Meniu
AcasăMicrosoft

Keylogger: ce este, scopurile sale, cum să vă protejați împotriva acestuia. Keylogger. Ce este Keylogger (keylogger) și cum să interceptați datele de intrare

Keylogger software

  • engleză keylogger
  • engleză key logger
  • engleză înregistrator de taste
  • engleză înregistrator de chei
  • engleză trapătorul de chei
  • engleză program de captare a tastelor
  • engleză cheie snooper
  • rusă keylogger

Keylogger hardware

  • engleză dispozitiv de înregistrare a tastei
  • engleză keylogger hardware
  • rusă keylogger hardware

Tipuri de informații care pot fi controlate

  • apăsări de la tastatură
  • apăsarea tastelor mouse-ului
  • data și ora apăsate

Clasificare

după tip

Keylogger software aparțin grupului de produse software care exercită controlul asupra activităților utilizatorului unui computer personal. Inițial, produsele software de acest tip erau destinate exclusiv înregistrării informațiilor despre tastele de la tastatură, inclusiv tastele de sistem, într-un fișier jurnal specializat (fișier jurnal), care a fost ulterior studiat de persoana care a instalat acest program. Fișierul jurnal poate fi trimis prin rețea către o unitate de rețea, un server ftp de pe Internet, prin e-mail etc. În prezent, produsele software care și-au păstrat acest nume „în mod veche” au multe rezultate funcții suplimentare- aceasta este interceptarea informațiilor din ferestre, interceptarea clicurilor mouse-ului, interceptarea clipboard-ului, „facerea fotografiilor” capturilor de ecran și ferestrelor active, păstrarea evidenței tuturor e-mailurilor primite și trimise, monitorizarea activității fișierelor, monitorizarea registru de sistem, monitorizarea cozii de joburi trimise la imprimantă, captarea audio de la un microfon și video de la o cameră web conectată la un computer etc., i.e. ele, de fapt, aparțin unei clase complet diferite de produse software, și anume produse software de monitorizare.

Keylogger hardware sunt dispozitive în miniatură care pot fi atașate între tastatură și computer sau încorporate în tastatură în sine. Ei înregistrează toate apăsările de taste făcute pe tastatură. Procesul de înregistrare este complet invizibil pentru utilizatorul final. Keyloggerele hardware nu necesită instalarea niciunui program pe computer pentru a captura cu succes toate apăsările de taste. Când este atașat un keylogger hardware, nu are absolut nicio diferență dacă computerul este în stare de pornire sau oprit. Timpul său de funcționare nu este limitat, deoarece... nu necesită pentru munca sa sursă suplimentară nutriţie. Volumele de interior memorie nevolatilă Aceste dispozitive vă permit să înregistrați până la 20 de milioane de apăsări de taste și cu suport Unicode. Aceste dispozitive pot fi realizate sub orice formă, astfel încât chiar și un specialist uneori nu poate determina prezența lor în timpul audit informativ. În funcție de locația atașării, keylogger-urile hardware sunt împărțite în externe și interne.

Keylogger acustice sunt dispozitive hardware care înregistrează mai întâi sunete, creat de utilizator atunci când apăsați tastele de pe tastatura unui computer, apoi analizați acele sunete și convertiți-le în format text.

în locația în care este stocat fișierul jurnal

  • hard disk
  • memorie
  • registru
  • partajată, adică unitate de rețea publică (partajată).
  • server la distanță

prin metoda de trimitere a fișierului jurnal

  • e-mail (fără participarea utilizatorului)
  • ftp (fără interacțiunea utilizatorului)
  • http (https - conexiune sigură prin Internet) (fără participarea utilizatorului)
  • orice varianta comunicare fără fir(gamă radio, rază infraroșu, Bluetooth, WiFi etc.)
  • De retea locala

prin metoda de aplicare

Doar metoda de utilizare a keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) vă permite să vedeți linia dintre managementul securității Şi încălcarea securității .

Utilizare neautorizată- instalarea unui keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) are loc fără știrea proprietarului (administratorul de securitate) sistem automatizat sau fără știrea proprietarului unui anumit computer personal. Keylogger-urile neautorizate (software sau hardware) sunt numite dispozitive spion. Utilizarea neautorizată este de obicei asociată cu activități ilegale. De regulă, produsele spyware neautorizate au capacitatea de a configura și primi un fișier executabil „împachetat”, care în timpul instalării nu afișează niciun mesaj și nu creează ferestre pe ecran și, de asemenea, au încorporate mijloace de livrare și instalare de la distanță a modul configurat pe computerul utilizatorului, adică de ex. procesul de instalare are loc fără acces fizic direct la computerul utilizatorului și adesea nu necesită drepturi de administrator de sistem;

Utilizare autorizată- instalarea unui keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) are loc cu cunoștințele proprietarului (administratorul de securitate) al sistemului automatizat sau cu cunoștințele proprietarului unui anumit computer personal. Keyloggerele autorizate (software sau hardware) sunt denumite produse software de monitorizare. software de monitorizare a angajaților, software de control parental, software de control acces, programe de securitate a personalului etc.) De regulă, produsele software autorizate necesită acces fizic la computerul utilizatorului și drepturi de administrator obligatorii pentru configurare și instalare;

pentru includerea în bazele de date de semnături

faimos keyloggers. Această categorie include keylogger a căror semnătură este deja inclusă în bazele de date de semnături ale principalilor producători de antivirus cunoscuți. spyware produse și/sau produse software antivirus.

Necunoscut keyloggers. Această categorie include keylogger a căror semnătură nu este inclusă în bazele de date de semnături ale principalilor producători cunoscuți de software anti-spyware și/sau produse software antivirus și, de multe ori, nu vor fi niciodată incluse în acestea din diverse motive:

  • keylogger (module) dezvoltate sub auspiciile diferitelor organizații guvernamentale;
  • keylogger (module), care pot fi create de dezvoltatorii diferitelor sisteme de operare închise și incluse de aceștia în nucleul sistemului de operare;
  • keylogger, care sunt dezvoltate în cantități limitate (adesea doar în una sau câteva exemplare) pentru a le rezolva sarcină specifică asociat cu furtul de informații critice de pe computerul utilizatorului (de exemplu, produse software utilizate de atacatori profesioniști). Aceste produse spyware pot fi ușor modificate deschise codurile sursă keylogger luate de pe Internet și compilate de către atacator însuși, ceea ce face posibilă schimbarea semnăturii keylogger-ului;
  • cele comerciale, în special cele incluse ca module în produsele software corporative, care sunt foarte rar incluse în bazele de date de semnături ale producătorilor cunoscuți de produse software anti-spyware și/sau produse software anti-virus. Acest lucru duce la faptul că publicarea de către atacatori pe Internet a unei versiuni complete a unui anumit produs software de monitorizare comercial poate ajuta la transformarea acestuia din urmă într-un produs spyware care nu este detectat de produsele software anti-spyware și/sau anti-spyware. produse software antivirus;
  • keylogger, care sunt module pentru interceptarea tastelor de pe computerul utilizatorului, incluse în programele de virus. Înainte de a introduce datele semnăturii în baza de date cu virusi, aceste module sunt necunoscute. Un exemplu sunt virușii de renume mondial care au cauzat multe probleme în ultimii ani, care includ un modul pentru interceptarea tastelor și trimiterea informațiilor primite pe Internet.

Scopuri de aplicare

Utilizarea autorizată a keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) permite proprietarului (administratorul de securitate) unui sistem automat sau proprietar de computer:

  • identificați toate cazurile de tastare de cuvinte și fraze critice pe tastatură, al căror transfer către terți va duce la pagube materiale;
  • să poată accesa informațiile stocate pe hard disk-ul computerului în caz de pierdere a login-ului și a parolei de acces din orice motiv (boală a angajatului, acțiuni intenționate ale personalului etc.);
  • identificați (localizați) toate cazurile de încercări de parole de acces în forță brută;
  • verifica posibilitatea de utilizare calculatoare personale V orele nelucrătoareși să identifice ce a fost tastat pe tastatură la un moment dat;
  • investigarea incidentelor informatice;
  • efectuează cercetări științifice legate de determinarea acurateței, eficienței și adecvării răspunsului personalului la influențele externe;
  • restabilirea informațiilor critice după defecțiuni ale sistemului informatic;

Utilizarea modulelor care includ un keylogger de către dezvoltatorii de produse software comerciale le permite să:

  • creează sisteme căutare rapidă cuvinte ( dicționare electronice, traducători electronici);
  • creați programe pentru căutarea rapidă a numelor, companiilor, adreselor (agende de telefon electronice)

Utilizarea neautorizată a keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) permite unui atacator să:

  • interceptați informațiile altcuiva tastate de utilizator pe tastatură;
  • obţine acces neautorizat la login-uri și parole pentru acces la diverse sisteme, inclusiv sisteme banca-client;
  • obține acces neautorizat la sisteme protecţie criptografică informații despre utilizatorul computerului - fraze de parolă;
  • obține acces neautorizat la datele de autorizare a cardului de credit;

Metode de protecție împotriva keylogger instalate neautorizate

Protecție împotriva aplicațiilor de înregistrare a tastelor software neautorizate „cunoscute”:

  • utilizarea de produse software anti-spyware și/sau antivirus de la producători cunoscuți, cu actualizare automată baze de date de semnături.

Protecție împotriva aplicațiilor de înregistrare a tastelor software neautorizate „necunoscute”:

  • utilizarea de produse software anti-spyware și/sau produse software anti-virus de la producători cunoscuți, care utilizează așa-numitele analizoare euristice (comportamentale) pentru a contracara produsele spyware, de ex. nu necesită o bază de semnătură.

Protecție împotriva aplicațiilor de înregistrare a tastelor software neautorizate „cunoscute” și „necunoscute”. include utilizarea de produse software anti-spyware și/sau produse software anti-virus de la producători cunoscuți, care utilizează:

  • baze de date de semnături actualizate constant ale produselor spyware;
  • analizatoare euristice (comportamentale) care nu necesită o bază de semnătură.

Protecție împotriva keylogger-urilor hardware instalate neautorizate:

  • inspecție amănunțită externă și internă a sistemelor informatice;
  • utilizarea tastaturilor virtuale;

Legături

  • HARDWARE KEYLOGGER PS/2 și USB Exemplu de Hardware Keylogger PS/2 și USB
  • Keylogger.Org Comparație independentă a celor mai populare keylogger
  • Primul pas de captare a datelor - Key Stroke Loggers Keyloggerele sunt primul pas al colectării datelor. Institutul SANS.
  • W32.Dumaru.Y@mm Descrierea unuia dintre virusuri cunoscute, care include un modul software keylogger.
  • Observabilitatea sistemelor informatice ca parte integrantă a unui set de măsuri de securitate într-un sistem automatizat
  • Amploarea monitorizării sistematice a e-mailului angajaților și a utilizării internetului O prezentare generală a produselor software de monitorizare utilizate pentru a monitoriza acțiunile angajaților din corporațiile americane. Andrew Schulman
  • Supravegherea computerului și a internetului la locul de muncă: note generale Supravegherea computerului și pe internet a locurilor de muncă. Andrew Schulman
  • Descriere detaliată design hardware keylogger

Poate că fiecare utilizator de PC s-a gândit cel puțin o dată la siguranța datelor confidențiale de pe propriul hard disk. Orice persoană stochează informații personale pe computerul său. informatii secrete, dar poate să nu-și dea seama el însuși. De exemplu, achizițiile pot fi făcute prin intermediul unui computer în magazinele online folosind bani electronici sau card de plastic. Un astfel de computer devine automat interesant pentru escroci.

Problema protecției datelor confidențiale există de ani de zile și solutie universala nu exista pentru ea. În prezent, există o selecție destul de largă de programe pentru a asigura securitatea computerului, de exemplu, diverse antivirusuri, firewall-uri sau restricții privind drepturile de acces. Dar nu ar trebui să te bazezi complet pe aceste metode de protecție, deoarece în afară de atacuri de virus există o amenințare care vine de la oameni. Cum poți afla ce se întâmplă cu computerul tău de serviciu atunci când utilizatorul se află într-o pauză de masă sau pur și simplu a plecat câteva minute?

Pentru un utilizator experimentat Câteva minute vor fi suficiente pentru a afla cantitate uriașă informații despre proprietarul computerului. Cel mai simplu mod de a obține acces la istoricul negocierilor prin intermediul diferitelor mesagerie instant și corespondență prin e-mail. În plus, în câteva minute puteți prelua o listă cu toate parolele de sistem utilizate, precum și să vizualizați o listă cu toate resursele vizitate de proprietar. Merită să vorbim despre fișiere și foldere neprotejate?

ÎN această recenzie vom vorbi despre specializat produse software, conceput pentru a spiona un computer și utilizatorul acestuia. Astfel de utilități sunt adesea folosite pe computerele de serviciu, pentru monitorizarea angajaților, precum și acasă pentru organizare controlul parental sau monitorizarea acțiunilor celeilalte jumătăți.

Diverse firewall-uri și programe antivirus sunt suspecte față de aplicațiile de acest tip și le pot considera semne de malware. Dezvoltatorii unor astfel de utilități indică acest lucru pe site-urile lor web. Cu toate acestea, după configurarea corectă a firewall-ului, acesta nu va mai răspunde la programul spyware.

Această aplicație va oferi utilizatorilor posibilitatea de a primi informații despre acțiunile efectuate pe computer. Utilitarul poate funcționa cu mai multe conturi de operare sisteme Windows iar la întocmirea unui raport, indică numele utilizatorului și acțiunile efectuate de acesta. În setări le puteți selecta conturi, când este activată, aplicația se va lansa automat.

Programul generează rapoarte care conțin informații despre toate acțiunile efectuate de utilizator, inclusiv: tastele apăsate, numele ferestrelor în care se realizează tastarea, site-urile de Internet vizitate, numele programelor și fișierelor lansate, precum și momentul utilizării acestora. Printre altele, utilitarul salvează toate mesajele de la clienții IM populari și face capturi de ecran la intervale specificate în setări.

Informațiile primite pot fi vizualizate atât în ​​fereastra programului, cât și sub forma unui raport în format HTML. De asemenea, este posibil să căutați printre datele afișate și îndepărtare automată informații învechite.

Aplicația Maxapt QuickEye vizează în primul rând utilizarea printre utilizatori corporativi. Programul este cel mai eficient pentru vizualizarea și analiza rapoartelor. Astfel, managerii au posibilitatea de a afla rapid care angajați au lucrat și care nu. Aplicația afișează o listă cu toate programele lansate de utilizator, ia în considerare timpul petrecut lucrând cu toate utilitatile și cât de activ au fost lucrate cu acestea. De exemplu, fereastra programului poate fi deschisă pe tot parcursul zilei de lucru, dar utilizatorul a lucrat cu ea timp de cel mult o oră, programul va afișa toate acestea în raport.

Programul grupează toate aplicațiile care rulează în categorii, ceea ce face posibilă accesarea categoriei de mesagerie pe internet și aflarea rapidă a angajaților care au petrecut puțin timp în muncă. În plus, aplicația acceptă gruparea computerelor din rețea în mai multe categorii, ceea ce facilitează și mai mult procesul de lucru cu aceasta.

Este de remarcat faptul că utilitarul poate restricționa accesul la aplicațiile selectate, precum și poate compila o listă întreagă de programe interzise pentru fiecare angajat în parte.

Acest software era cunoscut anterior ca KGB Keylogger. Cu toate acestea, schimbarea numelui nu a schimbat funcționalitatea utilitarului și, ca și înainte, principalul avantaj al acestui „spion” este capacitatea urmărire de la distanțăîn spatele activității computerului. În timpul instalării acestei aplicații, utilizatorul primește informatii detaliate despre cum să configurați corect funcționarea antivirusului instalat pe sistem pt funcţionare corectă ambele utilitati.

Aplicația Mipko Employee Monitor organizează foarte bine lucrul cu mai mulți utilizatori, ceea ce reprezintă un avantaj semnificativ pentru administratorii de sistem. Monitorizare pentru diferite computere poate fi configurat în diverse opțiuni. De exemplu, pentru un utilizator puteți seta doar monitorizarea lansărilor de aplicații, pentru altul - copiați tot textul tastat etc.

Aplicația este capabilă să funcționeze în modul alertă, adică dacă utilizatorul face anumite actiuni sau tastează anumite cuvinte pe computer, programul îl marchează cu o pictogramă de alarmă și trimite o alertă administratorului de rețea.

Programul face posibilă aplicarea unor filtre speciale de urmărire, adică administratorul poate crea o listă de aplicații a căror activitate ar trebui monitorizată, fără a fi atent la alte utilități.

Desigur, toată această funcționalitate nu ar fi completă fără a face capturi de ecran. Se poate face o captură de ecran pentru întreg zona de lucru calculator și pentru fereastra activă. Capturile de ecran pot fi făcute nu numai după o perioadă de timp stabilită, ci și la deschiderea unei noi aplicații.

Programul este capabil să intercepteze mesaje în toate mesageria instantanee cunoscute, inclusiv: Yahoo!, QIP, ICQ, AIM, Skype, Miranda și altele.

Folosind acest utilitar, utilizatorul poate primi diverse informatii despre utilizarea unui computer. Programul monitorizează conținutul clipboard-ului, notează date despre activitatea tuturor aplicațiilor, creează capturi de ecran ale ecranului la intervale specificate, ia în considerare timpul de pornire și oprire a computerului, urmărește datele la apăsarea tastelor și monitorizează fișierele trimise pentru imprimare.

Programul începe să folosească o comandă rapidă personalizată de la tastatură și nu apare în nicio listă rulează aplicații, nici în tavă, dar se preface a fi folderul corespunzător din meniul Start. Prin urmare, atunci când utilizați acest spion, ar trebui să ștergeți acest folder.

Această aplicație are un singur dezavantaj, dar destul de semnificativ - programul percepe apăsările de taste doar în Aspect în limba engleză, merită să țineți cont de acest lucru atunci când alegeți programul spion.

Versiunea demo a utilitarului funcționează doar 40 de minute din momentul activării, dar în unele cazuri acest lucru este suficient pentru a proteja computerul, de exemplu, în timpul unei pauze la locul de muncă.

Unul dintre parametrii principali ai unui program de spionaj este secretul. La urma urmei, dacă o pictogramă strălucitoare, intermitentă cu numele aplicației „se blochează” în managerul de activități, utilizatorul va înțelege că este urmărit și va putea ocoli protecția. Dezvoltatori Programele NeoSpy au făcut totul pentru a se asigura că aplicația lor era complet invizibilă pe computer. Când instalați programul, puteți selecta imediat instalarea ascunsă sau de administrator. La instalare ascunsă, folderele programului nu vor fi vizibile nici pe hard disk, nici pe desktop, nici în meniul Start. Pentru a începe, va trebui să utilizați linie de comandă.

Această aplicație, pe lângă invizibilitatea sa, este și dotată cu o bună funcționalitate. Programul poate intercepta mesaje de la mesagerie instantanee populare, înregistrează cu ușurință numele tuturor aplicațiilor lansate și, de asemenea, marchează orele de începere și de închidere. NeoSpy face automat capturi de ecran la intervale specificate, precum și în timpul lansării tuturor utilităților.

Cu ajutorul acestui spion, puteți primi informații detaliate despre activitatea de pe Internet - adresele tuturor site-urilor vizitate, timpul petrecut online și volumul de trafic petrecut.

Putem spune că programul face posibilă monitorizarea fiecărei acțiuni a utilizatorului pe computer. NeoSpy salvează tot textul introdus pe tastatură, salvează datele din clipboard și urmărește crearea și ștergerea de fișiere noi.

Program de elită Keylogger este complet nedetectabil de majoritatea antivirusurilor și nu afectează în niciun fel performanța sistemului în ansamblu. Aplicația se pretinde a fi un instrument de monitorizare pe termen lung a activității pe orice perioadă de timp. Statisticile sunt clasificate automat pe zi, ceea ce asigură rapiditate și acces facil la informațiile administratorului. Utilitarul vă permite să creați liste de utilizatori care trebuie monitorizați.

Programul poate monitoriza funcționarea celor mai populare aplicații pentru comunicarea prin Internet, înregistrează corespondența prin e-mail și salvează date despre activitatea tuturor aplicațiilor și documentelor trimise pentru tipărire. Elite Keylogger poate salva toate informațiile primite în folder separat pe unitate de rețea, încărcați-l în server FTP sau trimite pe email.

Merită plătit atenție deosebită pentru a elimina acest utilitar. Dacă utilizatorul dorește să elimine Elite Keylogger, nu va putea face acest lucru nici măcar cu ajutorul lui utilitati speciale, care controlează pornirea sistemului de operare Windows. Singura modalitate de a elimina această aplicație– accesați programul și selectați acțiunea corespunzătoare din setări.

Acest program conceput pentru a monitoriza activitatea umană într-o rețea locală. Pe lângă asta monitorizarea rețelei, utilitarul înregistrează și alte acțiuni ale utilizatorului pe computer. Aplicația interceptează datele de la cele mai cunoscute mesagerie instant, salvează o listă cu toate site-urile vizitate pe Internet și tot textul tastat pe computer.

În plus, programul este capabil modul automat creați capturi de ecran la intervale specificate, păstrați evidența tuturor documentelor trimise pentru tipărire, efectuați copiere ascunsă fișiere editate și documente copiate pe suporturi amovibile.

Programul stochează toate informațiile primite într-o bază de date de pe computerul administratorului și poate trimite, de asemenea, notificări către computerul specificat în anumite condiții.

Și în sfârșit.

În prezent, pe piață există o gamă largă de programe spion și oricine dorește să instaleze un astfel de software pe un computer va putea alege aplicația potrivită, satisfacând toate cerințele utilizatorului. Desigur, astfel de utilități sunt cele mai căutate în organizațiile în care există cerințe serioase pentru acțiunile angajaților la locul de muncă.

Mai recent, programele spion au putut înregistra doar apăsările de taste de pe tastatură, dar acum sunt capabili să monitorizeze toate acțiunile utilizatorului pe computer. Astfel, software-ul de acest tip se dezvoltă foarte repede și nimeni nu știe ce funcții vor fi introduse de dezvoltatori în noile versiuni de utilități.

Pe lângă urmărirea angajaților și iubitorilor, programele spion vă vor ajuta să vă organizați protecţie cuprinzătoare date confidențiale de pe computerul dvs.

Calculatoarele, laptopurile, netbook-urile noastre! Și apoi există această porcărie ciudată numită keylogger. Keylogger (în engleză, de la abrevierea keyboard logger) înseamnă un keyboard logger, dar este mai corect să-i numim keylogger, întrucât aparțin clasei de spyware - programe spion care, odată ajunse pe computerul utilizatorului, își îndeplinesc sarcinile fără ca utilizatorul. cunoștințe, cu atât mai puțin consimțământ și participare.

Scopul principal acest spion - salvează și transmite date de conectare și parole ale diferitelor conturi de utilizator, portofele electronice, carduri bancare etc.


Keylogger se caracterizează prin faptul că este capabil să înregistreze apăsările de taste ale utilizatorului pe tastatură și apoi să livreze datele primite unde și unde ar trebui să fie. Keylogger-urile moderne sunt capabile să coreleze intrarea de la tastatură cu fereastra curentă și elementul de intrare. Mulți dintre ei pot urmări lista de aplicații care rulează, pot face „fotografii” ecranului în funcție de un anumit program sau eveniment, pot spiona conținutul clipboard-ului și pot monitoriza în secret utilizatorul. Toate informațiile colectate este salvat pe disc și apoi scris într-un fișier jurnal - ceva de genul unui fișier jurnal, datele pot fi transmise prin e-mail sau protocol http/ftp. În același timp, unele avansate folosesc tehnologii RootKit, mascând urmele prezenței lor în sistem.

Ei bine, este chiar atât de greu să-i prinzi pe acești prieteni cu programe moderne?

Cert este că uneori un antivirus nu consideră un keylogger ca un virus, deoarece nu se reproduce și nu este un program troian, prin urmare, dacă un keylogger este prins, va fi doar dacă există o bază de date extinsă specială și module suplimentare, care vizează în mod special acest lucru. O altă problemă este că există un număr mare de keylogger cunoscuți, nu sunt greu de scris, așa că căutările de semnături nu sunt eficiente împotriva lor.

Pe ce principii funcționează keylogger-urile?

În general, lor principiu general lucru - pentru a se integra în procesul de trecere a semnalului de la apăsarea unei taste până la apariția unui simbol pe ecran.

Capcană pentru tastatură

Cea mai comună opțiune este instalarea capcanelor de tastatură - cârlige În Windows, un cârlig este interceptarea mesajelor de sistem folosind un mecanism special Win32API. Majoritatea aplicațiilor de înregistrare a tastelor de acest tip folosesc cârligul WH_Keyboard. Cârligul WH_JOURNALRECORD poate fi, de asemenea, utilizat. Diferența este că WH_JOURNALRECORD nu necesită o înregistrare separată bibliotecă dinamică(DLL), simplificând răspândirea acestui software rău intenționat în rețea.

Sondaj de stare a tastaturii
O metodă foarte simplă este să interoghezi ciclic starea tastaturii de mare viteză. Nu este nevoie să încorporați DLL-uri în procesele GUI (GUI este un grafic interfata utilizator). Dezavantajul unor astfel de keylogger este că necesită interogare periodică a stării tastaturii la o viteză destul de mare (10-20 de sondaje pe secundă).

Keylogger bazat pe driver
Metoda este mai eficientă decât cele descrise. Cel puțin, metoda poate fi implementată în 2 moduri: scrieți și instalați propriul driver de tastatură în sistem în locul celui standard sau instalați un driver de filtru.

Keylogger-urile reprezintă marea majoritate a tuturor keylogger-urilor.

Rootkit de spionaj
Poate fi implementat atât în ​​UserMode, cât și în modul kernel (KernelMode). În urmărirea UserMode intrare de la tastatură se realizează prin interceptarea comunicării procesului csrss.exe de către driverul tastaturii sau prin monitorizarea apelurilor la funcții API precum GetMessage și PeekMessage. Adesea nu te salvează de un astfel de spion și tastatura de pe ecran, pe care încearcă să-l prezinte ca un remediu împotriva keylogger-urilor de orice tip.

Dispozitivele hardware cu tastatură au contrastat software spionaj și nu poate fi detectat prin metode software.

Cum este implementat:

  • Dispozitivele de urmărire sunt instalate în golul cablului tastaturii (de exemplu, un dispozitiv sub forma unui adaptor PS/2);
  • Un dispozitiv de urmărire poate fi încorporat în tastatură;
  • Și pur și simplu observarea vizuală a tastaturii (de exemplu, o cameră miniaturală situată deasupra panoului de introducere a datelor ATM).

Cum sunt distribuite keylogger-urile?

Practic, la fel ca orice malware. Ei pot obține:

  • Dintr-un fișier primit prin e-mail (deci merită reținut: nu este nevoie să deschideți fișiere necunoscute!)
  • Rularea unui fișier dintr-un director situat în accesul publiculuiîntr-o rețea peer-to-peer;
  • Utilizarea unui script pe paginile web care folosește caracteristicile browserelor de Internet și permite lansarea automată a programelor de îndată ce utilizatorul a vizitat pagina;
  • Printr-un sistem deja instalat program de virus, capabil să descarce și să instaleze altele similare în sistem.

Este firesc ca programe similare poate fi instalat de serviciile de securitate ale companiei sau dacă sunteți un obiect apropiat de supraveghere de către cealaltă jumătate.

Lasă comentariul tău!

Câteva soiuri principale virusi informatici. Astăzi vă vom vorbi despre o altă categorie de viruși - keylogger, despre care utilizatori obișnuiți ei stiu foarte putin.

Tradus din engleză, Keylogger (Keyboard Logger) înseamnă „keyboard recorder”. Cu toate acestea, în realitate, un keylogger este un program de spionaj care monitorizează toate acțiunile care au loc pe tastatură.

Odată ajunse pe computerul utilizatorului, programele keylogger interceptează informațiile introduse și le trimit atacatorilor. Cu alte cuvinte, fără să bănuiești nimic, poți să-ți dai datele de conectare și parole, precum și datele cardului bancar, în mâini greșite.

Pericolul keyloggerilor este atât de mulți aplicații antivirus nu le considerați malware. Detectarea lor necesită adesea specializare software sau module suplimentare pentru principalul tău antivirus.

Principiile de funcționare ale keylogger-urilor software

Funcționarea acestui tip de malware se bazează pe un principiu general - trebuie să urmeze calea semnalului din momentul în care o tastă este apăsată până când simbolul apare pe monitor. Keylogger-urile folosesc următoarele metode tehnice:

Keylogger hardware

Pe lângă cele software pe care le-am analizat, există și keylogger hardware care nu pot fi detectate programatic:

  • „Adaptor” suplimentar între tastatură și carcasa computerului;
  • Dispozitiv încorporat în tastatură;
  • Camera video miniaturala care capteaza tastatura;
  • Dispozitiv USB necunoscut etc.

Apropo: ambele tipuri de keylogger pot fi complet legale și pot fi folosite pentru:

  • Controlul parental;
  • Monitorizarea folosirii timpului de lucru de catre angajatii companiei;
  • Servicii de securitate
  • Soții geloși.

Cum să evitați să deveniți victima unui keylogger

Pentru a vă proteja de acest tip de malware, ar trebui să urmați reguli simple:

  • Activați funcția de detectare potențială în antivirusul dvs programe periculoase(este de obicei dezactivat implicit);
  • Pentru a accesa datele bancare, utilizați o identificare cu doi factori sau o parolă unică.
  • Utilizați apărarea proactivă;
  • Utilizați tastatura virtuală pentru a introduce date importante.

Pentru a verifica securitatea parolelor introduse prin KeePass, am decis să scriu un simplu keylogger cu captură suplimentară de date din clipboard. Întregul cod a luat câteva linii în FreePascal.

Parole, fără măsuri suplimentare de securitate și setări corecte KeePass, după cum se dovedește, este destul de vulnerabil.

Codul keylogger este plasat într-o buclă Timer, care este actualizată la fiecare 10 ms. Module utilizate: Windows și ClipBrd.

//Comparați starea curentă a tastelor pentru f:= 0 la 255 do if a[f]<>GetAsyncKeyState(f) apoi începe //Reacția la apăsarea unei taste dacă KeePass.Checked și (GetAsyncKeyState(f) = 0) apoi Memo1.Caption:= Memo1.Caption + chr(f);<>//Reacție la apăsarea tastei dacă nu KeePass.Checked și (GetAsyncKeyState(f)<>0) apoi Memo1.Caption:= Memo1.Caption + chr(f);
Sfârşit; //Salvează starea curentă a cheilor într-o matrice pentru f:= 0 la 255 do a[f] := GetAsyncKeyState(f);

Fereastra -Keyboard- afișează tastele fără a ține cont de majuscule și de limba de introducere. Se afișează simbolul al cărui număr este egal cu codul cheii: chr(f). Programul poate fi modificat pentru a afișa toate simbolurile corect, dar acest lucru nu este necesar pentru acest studiu.

Copierea în fereastra -Clipboard- are loc atunci când se modifică conținutul bufferului.

Punctele slabe ale KeePass și eliminarea lor

1. Introduceți parola principală

În mod implicit, parola principală în KeePass este introdusă fără modul securizat, astfel încât poate fi determinată cu ușurință în Simple Logger. Acesta este locul cel mai critic în securitate, deoarece... aici avem acces la întreaga bază de date de parole simultan.

Pentru a remedia problema, trebuie să activați setarea de securitate „Introduceți parola principală în modul securizat (similar cu UAC din Windows Vistași mai sus)". Acest mod împiedică loggerul să acceseze tastatura. În plus, este imposibil să faci o captură de ecran pentru a determina locația fișierului cheie.

Acest mod este activat numai când parola principală este introdusă. Protecția altor parole va fi discutată în continuare.

2. Clipboard

Simple Logger răspunde la modificările clipboardului de 100 de ori pe secundă. Astfel, introducerea parolei în buffer și ștergerea acesteia după câteva secunde nu oferă protecție în acest caz.

Pentru a rezolva această problemă, puteți utiliza AutoDial.

3. Apelare automată

Răspunsul la apelarea automată KeePass are loc prin apăsarea unei taste, nu prin apăsarea ei. Acest lucru vă permite să obțineți protecție împotriva unor keylogger. Pentru a ocoli acest lucru, Simple Logger are personalizare suplimentară: „KeePass Auto-Type”. Dacă este pornit, loggerul este declanșat atunci când este apăsată o tastă.

Când apelați automat prin KeePass: MyLoginName LongPassword123

O înregistrare va apărea în Simple Logger:

Simple Logger nu ia în considerare în niciun fel comenzile rapide de la tastatură. După cum puteți vedea, Tasta Shift afișat ca un caracter special (asemănător cu „+”) și „?”. Shift este eliberat atât înainte, cât și după majusculă. Cu toate acestea, acest lucru este suficient pentru a înțelege parola.

Pentru a rezolva această problemă, puteți utiliza setarea „Complexitate dublă apelare automată” din KeePass. În acest caz, KeePass va introduce o parte din parolă de la tastatură și o parte prin clipboard, amestecând valorile. Acest lucru vă permite să ocoliți unele keylogger.

Simple Logger va reacționa la complicația dublă a apelării automate după cum urmează:

  • Lipirea din clipboard „Ctrl + V” a fost afișată ca „V◄?”;
  • Săgeată stânga – „%” (codul tastei și simbolul #37);
  • Săgeată la dreapta – „”” (codul cheie și simbolul #39).
Puteți scrie un mic algoritm și puteți recupera parola corectă folosind datele din ambele ferestre. Această setare complică activitatea keylogger-ului, dar nu garantează protecția - parola poate fi recuperată cu ușurință dacă se dorește.

Măsurile de protecție suplimentare pot ajuta împotriva unui keylogger proiectat pentru KeePass.

4. Protecție suplimentară

În unele sisteme software există posibilități precum:
  • Protecția datelor introduse de la o tastatură hardware;
  • Browser securizat.
Când activați protecția pentru introducerea datelor de la o tastatură hardware, Simple Logger nu mai poate primi date de la tastarea automată KeePass dacă acestea sunt introduse în formularul de parolă din browser. În acest caz punct slab va lucra prin clipboard.

Când utilizați un browser securizat, nu a fost posibil să accesați clipboard-ul și tastatura folosind Simple Logger. În plus, nu a existat nicio modalitate de a face capturi de ecran.

În loc de concluzie

După ce am văzut cum folosesc angajații noștri KeePass, am descoperit că unii:
  • nu utilizați UAC;
  • nu utilizați autodialer, pur și simplu copiați parolele printr-un buffer;
  • lăsați programul deschis la părăsirea locului de muncă;
  • utilizați setările implicite fără a configura politica de securitate.
Sunt manager într-o companie mică, sunt puțin interesat de programare. Nu sunt expert tehnic sau în securitate, așa că m-aș bucura dacă specialiștii mai experimentați ar evidenția neajunsurile micii mele cercetări.

am testat ultima versiune KeepPass 2.36 in Mediul Windows 8.1. Pentru a fi corect, trebuie remarcat faptul că această problemă nu este doar o problemă KeePass. Există mulți alți deținători de parole cu grade mai mari sau mai mici de fiabilitate, dar acesta este un subiect pentru alt studiu.

Legături

  1. Logger simplu pe GitHub
    //Cui îi pasă, puteți găsi un fișier exe în arhiva „SimpleLogger_for_Win64.7z”. Programul nu permite înregistrarea completă a tastelor; este destinat cercetării în domeniul securității și în scopuri informaționale.
UPD (27.07.2017)

Plugin de browser

După cum a menționat utilizatorul dartraiden, este posibil să se utilizeze modulul KeepPassHttpîmpreună cu programul de completare pentru browser PassIFox sau ChromeIPass. Acest plugin (conform dezvoltatorului) oferă expunerea în siguranță a înregistrărilor KeePass prin HTTP.

Această combinație vă permite să completați automat datele de conectare și parola în browser atunci când KeePass este deblocat. Simple Logger nu reacționează în niciun fel în acest caz.

Punctul slab al ChromeIPass este generarea unei noi parole, deoarece... este copiat prin clipboard și vizibil pe ecran. În acest caz, este mai bine să generați Parolă Nouăîn KeepPass în sine.

Crearea unei noi parole principale

După cum a remarcat arthur_veber:
La înlocuirea parolei principale, precum și la crearea uneia noi, modul sigur nu este utilizat.

În acest caz, Simple Logger interceptează parola principală introdusă în KeePass.

Tastatura virtuală de pe ecran de la producător celebru, care, ca și apelarea automată KeePass, funcționează pe baza unui eveniment de apăsare a tastei.

E greu să dai sfaturi aici. Probabil că trebuie să atragem atenția dezvoltatorilor asupra acestei probleme.

Alte mijloace de atac

După cum utilizatorul qw1 a fost primul care a subliniat, dacă sistemul pe care este instalat KeePass este compromis, atunci pot fi folosite și alte mijloace de atac în afară de keylogger. În acest caz, lista acțiunilor pentru contracararea atacului va depinde de situația specifică.

Din păcate, este imposibil să acoperiți într-un articol toate măsurile de securitate care sunt necesare pentru stocarea parolelor.

Etichete: Adăugați etichete