|
|
| (44 intermediate revisions by 2 users not shown) |
| Line 1: |
Line 1: |
| | <languages /> | | <languages /> |
| − | == Что такое кейлоггер == | + | ==什么是键盘记录器== |
| | | | |
| − | О кейлоггерах очень много информации в сети, но качественных обзоров, объясняющих многие нюансы их разработки и применения, найти практически невозможно.
| + | 网络上有很多有关按键记录器的信息,但是很难找到文章,这些文章详细解释了按键记录器的开发和使用的许多细微差别。 |
| | | | |
| − | Именно поэтому и была написана данная статья.
| + | 这就是为什么写这篇文章的原因。 |
| | | | |
| − | '''Кейлоггер''', '''кейлогер''' (англ. '''keylogger''', правильно читается «ки-ло́ггер» — от англ. key — клавиша и logger — регистрирующее устройство) — программное обеспечение или аппаратное устройство, регистрирующее нажатия клавиш на клавиатуре компьютера. | + | “'''按键记录器'''”或“'''按键记录器'''”是一种软件程序或硬件设备,它记录击键,即在计算机键盘上按下了哪些键。 |
| | | | |
| − | Синоним слова keylogger на английском языке — '''keystroke logger''', a действие, которое он выполняет, по-английски называется '''keystroke logging''' или '''keyboard capturing'''.
| + | 键盘记录程序的同义词是“'''键盘记录程序'''”,其执行的操作称为“'''键盘记录'''”或“'''键盘捕获'''”。 |
| | | | |
| − | Программный кейлоггер и его аппаратный близнец — аппартный кейлоггер — основаны на двух совершенно различных технологиях регистрации нажатий клавиш на клавиатуре компьютера.
| + | 软件按键记录器及其硬件对应物(硬件按键记录器)的操作基于两种完全不同的技术,即它们以不同的方式记录击键。 |
| | | | |
| − | При использовании компьютеров в той или иной степени участвуют многие люди, которые исполняют различные роли в процессе обработки информации:
| + | 好吧,PC用户确实有所不同。它们在信息处理中扮演着不同的角色。任何特定用户可以是: |
| − | * Разработчик операционной системы; | + | *操作系统的开发人员; |
| − | * Разработчик программного обеспечения; | + | *软件开发人员; |
| − | * Исполнительный директор предприятия; | + | *企业的首席执行官; |
| − | * Владелец предприятия; | + | *业主; |
| − | * Администратор компьютерной сети предприятия; | + | *公司计算机网络的管理员; |
| − | * Администратор компьютера; | + | *具有管理特权的计算机用户; |
| − | * Пользователь компьютера; | + | *工作场所的PC用户; |
| − | * Владелец компьютера; | + | *拥有计算机的用户; |
| − | * Специалист по информационной безопасности; | + | *信息安全专家; |
| − | * и т.п | + | *等 |
| − | .
| |
| − | Именно перечисленные люди и определяют целесообразность применения кейлоггеров в своей деятельности.
| |
| | | | |
| − | Общеизвестно, что применение любой технологии способно принести как пользу, так и вред различным участникам процесса обработки информации с применением компьютеров.
| + | 正是这些人确定了在活动中使用键盘记录程序是否合理。 |
| | | | |
| − | Где же та тонкая грань, которая способна разграничить легальное и нелегальное применение кейлоггеров?
| + | 众所周知,使用任何技术都是有益的或有害的。这也适用于使用计算机处理信息。 |
| | | | |
| − | Ответ прост – только по методу применения! Именно метод их применения позволяет увидеть грань между управлением безопасностью и нарушением безопасности.
| + | 合法和非法使用键盘记录程序之间的模糊界限在哪里? |
| | | | |
| − | Термин «'''несанкционированное применение'''» («'''незаконное применение'''») обозначает, что установка кейлоггера произошла без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца (администратора) конкретного персонального компьютера. Именно понятие «несанкционированная деятельность» связано с понятием «незаконная деятельность» практически во всех странах мира.
| + | 答案很简单–只能根据这些键盘记录程序的应用方式来区分!通过其应用程序的方法,您可以查看安全管理与安全违规之间的界线。 |
| | | | |
| − | Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как '''шпионские программные продукты''' или '''шпионские устройства''' ('''spy program''', '''клавиатурный шпион''').
| + | 术语'''未经授权的使用'''('''非法使用''')表示在没有本地网络(例如公司或组织)或特定个人计算机的所有者(安全管理员)不知情的情况下安装了键盘记录程序。在世界几乎所有国家中,“未经授权的活动”的概念都与“非法活动”的概念非常接近。 |
| | | | |
| − | Несанкционированное применение, как правило, связано с незаконной деятельностью. Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения «скомплектованного» исполняемого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, то есть процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы.
| + | 未经授权的键盘记录器(包括软件和硬件的键盘记录器)被称为“'''间谍设备'''”或“'''间谍软件'''”(“'''间谍软件'''”,“'''间谍程序'''”,“'''键盘记录器'''”)。 |
| | | | |
| − | Термин «'''санкционированное применение'''» («'''законное применение'''») обозначает, что установка кейлоггера произошла с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца (администратора) конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется англ. '''employee monitoring software''', '''parental control software''', '''access control software''', '''personnel security programs''' и т. п. Как правило, санкционированно устанавливаемые программные продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для его конфигурирования и инсталляции.
| + | 未经授权使用通常与非法活动有关。通常,未经授权使用的间谍软件产品能够配置和接收捆绑的可执行文件,该文件在安装过程中既不会显示任何消息,也不会打开窗口。而且,这些产品具有内置工具,可以在用户计算机上交付和远程安装预配置的模块,即安装过程是在无需直接物理访问用户计算机的情况下进行的,并且通常不需要管理特权。 |
| | | | |
| − | == Цели применения ==
| + | 术语'''授权使用'''('''合法/合法使用''')表示键盘记录程序是在局域网(例如公司或组织)或特定个人计算机的所有者(安全管理员)了解的情况下安装的。合法使用的键盘记录程序(软件或硬件的键盘记录程序)通常称为员工监视软件,父母控制软件,访问控制软件,人员安全程序等。通常,此类软件产品需要对用户计算机的物理访问,而管理员必须具有配置和安装它们的管理特权。 |
| | | | |
| − | Санкционированное применение кейлоггеров позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу (администратору) компьютера:
| + | ==它们用于== |
| − | * определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
| |
| − | * иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
| |
| − | * определить (локализовать) все случаи попыток перебора паролей доступа;
| |
| − | * проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить, что набиралось на клавиатуре в данное время;
| |
| − | * исследовать компьютерные инциденты;
| |
| − | * проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
| |
| − | * восстановить критическую информацию после сбоев компьютерных систем.
| |
| | | | |
| − | Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:
| + | 通过授权使用键盘记录程序,本地计算机网络的所有者(安全管理员)或计算机的所有者(管理员)可以: |
| − | * создавать системы быстрого поиска слов (электронные словари, электронные переводчики); | + | *确定键入关键词或短语(即泄露给第三方会导致重大损失的关键词或短语)的所有情况; |
| − | * создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги) | + | *如果由于任何原因(员工的病情,人员的故意行为等)而丢失了访问密码,则能够访问存储在计算机硬盘上的信息; |
| | + | *及时识别(本地化)所有暴力攻击案件; |
| | + | *检查公司个人计算机是否在工作时间以外使用,如果是,请确定当时键入的内容; |
| | + | *调查计算机事件; |
| | + | *进行科学研究以确定人员对外部影响的反应的准确性,效率和充分性; |
| | + | *在计算机系统出现故障后恢复关键信息。 |
| | | | |
| − | Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:
| + | 商业软件产品的开发人员可以出于许多目的使用包含按键记录程序的模块,其中包括: |
| − | * перехватывать чужую информацию, набираемую пользователем на клавиатуре; | + | *开发快速的单词搜索系统(例如电子词典,电子翻译器); |
| − | * получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»; | + | *开发程序以快速搜索姓名,公司,地址(例如电子电话簿) |
| − | * получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
| |
| − | * получить несанкционированный доступ к авторизационным данным кредитных карточек;
| |
| | | | |
| − | == Классификация кейлоггеров ==
| + | 未经授权使用键盘记录器(包括带有键盘记录模块的硬件或软件产品),攻击者就可以: |
| − | === Классификация по типу ===
| + | *拦截键盘上键入的其他人的信息; |
| | + | *未经授权访问人们用来访问各种系统(包括银行-客户系统)的用户名和密码; |
| | + | *获得对计算机用户信息(密码)的密码保护的未授权访问; |
| | + | *获得未经授权的信用卡授权数据访问; |
| | | | |
| − | '''Программные кейлоггеры''' принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.
| + | ==键盘记录程序的分类== |
| | + | ===按类型分类=== |
| | | | |
| − | В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.
| + | '''软件按键记录程序'''属于对PC用户的活动进行控制的软件产品组。最初,此类软件产品仅用于记录键盘按下的击键(包括系统键),并将这些数据保存到特殊的日志文件中,然后由安装此程序的人员进行研究。日志文件可以通过网络发送到网络驱动器,Internet上的FTP服务器,电子邮件地址等。 |
| | | | |
| − | '''Аппаратные кейлоггеры''' представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.
| + | 但是如今,保留名称为“keyloggers”的软件产品执行许多附加功能,例如从窗口拦截信息,单击鼠标,剪贴板内容,对屏幕和活动窗口进行屏幕截图,保留所有已接收和已发送电子邮件的记录,跟踪文件活动和系统注册表中的更改,记录发送到打印机的任务,拦截来自麦克风的声音和来自网络摄像头的图像等。 |
| | | | |
| − | Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.
| + | '''硬件按键记录程序'''是微型设备,可以放置在键盘和计算机之间,也可以集成到键盘本身中。他们记录键盘上的所有击键。键盘记录过程对PC用户完全不可见。硬件按键记录程序不需要在目标PC上安装任何软件即可成功拦截所有按键。连接硬件键盘记录器后,无论计算机处于打开还是关闭状态都没有关系。安装后,硬件按键记录程序可以无限期工作,因为它不需要额外的电源。 |
| | | | |
| − | '''Акустические кейлоггеры''' представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.
| + | 这些设备的内部非易失性存储器容量最大,即使支持Unicode,也可以记录多达2000万次按键。这些设备的形状多种多样,因此即使是专家,有时也无法在信息审核期间检测到这种设备。根据硬件键盘记录器的安装位置,它们可以是内部的,也可以是外部的。 |
| | | | |
| − | === Классификация по месту хранения лог-файла ===
| + | '''声学按键记录程序'''是一种硬件设备,可以记录键盘上所按按键的声音,分析这些声音并将其转换为文本。 |
| − | * жёсткий диск;
| |
| − | * оперативная память;
| |
| − | * реестр;
| |
| − | * локальная сеть;
| |
| − | * удалённый сервер;
| |
| | | | |
| − | === Классификация по методу отправки лог-файла === | + | ===按日志文件存储位置分类=== |
| − | * E-mail; | + | *硬盘; |
| − | * FTP или HTTP (в интернете или локальной сети); | + | * 内存; |
| − | * любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем). | + | *注册表; |
| − |
| + | *本地网络; |
| − | === Классификация по включению в сигнатурные базы ===
| + | *远程服务器; |
| − | Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.
| |
| | | | |
| − | Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:
| + | ===通过发送日志文件进行分类=== |
| − | * кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций; | + | *电子邮件; |
| − | * кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы; | + | * FTP或HTTP(在本地网络或Internet中); |
| − | * кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера; | + | *任何无线连接(无线电,IrDA,蓝牙,WiFi等,用于附近的设备,或者在高级系统中,它们用于克服空气间隙并从物理隔离的系统中泄漏数据)。 |
| − | * коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
| |
| − | * кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
| |
| | | | |
| − | == Методы защиты от несанкционированно установленных кейлоггеров == | + | ===通过签名数据库中的存在进行分类=== |
| | + | 知名按键记录程序的签名(小片段代码)已经包含在著名的反间谍软件和防病毒制造商的签名数据库中。 |
| | | | |
| − | Защита от «известных» несанкционированно установленных программных кейлоггеров:
| + | 某些未知的键盘记录程序(其签名未包含在签名数据库中)可能由于多种原因而保持未知,即: |
| − | * использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз. | + | *键盘记录程序(键盘记录模块)可以在各种政府组织的主持下开发; |
| | + | *键盘记录程序(键盘记录模块)可以由开发人员集成到专有操作系统的核心中; |
| | + | *可以以有限的数量(例如,以一或多个副本的形式)开发按键记录程序,以完成与从用户计算机盗窃关键信息(例如,专业黑客使用的软件产品)有关的特定任务。这些间谍软件产品可以稍作修改,从互联网上获取并由攻击者进行编译,以更改开源键盘记录程序,从而改变键盘记录程序的签名; |
| | + | *商业键盘记录程序,特别是公司软件产品中作为模块包含的记录程序,很少包含在知名反间谍软件和/或反病毒制造商的签名数据库中。结果,如果该软件产品的功能齐全的版本泄漏到Internet上,网络犯罪分子便可以将其转变为间谍软件产品,而该间谍软件产品是普通反间谍软件或防病毒软件无法检测到的; |
| | + | *键盘记录程序,是用于拦截用户计算机上击键的模块,这些模块包含在病毒程序中。在将签名数据输入病毒数据库之前,这些模块是未知的。一个例子就是世界著名的病毒,该病毒近年来造成了很多麻烦,它包含了用于拦截击键并将接收到的信息发送到Internet的模块。 |
| | | | |
| − | Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:
| + | ==防止未经授权的键盘记录程序== |
| − | * использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
| |
| − | * использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
| |
| | | | |
| − | Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
| + | 防止未经授权的软件键盘记录程序(已知),即其签名包含在签名数据库中: |
| − | * постоянно обновляемые сигнатурные базы шпионских программных продуктов; | + | *使用信誉良好的制造商提供的反间谍软件和/或防病毒软件产品,并自动更新签名数据库。 |
| − | * эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
| |
| | | | |
| − | Защита от несанкционированно установленных аппаратных кейлоггеров:
| + | 防止“未知”未经授权的软件键盘记录程序: |
| − | * тщательные внешний и внутренний осмотры компьютерных систем; | + | *使用知名制造商的反间谍软件产品和/或反病毒软件产品,这些制造商使用所谓的启发式(行为)分析器来对抗间谍软件产品,也就是说,它们不需要签名库。 |
| − | * использование виртуальных клавиатур; | + | *使用对从键盘输入的数据进行加密的程序。另外,您可以使用在硬件级别执行这种加密的键盘。 |
| − |
| |
| − | === Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание ===
| |
| | | | |
| − | Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.
| + | 防范“已知”和“未知”的未经授权的软件键盘记录程序,包括使用信誉良好的开发人员提供的反间谍软件产品和/或反病毒软件。这些产品通过以下方式抵制间谍软件产品: |
| | + | *不断更新间谍软件产品的签名数据库;要么 |
| | + | *不需要签名库的启发式(行为)分析器。 |
| | | | |
| − | Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.
| + | 防止未经授权的硬件按键记录程序的保护包括: |
| | + | *对计算机系统进行全面的外部和内部检查; |
| | + | *使用虚拟键盘。 |
| | | | |
| − | Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.
| + | ===开发人员将按键记录模块包含在软件产品中的主要迹象=== |
| | + | |
| | + | 如果软件产品具有内置功能,可以在几次按键后提示输入单词的选项,则表示按键记录模块可以完成其工作。 |
| | + | |
| | + | 键盘记录模块是现代即时通讯程序,文本编辑器,词典,拼写检查器,键盘布局切换程序等不可分割的一部分。 |
| | + | |
| | + | 这种软件产品的危险在于,由于它们执行对计算机用户来说非常必要的功能,因此并未被正式视为恶意软件。但是,与用于父母控制或员工监控的软件不同,所有功能都是由制造商(开发人员)公开宣布的,用户并不了解这种看似良性的程序的辅助功能-即使他们的开发人员和制造商也常常对此保持沉默... ,如果网络犯罪分子在您不知情的情况下设法配置该软件,则他们可以利用这些产品中的按键记录功能。 |
什么是键盘记录器
网络上有很多有关按键记录器的信息,但是很难找到文章,这些文章详细解释了按键记录器的开发和使用的许多细微差别。
这就是为什么写这篇文章的原因。
“按键记录器”或“按键记录器”是一种软件程序或硬件设备,它记录击键,即在计算机键盘上按下了哪些键。
键盘记录程序的同义词是“键盘记录程序”,其执行的操作称为“键盘记录”或“键盘捕获”。
软件按键记录器及其硬件对应物(硬件按键记录器)的操作基于两种完全不同的技术,即它们以不同的方式记录击键。
好吧,PC用户确实有所不同。它们在信息处理中扮演着不同的角色。任何特定用户可以是:
- 操作系统的开发人员;
- 软件开发人员;
- 企业的首席执行官;
- 业主;
- 公司计算机网络的管理员;
- 具有管理特权的计算机用户;
- 工作场所的PC用户;
- 拥有计算机的用户;
- 信息安全专家;
- 等
正是这些人确定了在活动中使用键盘记录程序是否合理。
众所周知,使用任何技术都是有益的或有害的。这也适用于使用计算机处理信息。
合法和非法使用键盘记录程序之间的模糊界限在哪里?
答案很简单–只能根据这些键盘记录程序的应用方式来区分!通过其应用程序的方法,您可以查看安全管理与安全违规之间的界线。
术语未经授权的使用(非法使用)表示在没有本地网络(例如公司或组织)或特定个人计算机的所有者(安全管理员)不知情的情况下安装了键盘记录程序。在世界几乎所有国家中,“未经授权的活动”的概念都与“非法活动”的概念非常接近。
未经授权的键盘记录器(包括软件和硬件的键盘记录器)被称为“间谍设备”或“间谍软件”(“间谍软件”,“间谍程序”,“键盘记录器”)。
未经授权使用通常与非法活动有关。通常,未经授权使用的间谍软件产品能够配置和接收捆绑的可执行文件,该文件在安装过程中既不会显示任何消息,也不会打开窗口。而且,这些产品具有内置工具,可以在用户计算机上交付和远程安装预配置的模块,即安装过程是在无需直接物理访问用户计算机的情况下进行的,并且通常不需要管理特权。
术语授权使用(合法/合法使用)表示键盘记录程序是在局域网(例如公司或组织)或特定个人计算机的所有者(安全管理员)了解的情况下安装的。合法使用的键盘记录程序(软件或硬件的键盘记录程序)通常称为员工监视软件,父母控制软件,访问控制软件,人员安全程序等。通常,此类软件产品需要对用户计算机的物理访问,而管理员必须具有配置和安装它们的管理特权。
它们用于
通过授权使用键盘记录程序,本地计算机网络的所有者(安全管理员)或计算机的所有者(管理员)可以:
- 确定键入关键词或短语(即泄露给第三方会导致重大损失的关键词或短语)的所有情况;
- 如果由于任何原因(员工的病情,人员的故意行为等)而丢失了访问密码,则能够访问存储在计算机硬盘上的信息;
- 及时识别(本地化)所有暴力攻击案件;
- 检查公司个人计算机是否在工作时间以外使用,如果是,请确定当时键入的内容;
- 调查计算机事件;
- 进行科学研究以确定人员对外部影响的反应的准确性,效率和充分性;
- 在计算机系统出现故障后恢复关键信息。
商业软件产品的开发人员可以出于许多目的使用包含按键记录程序的模块,其中包括:
- 开发快速的单词搜索系统(例如电子词典,电子翻译器);
- 开发程序以快速搜索姓名,公司,地址(例如电子电话簿)
未经授权使用键盘记录器(包括带有键盘记录模块的硬件或软件产品),攻击者就可以:
- 拦截键盘上键入的其他人的信息;
- 未经授权访问人们用来访问各种系统(包括银行-客户系统)的用户名和密码;
- 获得对计算机用户信息(密码)的密码保护的未授权访问;
- 获得未经授权的信用卡授权数据访问;
键盘记录程序的分类
按类型分类
软件按键记录程序属于对PC用户的活动进行控制的软件产品组。最初,此类软件产品仅用于记录键盘按下的击键(包括系统键),并将这些数据保存到特殊的日志文件中,然后由安装此程序的人员进行研究。日志文件可以通过网络发送到网络驱动器,Internet上的FTP服务器,电子邮件地址等。
但是如今,保留名称为“keyloggers”的软件产品执行许多附加功能,例如从窗口拦截信息,单击鼠标,剪贴板内容,对屏幕和活动窗口进行屏幕截图,保留所有已接收和已发送电子邮件的记录,跟踪文件活动和系统注册表中的更改,记录发送到打印机的任务,拦截来自麦克风的声音和来自网络摄像头的图像等。
硬件按键记录程序是微型设备,可以放置在键盘和计算机之间,也可以集成到键盘本身中。他们记录键盘上的所有击键。键盘记录过程对PC用户完全不可见。硬件按键记录程序不需要在目标PC上安装任何软件即可成功拦截所有按键。连接硬件键盘记录器后,无论计算机处于打开还是关闭状态都没有关系。安装后,硬件按键记录程序可以无限期工作,因为它不需要额外的电源。
这些设备的内部非易失性存储器容量最大,即使支持Unicode,也可以记录多达2000万次按键。这些设备的形状多种多样,因此即使是专家,有时也无法在信息审核期间检测到这种设备。根据硬件键盘记录器的安装位置,它们可以是内部的,也可以是外部的。
声学按键记录程序是一种硬件设备,可以记录键盘上所按按键的声音,分析这些声音并将其转换为文本。
按日志文件存储位置分类
- 硬盘;
- 内存;
- 注册表;
- 本地网络;
- 远程服务器;
通过发送日志文件进行分类
- 电子邮件;
- FTP或HTTP(在本地网络或Internet中);
- 任何无线连接(无线电,IrDA,蓝牙,WiFi等,用于附近的设备,或者在高级系统中,它们用于克服空气间隙并从物理隔离的系统中泄漏数据)。
通过签名数据库中的存在进行分类
知名按键记录程序的签名(小片段代码)已经包含在著名的反间谍软件和防病毒制造商的签名数据库中。
某些未知的键盘记录程序(其签名未包含在签名数据库中)可能由于多种原因而保持未知,即:
- 键盘记录程序(键盘记录模块)可以在各种政府组织的主持下开发;
- 键盘记录程序(键盘记录模块)可以由开发人员集成到专有操作系统的核心中;
- 可以以有限的数量(例如,以一或多个副本的形式)开发按键记录程序,以完成与从用户计算机盗窃关键信息(例如,专业黑客使用的软件产品)有关的特定任务。这些间谍软件产品可以稍作修改,从互联网上获取并由攻击者进行编译,以更改开源键盘记录程序,从而改变键盘记录程序的签名;
- 商业键盘记录程序,特别是公司软件产品中作为模块包含的记录程序,很少包含在知名反间谍软件和/或反病毒制造商的签名数据库中。结果,如果该软件产品的功能齐全的版本泄漏到Internet上,网络犯罪分子便可以将其转变为间谍软件产品,而该间谍软件产品是普通反间谍软件或防病毒软件无法检测到的;
- 键盘记录程序,是用于拦截用户计算机上击键的模块,这些模块包含在病毒程序中。在将签名数据输入病毒数据库之前,这些模块是未知的。一个例子就是世界著名的病毒,该病毒近年来造成了很多麻烦,它包含了用于拦截击键并将接收到的信息发送到Internet的模块。
防止未经授权的键盘记录程序
防止未经授权的软件键盘记录程序(已知),即其签名包含在签名数据库中:
- 使用信誉良好的制造商提供的反间谍软件和/或防病毒软件产品,并自动更新签名数据库。
防止“未知”未经授权的软件键盘记录程序:
- 使用知名制造商的反间谍软件产品和/或反病毒软件产品,这些制造商使用所谓的启发式(行为)分析器来对抗间谍软件产品,也就是说,它们不需要签名库。
- 使用对从键盘输入的数据进行加密的程序。另外,您可以使用在硬件级别执行这种加密的键盘。
防范“已知”和“未知”的未经授权的软件键盘记录程序,包括使用信誉良好的开发人员提供的反间谍软件产品和/或反病毒软件。这些产品通过以下方式抵制间谍软件产品:
- 不断更新间谍软件产品的签名数据库;要么
- 不需要签名库的启发式(行为)分析器。
防止未经授权的硬件按键记录程序的保护包括:
- 对计算机系统进行全面的外部和内部检查;
- 使用虚拟键盘。
开发人员将按键记录模块包含在软件产品中的主要迹象
如果软件产品具有内置功能,可以在几次按键后提示输入单词的选项,则表示按键记录模块可以完成其工作。
键盘记录模块是现代即时通讯程序,文本编辑器,词典,拼写检查器,键盘布局切换程序等不可分割的一部分。
这种软件产品的危险在于,由于它们执行对计算机用户来说非常必要的功能,因此并未被正式视为恶意软件。但是,与用于父母控制或员工监控的软件不同,所有功能都是由制造商(开发人员)公开宣布的,用户并不了解这种看似良性的程序的辅助功能-即使他们的开发人员和制造商也常常对此保持沉默... ,如果网络犯罪分子在您不知情的情况下设法配置该软件,则他们可以利用这些产品中的按键记录功能。
