it-swarm-tr.com

Bilgisayarımda yüklü bir tuş kaydedici olup olmadığını belirleyebilir miyim?

Bir arkadaşım güvenliğe duyarlı bir şirkette işe başladı. Ona Windows XP Professional kurulu bir dizüstü bilgisayar sağladılar. Dizüstü bilgisayarlarda anahtar kaydedicilerin yüklü olabileceği konusunda diğer çalışanlardan bir söylenti duydular. Bunu onaylaması veya reddetmesi için herhangi bir yol var mı Bu işlem ağacına veya kayıt defterine bakmak kadar basit mi olacak, yoksa bu tür tuş kaydediciler kendilerini bundan daha iyi mi gizleyecek?

O yok yönetici haklarına sahip.

56
Plutor

Bu büyük ölçüde keylogger'ın uygulanmasına bağlı olacaktır. Kurumsal düzeyde bazı ürünler, kullanımda olan ürünü ve yapılandırmasını bilmiyorsanız, keylogger'ı algılamayı neredeyse imkansız kılan rootkit'leri içerir. Bir örnek için Spector Pro * 'a bakın. Ayrıca, syneticon-dj notları gibi , bunun yerine yazılım tarafından kolayca algılanamayacak şekilde uygulanabilecek bir donanım tuş kaydedici kullanıyor olabilirler.

Arkadaşınıza kutuda tam yönetici hakları verdiyse, ya gerçekten izleme ve yapılandırma kontrol yeteneklerinden emindirler ya da oldukça son kullanıcıya bu ayrıcalıkların verilmesinin etkilerini bilmez. Çoğu zaman, ikincisi. Ancak, ilkinin durum olduğunu varsayarsanız, güvenleri için sağlam bir gerekçe olduğunu da varsaymalısınız.

Ne olursa olsun, arkadaşınızın şirkete ait ekipmanlarda gizlilikle ilgili tüm haklardan vazgeçen bir madde içeren bir Kabul Edilebilir Kullanım Politikası imzalamış (ve böylece kabul etmiş) olması muhtemeldir. Ayrıca, bu konulara uyum konusunda endişe duyan herhangi bir şirket, sistemde her oturum açmada kullanıcılara bu sistemleri izlemeye tabi olabileceklerini hatırlatan bir Uyarı Afişine sahip olacaktır.

Alt satır: Şirket ekipmanlarında görmelerini istemediğiniz hiçbir şey yapmayın. Daima tuş vuruşlarını günlüğe kaydettiklerini, ekran görüntülerini yakaladıklarını (başka bir yaygın casus yazılım özelliği) ve olası bir SSL proxy'sinin eklenmesiyle ağ trafiğini izlediklerini varsayalım. İş donanımında ve kişisel donanımda kişisel eşyalarınızda iş tutun ve iyi olmalısınız.

* Not: Bu Spector Pro'nun onaylanması değildir. Şirketle hiçbir bağlantım yok ya da ürünlerini kullanmadım. Bu sadece şirketler için ne tür casus yazılım araçları kullanılabilir bir örnek olarak verilir.

59
Iszi

Iszi size genel olarak çok iyi tavsiyeler verir - muhtemelen izleme yazılımı kullanıyorlarsa, kendilerine güvenirler.

Bu işlem ağacına veya kayıt defterine bakmak kadar basit mi olacak, yoksa bu tür tuş kaydediciler kendilerini bundan daha iyi mi gizleyecek?

Keylogger'ları tespit etmek doğru yere bakmak kadar basittir (bakış açınıza bağlı olarak basit olabilir veya olmayabilir). Sorun neye ve nereye bakacağını bilmek. Aşağıda, keylogging modüllerini kontrol etmek için yapabileceğiniz kapsamlı olmayan birkaç şey var.

Birincisi, bir keylogger oluşturmanın bariz kolay yolu DLL Injection kullanmaktır. Bunların çoğu, bir DLL, işlemin adres alanına eşlenmiş olarak görünür. Bu resme bir göz atın:

pyd process

Bu listedeki en üstteki giriş nedir? Bu bir pyd veya python uzantısı, dosya. Python tarafından uygulanan COM sunucularıyla uğraşıyorum ve sonuç olarak DLL = Windows Gezgini'nin adres alanına yüklenir.

DLL keylogging çeşitli enjeksiyonu onun DLL tüm hedef adres alanlarına yükler - yoksa her şeyi yakalayamazsınız. Bu yüzden dikkat edilmesi gereken bir şey garip DLL'ler olacaktır amacını bildiğiniz ürünlerle ilişkilendirilemez.Tüm işlemler için bu listede görünürler.

Vikipedi üzerinde açıklanan teknikler arasında, ben görmedim tek CreateRemoteThread çeşididir - sonuç görüntüye bir iş parçacığı eklemek veya bir ad ile bir iş parçacığı yürütmek için emin değilim DllMain. Process Explorer sayesinde, hangi iş parçacıklarının ne yürüttüğünü hala görebiliriz:

Threads

Harika, değil mi? Peki, bariz user32.dll veya benzeri. Eğer durum buysa, istersek, çözmek için yapabileceğimiz birkaç deney var. Bunlar okuyucuya bir alıştırma olarak bırakılmıştır (insanlar bunu söylediğinde nefret etmeyin!).

Bu, kullanıcı modu-açık-keylogger-modunu kapsar. Bir keylogger'ın yerleştirilebileceği daha az belirgin yerler vardır (ancak bunlar muhtemelen küresel olanlar değildir). Ancak, çekirdek düzeyi kancaları hakkında konuşmaya başladığınızda işler gerçekten heyecan verici olur. Bu konuda mükemmel makale bu konuda Mark R ve Bryce Cogswell var, ancak aşağıdaki uyarı ile güncellenmesi gerekiyor:

  • 64-bit Windows çekirdeklerinde, çekirdekteki önemli noktaları düzenli olarak değiştirip denetlemediklerini ve algılanmaları durumunda sistemi kapatan bir çekirdek düzeltme eki koruma mekanizması vardır.

Yani, 32-bit pencereler çalıştırıyorsanız, hala bir çeşit çekirdek seviyesinde kanca kurup çalıştırabilirsiniz; 64-bit kullanıyorsanız daha az olasıdır - KPP daha önce atlanmış ve sürekli değişiyorsa, Windows güncellemelerinin periyodik olarak izleme ürün sistemini çökerteceği için x64'te çekirdek kancalarından arınmış olmanıza bahse girerim. Yazılım bu temelde satılmaz.

32 bitlik kancaya karşı ne yapabilirsiniz? Birçok şey:

  • Şüpheli görünen/ilişkilendirilemeyen girişler için drivers klasörünü inceleyin.
  • Aynı şeyi ancak çevrimdışı yapın, böylece sürücü sizi aramanızı engelleyemez.
  • Hata ayıklama önyükleme girdisini bcdedit ile yapılandırın (bcdedit /copy {current} /d "Windows in debug mode", bcdedit /debug {id} ON sonra uygun bcdedit /dbgsettings), bir firewire kablosunu bağlayın (gerçekten. Seri kullanmayın. Bunu seri kabloları kullanarak keşfettim - firewire çok daha hızlı). Ardından, kaynak makinenizde kd 'ı başlatın ve modül yüklemesinde bir kırılma noktası ayarlayın, ardından yüklenen tüm modülleri gözden geçirin ve not alın. Bir sürücü başlamadan önce kendisini gizlemek için yapabileceği fazla bir şey yok . Buradan incelemeye devam edebilirsiniz (devam etmek için g, ctrl+c herhangi bir noktada kırılır).

Tabii ki, buradaki uyarılar hiçbir pencere çalıştırılabilir doğrudan yamalı ya da önemsiz bir şekilde algılama yeteneğimizin ötesinde böyle bir kötü niyet var.

Bu doğrudan sisteme bakmaktadır, ancak tam bir çözüm değildir. Kayıt yazılımının eve telefon ettiğine inanıyorsanız, şeffaf bir proxy nerede olduğunu belirlemenize yardımcı olabilir - yani vpn.mycompany.com ancak monitorserver.mycompany.com.

Kuşkusuz söyleyebileceğiniz gibi, kullanabileceğiniz birçok teknik iki şeye bağlıdır:

  • İşletim sisteminizle önceden mevcut olan aşinalık veya yersiz olanlara ve
  • Yazarın değişikliklerini sizden gizleme/gizleme yeteneği ve kaynağı.

Kısa cevap: Böyle bir şeyi tespit etmenin kusursuz bir yolu yoktur; ancak kanıt aramaya başlayabileceğiniz bazı yerler var.

Çeşitli yasal uyarılar:

  • Araştırma, AUP'nize aykırı olabilir. Yaşadığınız yer de yasa dışı olabilir.
  • Önerdiğim her şeyi denerseniz ve hiçbir şey açmazsanız, Iszi'nin tavsiyesi 'ı izleyin, herhangi bir izleme programının sizden daha iyi olduğunu varsayalım.
  • BT Desteği ve Sysadmins arasında, sistemlerini bu şekilde analiz eden herhangi bir arkadaş edinme olasılığınız yoktur.
  • Çalışma dizüstü bilgisayarındaki etkinliğinizin güvenliği yalnızca işletim sisteminden daha fazlasına bağlıdır - aynı zamanda bu verilerin aktarımında yer alan tüm donanıma/yazılıma da bağlıdır. Demek istediğim? Gününüzü farmville oynayarak geçirip geçirmediğinizi belirlemek için işvereninizin sizi gözetlediğinden endişe duyuyorsanız (sadece bir örnek olduğunuzu söylemiyorsanız), bunu yapmak için bir keylogger'a ihtiyaç duymazlar - bağlıysanız ağları üzerinden bağlantılarınızı kaydedebilmelidirler. SSL içeriği gizler, ancak kaynağı veya hedefi gizlemez.
  • Deneyimlerime göre, keylogger söylentileri genellikle sadece bu söylentiler - ortaya çıkıyor. Bununla birlikte, bu, böyle bir söylenti olduğu bir şirketin istatistiksel olarak geçersiz örneğime dayanıyor, bu nedenle güvenilmemeli. Açıkçası, bu ürünler var.
32
user2213
  1. no 2 adımlı yetkilendirme (arkadaşınızın dizüstü bilgisayarından değil) ile Gmail hesabı oluşturun .
  2. Arkadaşınızın dizüstü bilgisayarıyla GMail web arayüzüne giriş yapın (kullanıcı adını girin/manuel olarak girin) .
  3. Subj some reports from %companyname% İle yeni posta oluşturun, kukla .docs ve .pdfs ekleyin, "Kime:" alanına "[email protected]" yazın. "Gönder" i tıklayın.
  4. Etkinleştir 2 adımlı yetkilendirme ve telefonunuza bağlayın (arkadaşınızın dizüstü bilgisayarından değil)
  5. Bu hesaba asla hiçbir yerden giriş yapmayın, sadece SMS keyloggerları onaylama :) bekleyin
18
НЛО

iyi bazı keyloggerlar onları gizler çok iyi aslında bazıları bir rootkit gibi olabilir ve bilgisayardan rootkit ve truva atları ve benzerleri tespit ve kök ve iyi bir antivirüs programı almak gerekir ve aksi takdirde bir CLEAN sistemden iyice taranmalıdır bir rootkit'e veya taramanın aslında görünmediğinde temiz görünmesini sağlayacak başka kötü şeylere önyükleme yapıyor olabilirsiniz. böyle iyi bir program AVG Pro antivirüs ve anti-rootkit programı ve rootkit'ler ve truva atı casus solucanlar vb. Eğer her zaman omzunuzun üzerinden izlemekten hoşlanmıyorsanız veya daha da kötüsü oldukça kötü bir "hata" yakalamak istiyorsanız, bu yüzden AVG, bir TEMİZ sistemden) ile tarama yapın ... bahsettiğim şeylerle ilgilenmeli ve antivirüs/antirootkit yazılımınızı da güncel tutmalı

0

Temel olarak, sistemi saptamak ve güvenilir bir uygulama ile karşılaştırmak dışında bunu tespit etmenin bir yolu yoktur.

Keyfi bir kod parçasını analiz edebilecek ve sonunda durup durmayacağını veya sonsuza kadar belirli bir girdi verilip verilmeyeceğini belirleyebilecek bir program oluşturmanın teorik olarak imkansız olduğu kanıtlanmıştır ( durma sorun ), bu da tarayıcılar için keyfi bir ikili programın makinenizi belirli bir istenmeyen duruma getirip getirmeyeceğini belirleyen bir sürü anlamına gelir.

Diğer bir karmaşıklık olarak, tuş kaydedicilerin işletim sisteminize yüklenmiş bir yazılım olması gerekmez - bunlar donanım bileşeni da olabilir.

0
syneticon-dj