Taj fajl ce da radi upravo ono što i keylogger. Vidiš ova funkcija SetWindowsHookExW koju koristi PnkBstrB.exe. To je API f-ja iz user32.dll-a koja omogućava stvaranje programskog hook-a kojeg stavlja u hook chain. Ako joj se kao parametar proslijedi WH_KEYBOARD tada će preko kreiranog pointa ići poruke poslate sa tastature koje je dalje lako preko RegisterShellHookWindow() prosleđivati svom programu, a on dalje logovati u neki fajl i po potrebi kriptovati.
Mene stvarno zanima na koji ti način to analiziraš? Nemoj da se ljutiš, što ti smeta ako pitam? Da li koristiš neki program u koji učitaš ovaj log fajl, pa on na osnovu putanje, veličine itd fajla (iz loga) uporedi sa svojom bazom pa prikaže potencijalno opasne fajlove. Vjerovatno ne znaš napamet veličine fajlova što od windows-a što od raznih programa.
Ta funkcija, koju ces ti promeniti, ja mogu videti u ARK log-u ... a video bi najverovatnije i ARK skener i obavestio me o tome. Nesto blizi odgovor ne mogu da ti dam s'obzirom da nisam programer.
Takodje taj log fajl koji pravis bi bio prikazan u Find3M sekciji DDS log-a. Koristio bi neki drajver? Skriveni ili ne, bio bi prikazan.
Analiziram svaku liniju ponasob manuelno, ne koristim nikakve dodatne aplikacije. Ukoliko za neki fajl nisam siguran, potrazim proverene informacije na internetu, ukoliko pak ne postoje, fajl se salje na Virus Total na proveru nakon cega se trazi na upload i vrse testiranja ukoliko ima potrebe. Windows-ovi fajlovi (i ostali legitimni) su digitalno potpisani fajlovi i informacije o njima mozes naci na net-u, tako da ...
http://en.wikipedia.org/wiki/Digital_signature
Takodje su bitni simptomi koje korisnik ima. Npr konkretno u ovom slucaju, simptomi keylogger-a nisu primeceni (npr usporeni rad tastature tj. odziv bi bio nesto sporiji, jer keylogger mora da presretne i zapamti ono sto je otkucano na tastaturi).
[Ovu poruku je menjao goran9888 dana 04.02.2011. u 21:10 GMT+1]