 바래요.
 
    목적머신에서 윈도우가 시작될때 마다 W95Klog를 실행시키게 할려면 , 당신이 해야 
할일은 :

  1) win.ini를 편집해야한다. [window]섹션에 run=WHLPFFS.EXE 나 혹은 다른이름으로 
:) 주의점!  이렇게 하는 것은 추접한 에러를 낼수 있는데.. 만일 그 프로그램이 없을때
그런다. 이렇게하는 데의 장점은 상호 컴퓨터간에 정해진 리모트 서비스 없이 리모트 
어드민 관리를 거쳐서 네트웍상에서 수행될수있다는 것이다. 

  2) 레지스트리 키를 편집하라:(Win95/98)
'HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run' 그리고, 
WHLPFFS.EXE나 아니면 당신이 원하는 문자열을 새로 만들어라.  이것은 바로 내가 먼저
해본 방법이다. 왜냐하면 이렇게한것은 만약에 이 프로그램이 실행되고 있다는것을 
들키지만 않으면 다른 불평없이 윈도우를 돌리면서 보통사용자에게 걸릴확률이 좀 
적기 때문이다. 그리고 로그파일은 우리 프로그램에 의해 열려있을 경우일지라도 네트웍을
통해서 회수 할수있다. 매우 편리하지 않은가? ;)


* 마지막 소스 코드 부분은 악용의 소지가 있기 때문에 임의로 삭제하였습니다.
  이 부분에 대한 자료는 원문 등을 직접 검색하여 참고하시길 바라겠습니다.


----[  끝


번역자   :  서승현 Inha University CSE (ROK) 2000 Feb 26
            (s1980914@inhavision.inha.ac.kr)

번역후기 :  해커의 세계에선 무엇을 훔쳐본다는 것과 가로챈다거나 하는 일은 좀
            뭐랄까요. 비신사적으로 보이죠? 좀더 정교하고 의미있는 일을 해야 멋
            있어 보이는데요...하지만 위에 나온 w95klog라는 프로그램은 그렇지 않내요.
            그냥 장난삼아 하는 트릭이면 그것으로 충분할까요... 그냥 잠깐 시간나서 
            번역 해보았습니다. fun hack~! 
             
            이 번역문서의 모든 권힌을 KHDP에 넘깁니다. 기타 자세한 문의는 KHDP로 ^^*.


                                                         - for KHDP
                                                         - for K.H.