什么是键盘记录器
Contents
什麼是鍵盤記錄器
網絡上有很多有關按鍵記錄器的信息,但是很難找到文章,這些文章詳細解釋了按鍵記錄器的開發和使用的許多細微差別。
這就是為什麼寫這篇文章的原因。
「按鍵記錄器」或「按鍵記錄器」是一種軟件程序或硬件設備,它記錄擊鍵,即在計算機鍵盤上按下了哪些鍵。
鍵盤記錄程序的同義詞是「鍵盤記錄程序」,其執行的操作稱為「鍵盤記錄」或「鍵盤捕獲」。
軟件按鍵記錄器及其硬件對應物(硬件按鍵記錄器)的操作基於兩種完全不同的技術,即它們以不同的方式記錄擊鍵。
好吧,PC用戶確實有所不同。它們在信息處理中扮演着不同的角色。任何特定用戶可以是:
- 作業系統的開發人員;
- 軟件開發人員;
- 企業的行政總裁;
- 業主;
- 公司計算機網絡的管理員;
- 具有管理特權的計算機用戶;
- 工作場所的PC用戶;
- 擁有計算機的用戶;
- 信息安全專家;
- 等
正是這些人確定了在活動中使用鍵盤記錄程序是否合理。
眾所周知,使用任何技術都是有益的或有害的。這也適用於使用計算機處理信息。
合法和非法使用鍵盤記錄程序之間的模糊界限在哪裏?
答案很簡單–只能根據這些鍵盤記錄程序的應用方式來區分!通過其應用程式的方法,您可以查看安全管理與安全違規之間的界線。
術語未經授權的使用(非法使用)表示在沒有本地網絡(例如公司或組織)或特定個人計算機的所有者(安全管理員)不知情的情況下安裝了鍵盤記錄程序。在世界幾乎所有國家中,「未經授權的活動」的概念都與「非法活動」的概念非常接近。
未經授權的鍵盤記錄器(包括軟件和硬件的鍵盤記錄器)被稱為「間諜設備」或「間諜軟件」(「間諜軟件」,「間諜程序」,「鍵盤記錄器」)。
未經授權使用通常與非法活動有關。通常,未經授權使用的間諜軟件產品能夠配置和接收捆綁的可執行文件,該文件在安裝過程中既不會顯示任何消息,也不會打開窗口。而且,這些產品具有內置工具,可以在用戶計算機上交付和遠程安裝預配置的模塊,即安裝過程是在無需直接物理訪問用戶計算機的情況下進行的,並且通常不需要管理特權。
術語授權使用(合法/合法使用)表示鍵盤記錄程序是在局域網(例如公司或組織)或特定個人計算機的所有者(安全管理員)了解的情況下安裝的。合法使用的鍵盤記錄程序(軟件或硬件的鍵盤記錄程序)通常稱為員工監視軟件,父母控制軟件,訪問控制軟件,人員安全程序等。通常,此類軟件產品需要對用戶計算機的物理訪問,而管理員必須具有配置和安裝它們的管理特權。
Цели применения
Санкционированное применение кейлоггеров позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу (администратору) компьютера:
- определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
- иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
- определить (локализовать) все случаи попыток перебора паролей доступа;
- проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить, что набиралось на клавиатуре в данное время;
- исследовать компьютерные инциденты;
- проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
- восстановить критическую информацию после сбоев компьютерных систем.
Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:
- создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
- создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)
Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:
- перехватывать чужую информацию, набираемую пользователем на клавиатуре;
- получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
- получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
- получить несанкционированный доступ к авторизационным данным кредитных карточек;
Классификация кейлоггеров
Классификация по типу
Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.
В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.
Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.
Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.
Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.
Классификация по месту хранения лог-файла
- жёсткий диск;
- оперативная память;
- реестр;
- локальная сеть;
- удалённый сервер;
Классификация по методу отправки лог-файла
- E-mail;
- FTP или HTTP (в интернете или локальной сети);
- любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).
Классификация по включению в сигнатурные базы
Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:
- кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
- кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
- кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
- коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
- кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
Методы защиты от несанкционированно установленных кейлоггеров
Защита от «известных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.
Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
- использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Защита от несанкционированно установленных аппаратных кейлоггеров:
- тщательные внешний и внутренний осмотры компьютерных систем;
- использование виртуальных клавиатур;
Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание
Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.
Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.
Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.