Sommaire

Enregistrement des frappes clavier

Maintenant que le concept de migration de processus est devenu un peu plus clair, il est à présent possible de parler d’enregistrement de frappes aussi appelé keylogging.

En effet, afin de pouvoir enregistrer les frappes clavier d’un utilisateur, un attaquant doit être en mesure de migrer vers l’un des deux processus suivant :

  • winlogon.exe afin de capturer les identifiants de connexion des utilisateurs. Afin de migrer vers ce processus, le processus initial doit appartenir à System.

  • explorer.exe afin de capturer l’ensemble des autres frappes clavier (en dehors des identifiants de connexion).

Dans ce cas de figure, le processus cible ne disposant pas de suffisamment de privilèges, la migration est effectuée vers explorer.exe :

meterpreter > ps 
 
Process list 
============ 
 
   PID   Name  &nbs ...