什么是键盘记录器
Contents
什麼是鍵盤記錄器
網絡上有很多有關按鍵記錄器的信息,但是很難找到文章,這些文章詳細解釋了按鍵記錄器的開發和使用的許多細微差別。
這就是為什麼寫這篇文章的原因。
「按鍵記錄器」或「按鍵記錄器」是一種軟件程序或硬件設備,它記錄擊鍵,即在計算機鍵盤上按下了哪些鍵。
鍵盤記錄程序的同義詞是「鍵盤記錄程序」,其執行的操作稱為「鍵盤記錄」或「鍵盤捕獲」。
軟件按鍵記錄器及其硬件對應物(硬件按鍵記錄器)的操作基於兩種完全不同的技術,即它們以不同的方式記錄擊鍵。
好吧,PC用戶確實有所不同。它們在信息處理中扮演着不同的角色。任何特定用戶可以是:
- 操作系統的開發人員;
- 軟件開發人員;
- 企業的首席執行官;
- 業主;
- 公司計算機網絡的管理員;
- 具有管理特權的計算機用戶;
- 工作場所的PC用戶;
- 擁有計算機的用戶;
- 信息安全專家;
- 等
正是這些人確定了在活動中使用鍵盤記錄程序是否合理。
眾所周知,使用任何技術都是有益的或有害的。這也適用於使用計算機處理信息。
合法和非法使用鍵盤記錄程序之間的模糊界限在哪裡?
答案很簡單–只能根據這些鍵盤記錄程序的應用方式來區分!通過其應用程序的方法,您可以查看安全管理與安全違規之間的界線。
術語未經授權的使用(非法使用)表示在沒有本地網絡(例如公司或組織)或特定個人計算機的所有者(安全管理員)不知情的情況下安裝了鍵盤記錄程序。在世界幾乎所有國家中,「未經授權的活動」的概念都與「非法活動」的概念非常接近。
未經授權的鍵盤記錄器(包括軟件和硬件的鍵盤記錄器)被稱為「間諜設備」或「間諜軟件」(「間諜軟件」,「間諜程序」,「鍵盤記錄器」)。
未經授權使用通常與非法活動有關。通常,未經授權使用的間諜軟件產品能夠配置和接收捆綁的可執行文件,該文件在安裝過程中既不會顯示任何消息,也不會打開窗口。而且,這些產品具有內置工具,可以在用戶計算機上交付和遠程安裝預配置的模塊,即安裝過程是在無需直接物理訪問用戶計算機的情況下進行的,並且通常不需要管理特權。
術語授權使用(合法/合法使用)表示鍵盤記錄程序是在局域網(例如公司或組織)或特定個人計算機的所有者(安全管理員)了解的情況下安裝的。合法使用的鍵盤記錄程序(軟件或硬件的鍵盤記錄程序)通常稱為員工監視軟件,父母控制軟件,訪問控制軟件,人員安全程序等。通常,此類軟件產品需要對用戶計算機的物理訪問,而管理員必須具有配置和安裝它們的管理特權。
它們用於
通過授權使用鍵盤記錄程序,本地計算機網絡的所有者(安全管理員)或計算機的所有者(管理員)可以:
- 確定鍵入關鍵詞或短語(即泄露給第三方會導致重大損失的關鍵詞或短語)的所有情況;
- 如果由於任何原因(員工的病情,人員的故意行為等)而丟失了訪問密碼,則能夠訪問存儲在計算機硬盤上的信息;
- 及時識別(本地化)所有暴力攻擊案件;
- 檢查公司個人計算機是否在工作時間以外使用,如果是,請確定當時鍵入的內容;
- 調查計算機事件;
- 進行科學研究以確定人員對外部影響的反應的準確性,效率和充分性;
- 在計算機系統出現故障後恢復關鍵信息。
商業軟件產品的開發人員可以出於許多目的使用包含按鍵記錄程序的模塊,其中包括:
- 開發快速的單詞搜索系統(例如電子詞典,電子翻譯器);
- 開發程序以快速搜索姓名,公司,地址(例如電子電話簿)
未經授權使用鍵盤記錄器(包括帶有鍵盤記錄模塊的硬件或軟件產品),攻擊者就可以:
- 攔截鍵盤上鍵入的其他人的信息;
- 未經授權訪問人們用來訪問各種系統(包括銀行-客戶系統)的用戶名和密碼;
- 獲得對計算機用戶信息(密碼)的密碼保護的未授權訪問;
- 獲得未經授權的信用卡授權數據訪問;
鍵盤記錄程序的分類
按類型分類
軟件按鍵記錄程序屬於對PC用戶的活動進行控制的軟件產品組。最初,此類軟件產品僅用於記錄鍵盤按下的擊鍵(包括系統鍵),並將這些數據保存到特殊的日誌文件中,然後由安裝此程序的人員進行研究。日誌文件可以通過網絡發送到網絡驅動器,Internet上的FTP服務器,電子郵件地址等。
但是如今,保留名稱為「keyloggers」的軟件產品執行許多附加功能,例如從窗口攔截信息,單擊鼠標,剪貼板內容,對屏幕和活動窗口進行屏幕截圖,保留所有已接收和已發送電子郵件的記錄,跟蹤文件活動和系統註冊表中的更改,記錄發送到打印機的任務,攔截來自麥克風的聲音和來自網絡攝像頭的圖像等。
硬件按鍵記錄程序是微型設備,可以放置在鍵盤和計算機之間,也可以集成到鍵盤本身中。他們記錄鍵盤上的所有擊鍵。鍵盤記錄過程對PC用戶完全不可見。硬件按鍵記錄程序不需要在目標PC上安裝任何軟件即可成功攔截所有按鍵。連接硬件鍵盤記錄器後,無論計算機處於打開還是關閉狀態都沒有關係。安裝後,硬件按鍵記錄程序可以無限期工作,因為它不需要額外的電源。
這些設備的內部非易失性存儲器容量最大,即使支持Unicode,也可以記錄多達2000萬次按鍵。這些設備的形狀多種多樣,因此即使是專家,有時也無法在信息審核期間檢測到這種設備。根據硬件鍵盤記錄器的安裝位置,它們可以是內部的,也可以是外部的。
聲學按鍵記錄程序是一種硬件設備,可以記錄鍵盤上所按按鍵的聲音,分析這些聲音並將其轉換為文本。
按日誌文件存儲位置分類
- 硬盤;
- 內存;
- 註冊表;
- 本地網絡;
- 遠程服務器;
通過發送日誌文件進行分類
- 電子郵件;
- FTP或HTTP(在本地網絡或Internet中);
- 任何無線連接(無線電,IrDA,藍牙,WiFi等,用於附近的設備,或者在高級系統中,它們用於克服空氣間隙並從物理隔離的系統中泄漏數據)。
通過簽名數據庫中的存在進行分類
知名按鍵記錄程序的簽名(小片段代碼)已經包含在著名的反間諜軟件和防病毒製造商的簽名數據庫中。
某些未知的鍵盤記錄程序(其簽名未包含在簽名數據庫中)可能由於多種原因而保持未知,即:
- 鍵盤記錄程序(鍵盤記錄模塊)可以在各種政府組織的主持下開發;
- 鍵盤記錄程序(鍵盤記錄模塊)可以由開發人員集成到專有操作系統的核心中;
- 可以以有限的數量(例如,以一或多個副本的形式)開發按鍵記錄程序,以完成與從用戶計算機盜竊關鍵信息(例如,專業黑客使用的軟件產品)有關的特定任務。這些間諜軟件產品可以稍作修改,從互聯網上獲取並由攻擊者進行編譯,以更改開源鍵盤記錄程序,從而改變鍵盤記錄程序的簽名;
- 商業鍵盤記錄程序,特別是公司軟件產品中作為模塊包含的記錄程序,很少包含在知名反間諜軟件和/或反病毒製造商的簽名數據庫中。結果,如果該軟件產品的功能齊全的版本泄漏到Internet上,網絡犯罪分子便可以將其轉變為間諜軟件產品,而該間諜軟件產品是普通反間諜軟件或防病毒軟件無法檢測到的;
- 鍵盤記錄程序,是用於攔截用戶計算機上擊鍵的模塊,這些模塊包含在病毒程序中。在將簽名數據輸入病毒數據庫之前,這些模塊是未知的。一個例子就是世界著名的病毒,該病毒近年來造成了很多麻煩,它包含了用於攔截擊鍵並將接收到的信息發送到Internet的模塊。
防止未經授權的鍵盤記錄程序
防止未經授權的軟件鍵盤記錄程序(已知),即其簽名包含在簽名數據庫中:
- 使用信譽良好的製造商提供的反間諜軟件和/或防病毒軟件產品,並自動更新簽名數據庫。
防止「未知」未經授權的軟件鍵盤記錄程序:
- 使用知名製造商的反間諜軟件產品和/或反病毒軟件產品,這些製造商使用所謂的啟發式(行為)分析器來對抗間諜軟件產品,也就是說,它們不需要簽名庫。
- 使用對從鍵盤輸入的數據進行加密的程序。另外,您可以使用在硬件級別執行這種加密的鍵盤。
防範「已知」和「未知」的未經授權的軟件鍵盤記錄程序,包括使用信譽良好的開發人員提供的反間諜軟件產品和/或反病毒軟件。這些產品通過以下方式抵制間諜軟件產品:
- 不斷更新間諜軟件產品的簽名數據庫;要麼
- 不需要簽名庫的啟發式(行為)分析器。
Protection against unauthorized hardware keyloggers includes:
- thorough external and internal inspections of the computer systems;
- using virtual keyboards.
開發人員將按鍵記錄模塊包含在軟件產品中的主要跡象
如果軟件產品具有內置功能,可以在幾次按鍵後提示輸入單詞的選項,則表示按鍵記錄模塊可以完成其工作。
鍵盤記錄模塊是現代即時通訊程序,文本編輯器,詞典,拼寫檢查器,鍵盤布局切換程序等不可分割的一部分。
這種軟件產品的危險在於,由於它們執行對計算機用戶來說非常必要的功能,因此並未被正式視為惡意軟件。但是,與用於父母控制或員工監控的軟件不同,所有功能都是由製造商(開發人員)公開宣布的,用戶並不了解這種看似良性的程序的輔助功能-即使他們的開發人員和製造商也常常對此保持沉默... ,如果網絡犯罪分子在您不知情的情況下設法配置該軟件,則他們可以利用這些產品中的按鍵記錄功能。