Windows 7 bir işletim sistemine SYSTEM yetkileri ile Meterpreter kabuğuna erişim sağlanmış olsun.
Kullanıcının oturum sırasındaki klavye bilgilerini elde edebilmek için “explorer.exe” prosesine sıçranması gerekmektedir. “explorer.exe” adlı proses kullanıcı oturum açtıktan sonra oluşmaktadır ve web browser, Word gibi uygulamalara ait klavye hareketlerinin tespit edilebilmesi için bu proses izlenmelidir. Klavye bilgilerini dinlenmek amacıyla 3036 ID’li “explorer.exe” prosesine sıçrandığında, kullanıcının mail ve banka hesap bilgilerinin elde edilebildiği, Word dosyasına yazdığı bilgilerin okunabildiği görülmektedir. “explorer.exe” prosesine sıçrandıktan sonra, “keyscan_start” komutu ile bilgi alma işlemi başlatılır, “keyscan_dump” ile de bu bilgiler kaydedilir.
1 |
<strong>Kaynaklar:</strong> |
[1] http://www.offensive-security.com/metasploit-unleashed/Keylogging
[2] http://www.hacking-tutorial.com/hacking-tutorial/5-step-using-metasploit-meterpreter-keylogger-keylogging