it-swarm-eu.dev

Mohu zjistit, zda je v počítači nainstalován záznamník klíčů?

Můj přítel právě začal práci ve společnosti citlivé na bezpečnost. Poskytli mu notebook se systémem Windows XP Professional nainstalován.) Slyšel zvěsti od ostatních zaměstnanců, že notebooky mohou mít nainstalovány klíčové loggery. Existuje způsob, jak to potvrdit nebo vyvrátit obvinění? Bude to stejně jednoduché jako při pohledu na procesní strom nebo registr, nebo se tyto druhy ústředních klíčů skrývají lépe než tohle?

má administrátorská práva.

56
Plutor

To by do značné míry záviselo na implementaci keyloggeru. Některé produkty na podnikové úrovni obsahují rootkity, které znemožňují detekci keyloggeru, pokud neznáte používaný produkt a jeho konfiguraci. Například, podívejte se na Spector Pro *. Rovněž jako poznámky k syneticon-dj , je možné, že místo toho používají hardwarový keylogger, který by mohl být implementován způsobem, který nelze snadno zjistit softwarem.

Pokud udělili vašemu příteli úplná administrátorská práva na krabici, jsou buď skutečně důvěryhodní ve své možnosti monitorování a konfigurace, nebo jsou docela ignorující důsledky udělování takových práv koncovému uživateli. Často je to druhé. Ale pokud předpokládáte, že tomu tak je, měli byste také předpokládat, že existuje jejich spolehlivé odůvodnění.

Bez ohledu na to je velmi pravděpodobné, že váš přítel již podepsal (a tím souhlasil) zásady přijatelného použití, které obsahují klauzuli, která se vzdává veškerých práv na soukromí na vybavení společnosti. Každá společnost, která se obává dodržování těchto záležitostí, bude mít v systému výstražný banner, který uživatelům při každém přihlášení připomene, že mohou být v těchto systémech sledováni.

Sečteno a podtrženo: Nedělejte nic na vybavení společnosti, které nechcete, aby viděli. Vždy předpokládejte, že zaznamenávají stisky kláves, zachycují snímky obrazovky (další běžná funkce spywaru) a monitorují síťový provoz s možným zahrnutím proxy proxy SSL. Udržujte podnikání v oblasti hardwaru firmy a osobních věcí na osobním hardwaru a měli byste být v pořádku.

* Poznámka: Toto není potvrzení Spector Pro. Nemám žádné spojení se společností, ani jsem nepoužil jejich produkt. Toto je jednoduše uvedeno jako příklad toho, jaké druhy spywarových nástrojů jsou korporacím k dispozici.

59
Iszi

Iszi vám dává obecně velmi dobré rady - je pravděpodobné, že pokud používají monitorovací software, jsou si tím jistí.

Bude to tak jednoduché jako při pohledu na procesní strom nebo registr, nebo se tyto druhy klíčových loggerů skrývají lépe než to?

Detekce keyloggerů je stejně jednoduchá jako pohled na správné místo (což může nebo nemusí být jednoduché v závislosti na vašem pohledu). Problém je v tom, co hledat a kde. Následuje několik nevyčerpávajících věcí, které byste mohli udělat pro kontrolu modulů keyloggingu.

Za prvé, zřejmý snadný způsob, jak vytvořit keylogger, je použít DLL Injection , čehož lze dosáhnout několika způsoby. Většina z nich povede k DLL), které se zobrazí jako mapované do adresního prostoru procesu. Podívejte se na tento obrázek:

pyd process

Jaká je nejvyšší položka v tomto seznamu? Jedná se o příponu pyd, nebo python, přípona, soubor.) Zprávám si s servery COM implementovanými pythonem a v důsledku toho DLL = je načteno do adresního prostoru Průzkumníka Windows.

DLL Vstřikování odrůdy keyloggingu načte její DLL do všech cílových adresních prostorů - pokud to neuděláte, nemůže zachytit všechno. Takže jedna věc, kterou byste měli hledat, by byla podivná DLL, nelze připsat produktům, jejichž účel znáte. Zobrazí se v tomto seznamu pro všechny procesy.

Z technik popsaných na wikipedii je jediná, kterou jsem neviděl, varianta CreateRemoteThread - nejsem si jistý, zda by výsledkem bylo připojit vlákno k obrázku nebo provést vlákno se jménem DllMain. Díky procesoru Explorer můžeme stále vidět, jaká vlákna provádějí co:

Threads

Úžasné, že? Mohli by být dobře jmenováni tak, aby se shodovaly se zřejmým user32.dll Nebo s podobnými. Pokud je to tak, můžeme provést řadu experimentů, pokud bychom si to přáli. Ty jsou ponechány jako cvičení pro čtenáře (ne jen nenávidíte, když to lidé říkají!).

To tedy zahrnuje režim uživatelského režimu - zřejmé - keylogger. Existují některá méně zjevná místa, do kterých by mohl být keylogger zabudován (ale pravděpodobně by to nebyla globální). Když však začnete mluvit o háčcích na úrovni jádra, věci jsou opravdu vzrušující. K tomuto tématu je vynikající článek od Mark R a Bryce Cogswella, přestože je třeba aktualizovat následující upozornění:

  • 64bitová jádra Windows mají mechanismus ochrany jádra, který pravidelně kontroluje změny klíčových bodů v jádře a vypíná systém, pokud jsou detekovány.

Pokud tedy používáte 32bitová okna, můžete mít nainstalovanou a funkční nějakou formu zavěšení na úrovni jádra; Pokud používáte 64-bit, je to mnohem méně pravděpodobné - vzhledem k tomu, že KPP byl dříve obcházen a neustále se mění, vsadil bych se, že na x64 nebudete mít zavěšení jádra, protože aktualizace systému Windows by pravidelně monitorovaly produktový monitorovací systém. Software na tomto základě prostě neprodává.

Co můžete dělat proti 32bitovému háku? Mnoho věcí:

  • Prohlédněte si složku ovladače pro položky, které vypadají podezřele/nelze je připsat.
  • Udělejte totéž, ale offline, aby vám řidič nemohl zabránit v pohledu.
  • Nakonfigurujte ladicí spouštěcí záznam pomocí bcdedit (bcdedit /copy {current} /d "Windows in debug mode", bcdedit /debug {id} ON Po příslušném bcdedit /dbgsettings), Připojte kabel firewire (opravdu. Nepoužívejte sériové. Objevil jsem to pomocí sériového kabely - Firewire je mnohem rychlejší). Poté na zdrojovém počítači spusťte kd a nastavte bod přerušení načítání modulů, poté projděte všechny moduly, které se načtou, a poznamenejte si je. Není toho moc, co by řidič dokázal před vámi skrýt před jeho spuštěním . Můžete dokonce přistoupit k prozkoumání odtud (g pokračovat, kdykoli se zlomí ctrl+c).

Je zde samozřejmě upozornění, že žádné spustitelné soubory systému Windows nebyly opraveny přímo, nebo nějaká taková chyba, která je mimo naši schopnost triviálně detekovat.

To se přímo dívá na systém, ale to neznamená úplné řešení. Pokud se domníváte, že protokolovací software telefonuje domů, může vám pomoci zjistit, kde se nachází transparentní server proxy, tj. Můžete být vytáčeni na vpn.mycompany.com, Ale můžete také vidět připojení k monitorserver.mycompany.com.

Jak můžete nepochybně říci, mnoho technik, které máte k dispozici, závisí na dvou věcech:

  • Vaše předchozí znalost vašeho operačního systému nebo schopnost rychle se seznámit s tím, co je na místě a
  • Schopnost a zdroje autora skrýt/zamaskovat jejich modifikace před vámi.

Krátká odpověď: neexistuje žádný spolehlivý způsob, jak zjistit něco podobného; existují však některá místa, kde můžete začít hledat důkazy.

Různé vyloučení odpovědnosti:

  • Vyšetřování může být v rozporu s vaším AUP. Může to být také nezákonné, kde žijete.
  • Pokud zkusíte vše, co navrhuji a nic neobjevíte, postupujte podle Isziho rada , předpokládejme, že jakýkoli monitorovací program je lepší než ty.
  • Pravděpodobně nebudete žádnými přáteli mezi IT Support a Sysadmins analyzující jejich systémy, jako je tento.
  • Zabezpečení vaší činnosti na pracovním notebooku závisí více než jen na jeho operačním systému - také na veškerém hardwaru/softwaru, který se podílí na přenosu těchto dat. Můj názor? Pokud máte obavy (neříkám, že jste jen příklad), že vás zaměstnavatel špehuje, abyste zjistili, zda trávíte den hraním farmville, nepotřebují k tomu keylogger - pokud jste připojeni prostřednictvím jejich sítě by měli mít možnost protokolovat vaše připojení. SSL bude skrýt obsah, ale ne zdroj nebo cíl.
  • Podle mých zkušeností se zvěsti o keyloggerech obvykle ukážou právě jako - zvěsti. To je však založeno na mém statisticky neplatném vzorku jedné společnosti, kde taková fáma existovala, takže se na ni nemůžeme spolehnout. Je zřejmé, že tyto produkty existují.
32
user2213
  1. Vytvořte si účet GMail s ne dvoufázovým oprávněním (nikoli z laptopu přítele) .
  2. Přihlaste se s notebookem vašeho přítele do webového rozhraní GMail (zadejte uživatelské jméno/heslo ručně) .
  3. Vytvořit novou poštu pomocí subm some reports from %companyname%, připojte falešné .docs a .pdf, do pole „Komu:“ zadejte „[email protected]“. Klikněte na "Odeslat".
  4. Povolit dvoufázová autorizace a propojit ji s telefonem (nikoli z laptopu přítele)
  5. Nikdy se nepřihlašujte do tohoto účtu odkudkoli, jen počkejte na potvrzení SMS potvrzující keyloggery :)
18
НЛО

dobře někteří keyloggery se skrývají velmi dobře, ve skutečnosti někteří by mohli být jako rootkit a měli byste získat dobrý antivirový program, který dokáže detekovat a vykořenovat rootkity a trojské koně a podobně z počítače a měl by být důkladně skenován z CLEAN systému jinak můžete zavádět rootkit nebo jiné nepříjemné věci, díky nimž by skenování vypadalo čistě, i když ve skutečnosti není. jeden dobrý takový program je AVG Pro antivirový a antirootkitový program) a existuje několik dalších, kteří tvrdí, že se jim daří dobře proti rootkitům a všem ostatním druhům trojských koní spywarových červů atd. ... dobrá investice, Pokud se vám nelíbí, aby někdo neustále sledoval vaše rameno, nebo horší chytil poněkud ošklivou „chybu“, tak proveďte sken pomocí něco jako AVG, ze systému CLEAN ... které by se mělo starat o všechny ty věci, které jsem zmínil, a také udržovat váš antivirový/antirootkitový software aktuální

0

V zásadě neexistuje žádný způsob, jak to zjistit, kromě rozebrání systému a porovnání s důvěryhodnou implementací.

Ukázalo se, že je teoreticky nemožné vytvořit program, který by byl schopen analyzovat libovolný kus kódu a určit, zda se nakonec zastaví nebo bude spuštěn navždy při určitém vstupu ( problém zastavení ), což zase znamená spoustu pro skenery, které mají určit, zda libovolný binární způsob uvede váš stroj do zvláštního nežádoucího stavu.

Jako další komplikaci nemusí protokolovače klíčů být nainstalovány ve vašem operačním systému - mohou to být také hardwarová součást .

0
syneticon-dj