什么是键盘记录器
Contents
什麼是鍵盤記錄器
網絡上有很多有關按鍵記錄器的信息,但是很難找到文章,這些文章詳細解釋了按鍵記錄器的開發和使用的許多細微差別。
這就是為什麼寫這篇文章的原因。
「按鍵記錄器」或「按鍵記錄器」是一種軟件程序或硬件設備,它記錄擊鍵,即在計算機鍵盤上按下了哪些鍵。
鍵盤記錄程序的同義詞是「鍵盤記錄程序」,其執行的操作稱為「鍵盤記錄」或「鍵盤捕獲」。
軟件按鍵記錄器及其硬件對應物(硬件按鍵記錄器)的操作基於兩種完全不同的技術,即它們以不同的方式記錄擊鍵。
好吧,PC用戶確實有所不同。它們在信息處理中扮演着不同的角色。任何特定用戶可以是:
- 操作系統的開發人員;
- 軟件開發人員;
- 企業的首席執行官;
- 業主;
- 公司計算機網絡的管理員;
- 具有管理特權的計算機用戶;
- 工作場所的PC用戶;
- 擁有計算機的用戶;
- 信息安全專家;
- 等
正是這些人確定了在活動中使用鍵盤記錄程序是否合理。
眾所周知,使用任何技術都是有益的或有害的。這也適用於使用計算機處理信息。
合法和非法使用鍵盤記錄程序之間的模糊界限在哪裡?
答案很簡單–只能根據這些鍵盤記錄程序的應用方式來區分!通過其應用程序的方法,您可以查看安全管理與安全違規之間的界線。
術語未經授權的使用(非法使用)表示在沒有本地網絡(例如公司或組織)或特定個人計算機的所有者(安全管理員)不知情的情況下安裝了鍵盤記錄程序。在世界幾乎所有國家中,「未經授權的活動」的概念都與「非法活動」的概念非常接近。
未經授權的鍵盤記錄器(包括軟件和硬件的鍵盤記錄器)被稱為「間諜設備」或「間諜軟件」(「間諜軟件」,「間諜程序」,「鍵盤記錄器」)。
未經授權使用通常與非法活動有關。通常,未經授權使用的間諜軟件產品能夠配置和接收捆綁的可執行文件,該文件在安裝過程中既不會顯示任何消息,也不會打開窗口。而且,這些產品具有內置工具,可以在用戶計算機上交付和遠程安裝預配置的模塊,即安裝過程是在無需直接物理訪問用戶計算機的情況下進行的,並且通常不需要管理特權。
術語授權使用(合法/合法使用)表示鍵盤記錄程序是在局域網(例如公司或組織)或特定個人計算機的所有者(安全管理員)了解的情況下安裝的。合法使用的鍵盤記錄程序(軟件或硬件的鍵盤記錄程序)通常稱為員工監視軟件,父母控制軟件,訪問控制軟件,人員安全程序等。通常,此類軟件產品需要對用戶計算機的物理訪問,而管理員必須具有配置和安裝它們的管理特權。
它們用於
通過授權使用鍵盤記錄程序,本地計算機網絡的所有者(安全管理員)或計算機的所有者(管理員)可以:
- 確定鍵入關鍵詞或短語(即泄露給第三方會導致重大損失的關鍵詞或短語)的所有情況;
- 如果由於任何原因(員工的病情,人員的故意行為等)而丟失了訪問密碼,則能夠訪問存儲在計算機硬盤上的信息;
- 及時識別(本地化)所有暴力攻擊案件;
- 檢查公司個人計算機是否在工作時間以外使用,如果是,請確定當時鍵入的內容;
- 調查計算機事件;
- 進行科學研究以確定人員對外部影響的反應的準確性,效率和充分性;
- 在計算機系統出現故障後恢復關鍵信息。
商業軟件產品的開發人員可以出於許多目的使用包含按鍵記錄程序的模塊,其中包括:
- 開發快速的單詞搜索系統(例如電子詞典,電子翻譯器);
- 開發程序以快速搜索姓名,公司,地址(例如電子電話簿)
未經授權使用鍵盤記錄器(包括帶有鍵盤記錄模塊的硬件或軟件產品),攻擊者就可以:
- 攔截鍵盤上鍵入的其他人的信息;
- 未經授權訪問人們用來訪問各種系統(包括銀行-客戶系統)的用戶名和密碼;
- 獲得對計算機用戶信息(密碼)的密碼保護的未授權訪問;
- 獲得未經授權的信用卡授權數據訪問;
鍵盤記錄程序的分類
按類型分類
軟件按鍵記錄程序屬於對PC用戶的活動進行控制的軟件產品組。最初,此類軟件產品僅用於記錄鍵盤按下的擊鍵(包括系統鍵),並將這些數據保存到特殊的日誌文件中,然後由安裝此程序的人員進行研究。日誌文件可以通過網絡發送到網絡驅動器,Internet上的FTP服務器,電子郵件地址等。
但是如今,保留名稱為「keyloggers」的軟件產品執行許多附加功能,例如從窗口攔截信息,單擊鼠標,剪貼板內容,對屏幕和活動窗口進行屏幕截圖,保留所有已接收和已發送電子郵件的記錄,跟蹤文件活動和系統註冊表中的更改,記錄發送到打印機的任務,攔截來自麥克風的聲音和來自網絡攝像頭的圖像等。
硬件按鍵記錄程序是微型設備,可以放置在鍵盤和計算機之間,也可以集成到鍵盤本身中。他們記錄鍵盤上的所有擊鍵。鍵盤記錄過程對PC用戶完全不可見。硬件按鍵記錄程序不需要在目標PC上安裝任何軟件即可成功攔截所有按鍵。連接硬件鍵盤記錄器後,無論計算機處於打開還是關閉狀態都沒有關係。安裝後,硬件按鍵記錄程序可以無限期工作,因為它不需要額外的電源。
Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.
Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.
Классификация по месту хранения лог-файла
- жёсткий диск;
- оперативная память;
- реестр;
- локальная сеть;
- удалённый сервер;
Классификация по методу отправки лог-файла
- E-mail;
- FTP или HTTP (в интернете или локальной сети);
- любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).
Классификация по включению в сигнатурные базы
Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:
- кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
- кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
- кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
- коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
- кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
Методы защиты от несанкционированно установленных кейлоггеров
Защита от «известных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.
Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
- использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Защита от несанкционированно установленных аппаратных кейлоггеров:
- тщательные внешний и внутренний осмотры компьютерных систем;
- использование виртуальных клавиатур;
Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание
Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.
Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.
Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.