it-swarm-eu.dev

Kann ich feststellen, ob auf meinem Computer ein Key Logger installiert ist?

Ein Freund von mir hat gerade einen Job bei einem sicherheitsrelevanten Unternehmen angefangen. Sie haben ihm einen Laptop mit Windows XP Professional installiert) zur Verfügung gestellt. Er hat ein Gerücht von anderen Mitarbeitern gehört, dass auf den Laptops möglicherweise Schlüssellogger installiert sind. Gibt es eine Möglichkeit für ihn, dies zu bestätigen oder zu widerlegen Wird dies so einfach sein wie das Betrachten des Prozessbaums oder der Registrierung, oder verstecken sich diese Arten von Schlüsselprotokollierern besser als das?

Er hat Administratorrechte.

56
Plutor

Dies würde stark von der Implementierung des Keyloggers abhängen. Einige Produkte auf Unternehmensebene enthalten Rootkits, mit denen der Keylogger kaum erkannt werden kann, es sei denn, Sie kennen das verwendete Produkt und seine Konfiguration. Ein Beispiel finden Sie unter Spector Pro *. Außerdem, wie syneticon-dj bemerkt , ist es möglich, dass sie stattdessen einen Hardware-Keylogger verwenden, der auf eine Weise implementiert werden kann, die von der Software nicht leicht erkannt werden kann.

Wenn sie Ihrem Freund die vollen Administratorrechte für die Box eingeräumt haben, sind sie entweder wirklich zuversichtlich in ihre Überwachungs- und Konfigurationssteuerungsfunktionen oder sie sind fair Sie kennen die Auswirkungen der Gewährung solcher Berechtigungen an einen Endbenutzer nicht. Oft ist es das letztere. Wenn Sie jedoch davon ausgehen, dass Ersteres der Fall ist, sollten Sie auch davon ausgehen, dass es eine solide Rechtfertigung für ihr Vertrauen gibt.

Unabhängig davon ist es sehr wahrscheinlich, dass Ihr Freund bereits eine Richtlinie zur akzeptablen Nutzung unterzeichnet hat (und damit einverstanden ist), die eine Klausel enthält, die alle Rechte auf Datenschutz für firmeneigene Geräte aufgibt. Darüber hinaus verfügt jedes Unternehmen, das Bedenken hinsichtlich der Einhaltung dieser Vorschriften hat, über ein Warnbanner auf dem System, das die Benutzer bei jeder Anmeldung daran erinnert, dass sie möglicherweise auf diesen Systemen überwacht werden müssen.

Fazit: Machen Sie an Unternehmensgeräten nichts, was Sie nicht sehen möchten. Nehmen Sie immer an, dass sie Tastenanschläge protokollieren, Screenshots (eine weitere häufige Spyware-Funktion) erfassen und den Netzwerkverkehr mit der möglichen Einbeziehung eines SSL-Proxys überwachen. Halten Sie Geschäft auf Geschäftshardware und persönliches Zeug auf persönlicher Hardware, und es sollte Ihnen gut gehen.

* Hinweis: Dies ist keine Empfehlung von Spector Pro. Ich habe keine Verbindungen zum Unternehmen und habe auch kein Produkt verwendet. Dies ist lediglich ein Beispiel dafür, welche Art von Spyware-Tools Unternehmen zur Verfügung stehen.

59
Iszi

Iszi gibt Ihnen im Allgemeinen einige sehr gute Ratschläge - wenn sie Überwachungssoftware verwenden, sind sie wahrscheinlich zuversichtlich.

Wird dies so einfach sein wie das Betrachten des Prozessbaums oder der Registrierung, oder verstecken sich diese Arten von Schlüsselprotokollierern besser als das?

Das Erkennen von Keyloggern ist so einfach wie das Suchen an der richtigen Stelle (was je nach Sichtweise einfach sein kann oder nicht). Das Problem ist zu wissen, wonach und wo gesucht werden muss. Was folgt, sind einige nicht erschöpfende Dinge, die Sie tun können, um nach Keylogging-Modulen zu suchen.

Erstens ist der offensichtlich einfache Weg, einen Keylogger zu erstellen, die Verwendung von DLL Injection , was auf verschiedene Arten erreicht werden kann. Die meisten davon führen dazu, dass eine DLL) angezeigt wird, die dem Adressraum des Prozesses zugeordnet ist. Sehen Sie sich dieses Bild an:

pyd process

Was ist der oberste Eintrag in dieser Liste? Es ist eine pyd oder python -Erweiterung, Datei. Ich habe mit in Python implementierten COM-Servern und als Ergebnis mit der DLL) herumgespielt = wird in den Adressraum des Windows Explorers geladen.

Die DLL-Injection der Keylogging-Variante lädt ihre DLL in alle Zieladressräume - kann nicht alles erfassen, wenn Sie dies nicht tun. Eine Sache, auf die Sie achten sollten, wären seltsame DLLs, die Sie benötigen kann keinen Produkten zugeordnet werden, deren Zweck Sie kennen. Sie werden in dieser Liste für alle Prozesse angezeigt.

Von den auf Wikipedia beschriebenen Techniken ist die einzige, die ich nicht gesehen habe, die Sorte CreateRemoteThread. Ich bin mir nicht sicher, ob das Ergebnis darin besteht, einen Thread an das Bild anzuhängen oder einen Thread mit einem Namen auszuführen DllMain. Dank des Prozess-Explorers können wir immer noch sehen, welche Threads was ausführen:

Threads

Genial, oder? Nun, sie könnten so benannt werden, dass sie mit dem offensichtlichen user32.dll Oder einem ähnlichen übereinstimmen. Es gibt eine Reihe von Experimenten, die wir durchführen könnten, um herauszufinden, ob dies der Fall ist, wenn wir dies wollten. Diese werden dem Leser als Übung überlassen (hassen Sie es nicht einfach, wenn die Leute das sagen!).

Das deckt also den Benutzermodus-Offensichtlichen-Keylogger-Modus ab. Es gibt einige weniger offensichtliche Stellen, an denen ein Keylogger eingebettet sein könnte (aber es ist unwahrscheinlich, dass es sich um globale Stellen handelt). Allerdings werden die Dinge wirklich aufregend, wenn Sie anfangen, über Hooks auf Kernel-Ebene zu sprechen. Es gibt einen ausgezeichneter Artikel von Mark R und Bryce Cogswell zu diesem Thema, der jedoch mit der folgenden Einschränkung aktualisiert werden muss:

  • 64-Bit-Windows-Kernel verfügen über einen Kernel-Patch-Schutzmechanismus, der regelmäßig wichtige Punkte im Kernel auf Änderungen überprüft und das System herunterfährt, wenn sie erkannt werden.

Wenn Sie also 32-Bit-Fenster ausführen, ist möglicherweise immer noch eine Art Kernel-Level-Hooking installiert, das funktioniert. Wenn Sie 64-Bit verwenden, ist dies viel weniger wahrscheinlich. Da KPP zuvor umgangen wurde und sich ständig ändert, würde ich darauf wetten, dass Sie unter x64 keine Kernel-Hooks haben, da Windows-Updates das System des Überwachungsprodukts regelmäßig zum Absturz bringen würden. Software verkauft sich auf dieser Basis einfach nicht.

Was können Sie gegen einen 32-Bit-Hook tun? Viele Dinge:

  • Untersuchen Sie den Treiberordner auf Einträge, die verdächtig aussehen/nicht zugeordnet werden können.
  • Machen Sie dasselbe, aber offline, damit der Fahrer Sie nicht am Suchen hindern kann.
  • Konfigurieren Sie einen Debug-Starteintrag mit bcdedit (bcdedit /copy {current} /d "Windows in debug mode", bcdedit /debug {id} ON Nach dem entsprechenden bcdedit /dbgsettings), Schließen Sie ein Firewire-Kabel an (wirklich. Verwenden Sie keine serielle. Ich habe dies mit serial entdeckt Kabel - Firewire ist viel schneller). Starten Sie dann auf Ihrem Quellcomputer kd und legen Sie einen Haltepunkt beim Laden des Moduls fest. Gehen Sie dann alle geladenen Module durch und notieren Sie sie. Ein Fahrer kann nicht viel tun, um sich vor dem Start vor Ihnen zu verstecken . Sie können es sogar von hier aus untersuchen (g, um fortzufahren, ctrl+c Unterbricht zu jedem Zeitpunkt).

Vorbehalte hierbei sind natürlich, dass keine ausführbaren Windows-Dateien direkt gepatcht wurden oder dass solche Fehler auftreten, die wir nicht trivial erkennen können.

Das ist ein direkter Blick auf das System, aber keine vollständige Lösung. Wenn Sie der Meinung sind, dass die Protokollierungssoftware nach Hause telefoniert, können Sie mithilfe eines transparenten Proxys feststellen, wo - d. H. Sie werden möglicherweise in vpn.mycompany.com Eingewählt, aber Sie sehen möglicherweise auch Verbindungen zu monitorserver.mycompany.com.

Wie Sie zweifellos sagen können, hängen viele der Techniken, die Ihnen zur Verfügung stehen, von zwei Dingen ab:

  • Ihre bereits vorhandene Vertrautheit mit Ihrem Betriebssystem oder Ihre Fähigkeit, sich schnell mit den fehlenden und fehlgeschlagenen Funktionen vertraut zu machen
  • Die Fähigkeit und Ressource des Autors, seine Änderungen vor Ihnen zu verbergen/zu verschleiern.

Kurze Antwort: Es gibt keine narrensichere Möglichkeit, etwas dergleichen zu erkennen. Es gibt jedoch einige Orte, an denen Sie nach Beweisen suchen können.

Verschiedene Haftungsausschlüsse:

  • Die Untersuchung könnte Ihrer AUP zuwiderlaufen. Es könnte auch illegal sein, wo Sie leben.
  • Wenn Sie alles versuchen, was ich vorschlage, und nichts auftauchen, folgen Sie Iszis Rat , nehmen Sie an, dass jedes Überwachungsprogramm besser ist als Sie.
  • Es ist unwahrscheinlich, dass Sie unter IT-Support und Sysadmins Freunde finden, die ihre Systeme so analysieren.
  • Die Sicherheit Ihrer Aktivitäten auf dem Arbeitslaptop hängt nicht nur vom Betriebssystem ab, sondern auch von der gesamten Hardware/Software, die für die Übertragung dieser Daten erforderlich ist. Mein Punkt? Wenn Sie sich Sorgen machen (ohne zu sagen, dass Sie es sind, nur ein Beispiel), dass Ihr Arbeitgeber Sie ausspioniert, um festzustellen, ob Sie Ihren Tag mit Farmville verbringen, brauchen sie dafür keinen Keylogger - wenn Sie verbunden sind Über ihr Netzwerk sollten sie in der Lage sein, Ihre Verbindungen zu protokollieren. SSL verbirgt den Inhalt, nicht jedoch die Quelle oder das Ziel.
  • Nach meiner Erfahrung stellen sich Gerüchte über Keylogger normalerweise als genau das heraus - Gerüchte. Dies basiert jedoch auf meiner statistisch ungültigen Stichprobe eines Unternehmens, in dem ein solches Gerücht existierte, auf das man sich nicht verlassen kann. Es ist klar, dass diese Produkte existieren.
32
user2213
  1. Erstellen Sie ein GMail-Konto mit no 2-Schritt-Autorisierung (nicht vom Laptop eines Freundes) .
  2. Melden Sie sich mit dem Laptop Ihres Freundes in der GMail-Weboberfläche an (geben Sie Benutzername/Pass manuell ein) .
  3. Neue Mail erstellen mit subj some reports from %companyname%, fügen Sie einige Dummy-.docs und .pdfs hinzu, geben Sie "[email protected]m" in das Feld "To:" ein. Klicken Sie auf "Senden".
  4. Aktivieren 2-Schritt-Autorisierung und verknüpfen Sie sie mit Ihrem Telefon (nicht vom Laptop eines Freundes)
  5. Melden Sie sich dann niemals von irgendwoher in diesem Konto an, sondern warten Sie nur auf eine SMS Bestätigung der Keylogger :) :)
18
НЛО

nun, einige Keylogger verstecken sich sehr gut. Einige könnten wie ein Rootkit aussehen, und Sie sollten ein gutes Antivirenprogramm erhalten, das Rootkits und Trojaner und dergleichen vom Computer erkennen und ausrotten kann. Andernfalls sollte es gründlich von einem CLEAN-System gescannt werden Möglicherweise starten Sie ein Rootkit oder andere unangenehme Dinge, die den Scan sauber erscheinen lassen, obwohl dies nicht der Fall ist. Ein gutes solches Programm ist das AVG Pro Antivirus- und Antirootkit-Programm, und es gibt einige andere, die behaupten, gegen Rootkits und alle anderen Arten von Trojanern, Spyware-Würmer usw., gut abzuschneiden. Wenn Sie es nicht mögen, wenn jemand die ganze Zeit über Ihre Schulter wacht oder schlimmer noch einen ziemlich bösen "Fehler" entdeckt, machen Sie einen Scan mit etwas wie AVG, von einem SAUBEREN System ... Das sollte sich um all die Dinge kümmern, die ich erwähnt habe, und auch Ihre Antiviren-/Antirootkit-Software auf dem neuesten Stand halten

0

Grundsätzlich gibt es keine andere Möglichkeit, dies zu erkennen, als das System auseinanderzunehmen und mit einer vertrauenswürdigen Implementierung zu vergleichen.

Es hat sich als theoretisch unmöglich erwiesen, ein Programm zu erstellen, das in der Lage ist, ein beliebiges Stück Code zu analysieren und zu bestimmen, ob es bei einer bestimmten Eingabe irgendwann anhalten oder für immer ausgeführt wird ( Anhalten des Problems ). Dies bedeutet wiederum eine ganze Menge für Scanner, die bestimmen sollen, ob eine beliebige Binärdatei Ihre Maschine in einen bestimmten unerwünschten Zustand versetzt.

Als weitere Komplikation müssen Schlüssellogger keine Software sein, die in Ihrem Betriebssystem installiert ist - sie können auch eine Hardwarekomponente sein.

0
syneticon-dj