Difference between revisions of "What is:Keylogger/zh"
8TG1K2 admin (talk | contribs) (Новая страница: «===按日志文件存储位置分类=== *硬盘; * 内存; *注册表; *本地网络; *远程服务器;») |
8TG1K2 admin (talk | contribs) (Новая страница: «===通过发送日志文件进行分类=== *电子邮件; * FTP或HTTP(在本地网络或Internet中); *任何无线连接(无线电,IrDA,蓝牙,W...») |
||
Line 80: | Line 80: | ||
*远程服务器; | *远程服务器; | ||
− | === | + | ===通过发送日志文件进行分类=== |
− | * | + | *电子邮件; |
− | * | + | * FTP或HTTP(在本地网络或Internet中); |
− | * | + | *任何无线连接(无线电,IrDA,蓝牙,WiFi等,用于附近的设备,或者在高级系统中,它们用于克服空气间隙并从物理隔离的系统中泄漏数据)。 |
− | + | ===通过签名数据库中的存在进行分类=== | |
− | === | + | 知名按键记录程序的签名(小片段代码)已经包含在著名的反间谍软件和防病毒制造商的签名数据库中。 |
− | |||
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам: | Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам: |
Revision as of 08:24, 29 January 2020
Contents
什么是键盘记录器
网络上有很多有关按键记录器的信息,但是很难找到文章,这些文章详细解释了按键记录器的开发和使用的许多细微差别。
这就是为什么写这篇文章的原因。
“按键记录器”或“按键记录器”是一种软件程序或硬件设备,它记录击键,即在计算机键盘上按下了哪些键。
键盘记录程序的同义词是“键盘记录程序”,其执行的操作称为“键盘记录”或“键盘捕获”。
软件按键记录器及其硬件对应物(硬件按键记录器)的操作基于两种完全不同的技术,即它们以不同的方式记录击键。
好吧,PC用户确实有所不同。它们在信息处理中扮演着不同的角色。任何特定用户可以是:
- 操作系统的开发人员;
- 软件开发人员;
- 企业的首席执行官;
- 业主;
- 公司计算机网络的管理员;
- 具有管理特权的计算机用户;
- 工作场所的PC用户;
- 拥有计算机的用户;
- 信息安全专家;
- 等
正是这些人确定了在活动中使用键盘记录程序是否合理。
众所周知,使用任何技术都是有益的或有害的。这也适用于使用计算机处理信息。
合法和非法使用键盘记录程序之间的模糊界限在哪里?
答案很简单–只能根据这些键盘记录程序的应用方式来区分!通过其应用程序的方法,您可以查看安全管理与安全违规之间的界线。
术语未经授权的使用(非法使用)表示在没有本地网络(例如公司或组织)或特定个人计算机的所有者(安全管理员)不知情的情况下安装了键盘记录程序。在世界几乎所有国家中,“未经授权的活动”的概念都与“非法活动”的概念非常接近。
未经授权的键盘记录器(包括软件和硬件的键盘记录器)被称为“间谍设备”或“间谍软件”(“间谍软件”,“间谍程序”,“键盘记录器”)。
未经授权使用通常与非法活动有关。通常,未经授权使用的间谍软件产品能够配置和接收捆绑的可执行文件,该文件在安装过程中既不会显示任何消息,也不会打开窗口。而且,这些产品具有内置工具,可以在用户计算机上交付和远程安装预配置的模块,即安装过程是在无需直接物理访问用户计算机的情况下进行的,并且通常不需要管理特权。
术语授权使用(合法/合法使用)表示键盘记录程序是在局域网(例如公司或组织)或特定个人计算机的所有者(安全管理员)了解的情况下安装的。合法使用的键盘记录程序(软件或硬件的键盘记录程序)通常称为员工监视软件,父母控制软件,访问控制软件,人员安全程序等。通常,此类软件产品需要对用户计算机的物理访问,而管理员必须具有配置和安装它们的管理特权。
它们用于
通过授权使用键盘记录程序,本地计算机网络的所有者(安全管理员)或计算机的所有者(管理员)可以:
- 确定键入关键词或短语(即泄露给第三方会导致重大损失的关键词或短语)的所有情况;
- 如果由于任何原因(员工的病情,人员的故意行为等)而丢失了访问密码,则能够访问存储在计算机硬盘上的信息;
- 及时识别(本地化)所有暴力攻击案件;
- 检查公司个人计算机是否在工作时间以外使用,如果是,请确定当时键入的内容;
- 调查计算机事件;
- 进行科学研究以确定人员对外部影响的反应的准确性,效率和充分性;
- 在计算机系统出现故障后恢复关键信息。
商业软件产品的开发人员可以出于许多目的使用包含按键记录程序的模块,其中包括:
- 开发快速的单词搜索系统(例如电子词典,电子翻译器);
- 开发程序以快速搜索姓名,公司,地址(例如电子电话簿)
未经授权使用键盘记录器(包括带有键盘记录模块的硬件或软件产品),攻击者就可以:
- 拦截键盘上键入的其他人的信息;
- 未经授权访问人们用来访问各种系统(包括银行-客户系统)的用户名和密码;
- 获得对计算机用户信息(密码)的密码保护的未授权访问;
- 获得未经授权的信用卡授权数据访问;
键盘记录程序的分类
按类型分类
软件按键记录程序属于对PC用户的活动进行控制的软件产品组。最初,此类软件产品仅用于记录键盘按下的击键(包括系统键),并将这些数据保存到特殊的日志文件中,然后由安装此程序的人员进行研究。日志文件可以通过网络发送到网络驱动器,Internet上的FTP服务器,电子邮件地址等。
但是如今,保留名称为“keyloggers”的软件产品执行许多附加功能,例如从窗口拦截信息,单击鼠标,剪贴板内容,对屏幕和活动窗口进行屏幕截图,保留所有已接收和已发送电子邮件的记录,跟踪文件活动和系统注册表中的更改,记录发送到打印机的任务,拦截来自麦克风的声音和来自网络摄像头的图像等。
硬件按键记录程序是微型设备,可以放置在键盘和计算机之间,也可以集成到键盘本身中。他们记录键盘上的所有击键。键盘记录过程对PC用户完全不可见。硬件按键记录程序不需要在目标PC上安装任何软件即可成功拦截所有按键。连接硬件键盘记录器后,无论计算机处于打开还是关闭状态都没有关系。安装后,硬件按键记录程序可以无限期工作,因为它不需要额外的电源。
这些设备的内部非易失性存储器容量最大,即使支持Unicode,也可以记录多达2000万次按键。这些设备的形状多种多样,因此即使是专家,有时也无法在信息审核期间检测到这种设备。根据硬件键盘记录器的安装位置,它们可以是内部的,也可以是外部的。
声学按键记录程序是一种硬件设备,可以记录键盘上所按按键的声音,分析这些声音并将其转换为文本。
按日志文件存储位置分类
- 硬盘;
- 内存;
- 注册表;
- 本地网络;
- 远程服务器;
通过发送日志文件进行分类
- 电子邮件;
- FTP或HTTP(在本地网络或Internet中);
- 任何无线连接(无线电,IrDA,蓝牙,WiFi等,用于附近的设备,或者在高级系统中,它们用于克服空气间隙并从物理隔离的系统中泄漏数据)。
通过签名数据库中的存在进行分类
知名按键记录程序的签名(小片段代码)已经包含在著名的反间谍软件和防病毒制造商的签名数据库中。
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:
- кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
- кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
- кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
- коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
- кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
Методы защиты от несанкционированно установленных кейлоггеров
Защита от «известных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.
Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
- использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Защита от несанкционированно установленных аппаратных кейлоггеров:
- тщательные внешний и внутренний осмотры компьютерных систем;
- использование виртуальных клавиатур;
Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание
Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.
Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.
Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.