TY - JOUR ID - TI - Detecting keylogger virus by monitoring keyboard driver stack الكشف عن فیروس كلوغر بواسطة تعریف مكدس لوحة المفاتیح AU - Farah Majid فرح ماجد PY - 2011 VL - IS - 16 SP - 75 EP - 90 JO - AL-MANSOUR JOURNAL مجلة المنصور SN - 18196489 AB - This work is devoted to design and implement asoftware to monitor keyboard driver stack for any illegalembedding of malicious filter driver. Filter drivers is theeffective tool used by keylogger software to record userkeystrokes. Recording keystrokes is a very hostile actionand it is mostly done by viruses.Enumerating the size of the drivers stack dedicatedfor the keyboard device and the location of upper mostfilter driver. A filter driver is designed along this paperusing Microsoft Driver Development Kit (DDK) 2003, thisfilter driver is going to be attached to the keyboard driverstack to be the upper most keyboard filter driver. Anotheruser level program is designed to interact with the filterdriver. When Windows I/O manager will send Input/OutputRequest Packet (IRP) the filter driver will intercept thatpacket and send back to the user level program speciallydesigned along this paper. The stack depth and stacklocation will be retrieved from IRP sent by the filter driver

ھذا العمل مكرس لتصمیم وتنفیذ برنامج مراقبة لمكدس سواقة لوحة المفاتیح لاستكمالالحشر الغیر قانوني لسواقات أخرى ضمن ھذا المكدس . إن حشر سواقات مرشحة في مكدسلوحة المفاتیح یعتبر من الادوات الفعالة التي تستخدم في برمجیات التجسس من نوع مسجلاتالمف اتیح والت ي تق وم بتس جیل جمی ع ض ربات المس تخدم عل ى لوح ة المف اتیح . یص نف ھ ذاالتصرف على أنھ عدائي جدا وذلك لامكانیة استلال المعلومات السریة الخاصة بالمستخدم .ان ھذا البحث سوف یبرھن على ان حساب حجم المكدس المخصص للوح ة المف اتیح وتسلس لالسواقات المرشحة یمكن ان یستخدم بفعالیة عالیة لاستمكان الاختراقات حیث ان البحث سوفیط رح تص میم س واقة خاص ة م ن ن وع المرش حات والت ي س وف ی تم حش رھا لتك ون ف ي قم ةالمكدس على الدوام . ان ھذه السواقة سوف یتم برمجتھا لتعطي معلومات عن عم ق المك دسوتسلسل وجودھا في المكدس . سوف ی تم بن اء الس واقة بأس تخدام الحقیب ة البرمجی ة الخاص ة. ( DDK ) من شركة مایكروسوفتان عمل السواقة المرشحة التي یطرحھا ھذا البحث ستكون مھمتھا استكمال كل كمات البیاناتبین التطبیقات ولوحة المفاتیح والتي سوف یرسلھا مدیر بیئ ة النواف ذ ال ى ( IRP ) المتبادلةالمكدس الخاص بلوحة المفاتیح ومن ثم استخراج عمق المكدس وتسلسل السواقة منھا ER -