Difference between revisions of "What is:Keylogger/zh"

什么是键盘记录器

网络上有很多有关按键记录器的信息，但是很难找到文章，这些文章详细解释了按键记录器的开发和使用的许多细微差别。

这就是为什么写这篇文章的原因。

“按键记录器”或“按键记录器”是一种软件程序或硬件设备，它记录击键，即在计算机键盘上按下了哪些键。

键盘记录程序的同义词是“键盘记录程序”，其执行的操作称为“键盘记录”或“键盘捕获”。

软件按键记录器及其硬件对应物（硬件按键记录器）的操作基于两种完全不同的技术，即它们以不同的方式记录击键。

好吧，PC用户确实有所不同。它们在信息处理中扮演着不同的角色。任何特定用户可以是：

• 操作系统的开发人员；
• 软件开发人员；
• 企业的首席执行官；
• 业主；
• 公司计算机网络的管理员；
• 具有管理特权的计算机用户；
• 工作场所的PC用户；
• 拥有计算机的用户；
• 信息安全专家；
• 等

正是这些人确定了在活动中使用键盘记录程序是否合理。

众所周知，使用任何技术都是有益的或有害的。这也适用于使用计算机处理信息。

合法和非法使用键盘记录程序之间的模糊界限在哪里？

答案很简单–只能根据这些键盘记录程序的应用方式来区分！通过其应用程序的方法，您可以查看安全管理与安全违规之间的界线。

术语未经授权的使用（非法使用）表示在没有本地网络（例如公司或组织）或特定个人计算机的所有者（安全管理员）不知情的情况下安装了键盘记录程序。在世界几乎所有国家中，“未经授权的活动”的概念都与“非法活动”的概念非常接近。

未经授权的键盘记录器（包括软件和硬件的键盘记录器）被称为“间谍设备”或“间谍软件”（“间谍软件”，“间谍程序”，“键盘记录器”）。

未经授权使用通常与非法活动有关。通常，未经授权使用的间谍软件产品能够配置和接收捆绑的可执行文件，该文件在安装过程中既不会显示任何消息，也不会打开窗口。而且，这些产品具有内置工具，可以在用户计算机上交付和远程安装预配置的模块，即安装过程是在无需直接物理访问用户计算机的情况下进行的，并且通常不需要管理特权。

术语授权使用（合法/合法使用）表示键盘记录程序是在局域网（例如公司或组织）或特定个人计算机的所有者（安全管理员）了解的情况下安装的。合法使用的键盘记录程序（软件或硬件的键盘记录程序）通常称为员工监视软件，父母控制软件，访问控制软件，人员安全程序等。通常，此类软件产品需要对用户计算机的物理访问，而管理员必须具有配置和安装它们的管理特权。

它们用于

通过授权使用键盘记录程序，本地计算机网络的所有者（安全管理员）或计算机的所有者（管理员）可以：

• 确定键入关键词或短语（即泄露给第三方会导致重大损失的关键词或短语）的所有情况；
• 如果由于任何原因（员工的病情，人员的故意行为等）而丢失了访问密码，则能够访问存储在计算机硬盘上的信息；
• 及时识别（本地化）所有暴力攻击案件；
• 检查公司个人计算机是否在工作时间以外使用，如果是，请确定当时键入的内容；
• 调查计算机事件；
• 进行科学研究以确定人员对外部影响的反应的准确性，效率和充分性；
• 在计算机系统出现故障后恢复关键信息。

商业软件产品的开发人员可以出于许多目的使用包含按键记录程序的模块，其中包括：

• 开发快速的单词搜索系统（例如电子词典，电子翻译器）；
• 开发程序以快速搜索姓名，公司，地址（例如电子电话簿）

Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:

• перехватывать чужую информацию, набираемую пользователем на клавиатуре;
• получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
• получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
• получить несанкционированный доступ к авторизационным данным кредитных карточек;

Классификация кейлоггеров

Классификация по типу

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.

В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.

Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.

Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

Классификация по месту хранения лог-файла

• жёсткий диск;
• оперативная память;
• реестр;
• локальная сеть;
• удалённый сервер;

Классификация по методу отправки лог-файла

• E-mail;
• FTP или HTTP (в интернете или локальной сети);
• любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).

Классификация по включению в сигнатурные базы

Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.

Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:

• кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
• кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
• кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
• коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
• кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

• использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

• использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
• использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

• тщательные внешний и внутренний осмотры компьютерных систем;
• использование виртуальных клавиатур;

Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание

Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.

Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.

Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.