Ovion
Ich hab weder mit Keylogging noch mit Netzwerksniffing gearbeitet (danach sieht es in der Tat aus), aber grundsätzlich ist es natürlich kein Problem, solche Logs zu erstellen und auch rauszuschicken, wenn der Schadwareschreiber 'n bisschen was drauf hat und der Rechner erstmal infiziert ist.
Dabei kann das an eine Mailadresse gehen oder auch an einen Server, wenn man irgendwo eine verlässliche (aka statische oder ge-dyn-dns-ste) IP hat. Wenn das System also mit der richtigen Schadware infiziert wurde, kann durchaus alles rausgeleitet werden, was auf dem Rechner abgeht. Es gibt auch fertige Tools für sowas, die kosten aber meist Geld oder kommen aus Quellen, die ich mit der Kneifzange nicht anpacken würde.
Soviel zu dem, was ich für Fakten halte.
Ein paar Gedanken zum Ganzen:
Wenn das echt ist, scheint es so zu sein, dass Sniffing und Keylogging auf den Chrome fixiert zu sein scheinen. Was aber macht dann die Explorer.exe im Log? Und wenn ich annehme, dass die Explorer.exe den Chrome gestartet hat, der wiederum den Facebook-Chat öffnet und autosign-in macht, dann scheint mir die Unterhaltung etwas abrupt anzufangen, vor allem, weil die erste Antwort dann vor jedem FB-incoming-data käme. Kann natürlich sein, dass die Unterhaltung vorher via Smartphone o.Ä. geführt und dann auf den Computer gewechselt wurde.
Bin nicht so so sehr vertraut mit Netzwerksniffern, aber dass nur incoming-data genifft wird und die outgoing-data komplett unter'n Tisch fällt, sollte möglich sein. Alternativ wurde nachträglich gefiltert (dass diese Möglichkeit besteht, darauf deutet die Zeile "view all tasks and processes" hin, wenn wir für den Moment annehmen, das Protokoll sei echt).
Wobei ich nicht weiß, ob da wirklich nur Traffic reinkommt, wenn da eine Antwort kommt. Das sieht mir doch schon recht ideal eine Konversation abbildend aus. Das Protokoll sieht arg ideal aus, keine Störung durch andere Programme (könnte gefiltert sein), allerdings auch die seltsame erste Zeile (die dann auch hätte verschwinden können, je nachdem, was die Implementierung macht).
Da wurde, wenn, möglicherweise ziemlich gezielt abgeschnorchelt. Nächste Frage: könnte jemand ein Interesse/einen Nutzen haben, wenn er nicht wüsste, dass /das/ dabei rauskommt? Und könnte jemand einen Nutzen daran haben, soetwas zu fälschen?
Ist der Abgeschnorchelte jemand, der alle *.exe ausführt, die nicht bei drei auf den Bäumen sind oder ist der Rechner, auf dem das gefunden worden sein soll, an einem "angreifbaren" Ort aufgestellt?
Ich würde nicht von einem selbstgebauten Logger ausgehen, die relativ übersichtliche Formatierung und das "view all tasks and processes" deutet eher auf Fertigware hin. Wäre das Ding selbstgebaut, wäre es endweder vorher schon fertig gewesen und nun nur noch gespielt, oder sie wurde in der Situation, die du andeutetest, gebaut. Dann glaube ich aber nicht, dass sich jemand die Mühe machen würde, noch eine super-Formatierung reinzubauen und Filter zu implementieren, ich würde eher vermuten, dass in dem Fall die Software schnellstmöglich in Stellung gebracht werden soll. => Wenn, dann Fertigware, woher auch immer. Wenn das sogar Bezahlsoftware ist, dann will man seinen Kunden ja auch was bieten.
Eine solche Formatierung zu fälschen wäre natürlich ungleich weniger Aufwand, vor allem, wenn der Fälscher denkt, es authentisch aussehen lassen zu müssen. Darauf könnte hindeuten, dass "view all tasks and processes" eine normale Textzeile zu sein scheint, wobei dies auf der anderen Seite natürlich ein relativ "offensichtlicher Fehler" sein könnte, den man als Fälscher vielleicht nicht gemacht hätte.
Dass "auto-sign-in" so explizit ausgeschrieben ist und alles andere nur "incoming data" heißt, wundert mich auch ein wenig, könnte aber daran liegen, was tatsächlich über's Netzwerk kommt, da müsste man mal testweise mitsniffen.
Dass "[Key: Return]" so explizit aufgeführt ist, ist natürlich möglich, aber erstmal ist ein newline ein Zeichen wie jedes andere und würde einfach hintendran geloggt werden, wenn es nicht separat behandelt und dargestellt wird (spricht wieder gegen selfmade).
Interessant wäre auch die Frage, ob die Echtheit dieses Protokolls jemand wissen möchte, der sich ertappt fühlt oder jemand, der jemandem dafür eins auf die Rübe geben will.
Denn technisch möglich ist das dargestellte sicherlich. Es gibt bestimmt auch irgendwo fertige Logger, die sowas so darstellen können, auch wenn mir dieses Format nicht bekannt vorkommt (was, wie gesagt, gar nichts heißt).
Ob es sich dabei allerdings um ein echtes Log handelt, lässt sich von hier aus nicht sagen, daher meine Gedanken oben.