Keylogger
Содержание:
- Принципы построения кейлоггеров
- Лучшее программное обеспечение для обнаружения кейлоггеров
- Как кейлоггеры попадают на ваш компьютер
- Особенность №1: незаметность
- Рост популярности кейлоггеров у злоумышленников
- SC-KeyLog
- KGB Spy
- Посмотрим на концепцию keylogger ‘ов глужбе
- SPYGO
- Free Keylogger
- Refog Free Keylogger
- SC-KeyLog
- Что такое кейлоггер?
- Виды кейлоггеров в зависимости от способа установки и собираемых данных
- Выводы
- Заключение
Принципы построения кейлоггеров
Принципиальная идея кейлоггера состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия пользователем клавиш на клавиатуре до появления символов на экране — это может быть видеонаблюдение, аппаратные «жучки» в самой клавиатуре, на проводе или в системном блоке компьютера, перехват запросов ввода-вывода, подмена системного драйвера клавиатуры, драйвер-фильтр в клавиатурном стеке, перехват функций ядра любым способом (подменой адресов в системных таблицах, сплайсингом кода функции и т.п.), перехват функций DLL в пользовательском режиме, наконец, опрос клавиатуры стандартным задокументированным способом.
Однако практика показывает, что чем сложнее подход, тем менее вероятно его применение в широкораспространяемых троянских программах и более вероятно его использование в целевых троянцах для кражи корпоративной финансовой информации.
Все кейлоггеры можно условно разделить на аппаратные и программные. Первые представляют собой небольшие устройства, которые могут быть закреплены на клавиатуре, проводе или в системном блоке компьютера. Вторые — это специально написанные программы, предназначенные для отслеживания нажатий клавиш на клавиатуре и ведения журнала нажатых клавиш.
Наиболее популярные технические подходы к построению программных кейлоггеров:
- системная ловушка на сообщения о нажатии клавиш клавиатуры (устанавливается с помощью функции WinAPI SetWindowsHook, для того чтобы перехватить сообщения, посылаемые оконной процедуре, — чаще всего пишется на C);
- циклический опрос клавиатуры (с помощью функции WinAPI Get(Async)KeyState, GetKeyboardState — чаще всего пишется на VisualBasic, реже на Borland Delphi);
- драйвер-фильтр стека клавиатурных драйверов ОС Windows (требует специальных знаний, пишется на C).
Мы очень детально рассмотрим различные методы построения кейлоггеров во второй части нашей статьи. Пока же приведем немного статистики.
Примерное распределение указанных типов кейлоггеров показано на следующей диаграмме:
В последнее время отмечается тенденция использования в кейлоггерах методов сокрытия (маскировки) своих файлов — так, чтобы их нельзя было найти вручную или с помощью антивирусного сканера. Такие методы принято называть rootkit-технологиями. Можно выделить два основных типа технологий сокрытия, используемых кейллоггерами:
- с использованием методов сокрытия пользовательского режима (UserMode);
- с использованием методов сокрытия режима ядра операционной системы (KernelMode).
Примерное распределение используемых кейлоггерами технологий сокрытия показано на следующей диаграмме:
Лучшее программное обеспечение для обнаружения кейлоггеров
Теперь в этом разделе нашей статьи мы расскажем о лучших программах обнаружения кейлоггеров. Фактически, эти программы работают автоматически, чтобы выполнить глубокое сканирование и найти клавиатурные шпионы, которые работают в невидимом режиме.
01. Детектор кейлоггеров MalwareFox
Согласно нашим исследованиям, MalwareFox считается лучшим программным обеспечением детектора кейлоггера по разным причинам. Возможно, вы уже используете антивирусное программное обеспечение, но оно может быть не таким эффективным при обнаружении клавиатурных шпионов. Таким образом, установка MalwareFox может быть одним из лучших решений, которые вы можете попытаться обнаружить кейлоггеры. В дополнение к роли детектора кейлоггеров, MalwareFox может сканировать и удалять другие нежелательные приложения.
Особенности MalwareFox
- Он может сканировать ваш компьютер очень быстро по сравнению с другими инструментами защиты от вредоносных программ на рынке.
- Иметь возможность чистить браузеры.
- Это очень легкое приложение, которое работает без ущерба для функциональности компьютера.
- Одна из самых эффективных программ обнаружения кейлоггеров на рынке.
02. Детектор кейлоггера Revealer
Это правда, что название этого инструмента довольно запутанно. Тем не менее, когда дело доходит до фактора производительности, этот инструмент это превосходное программное обеспечение детектора кейлоггер Этот инструмент работает хорошо и гарантирует, что кейлоггер не работает в фоновом режиме.
Особенности Revealer Keylogger
- Вы можете использовать его для мониторинга любого приложения кейлоггер, которое отслеживает нажатия клавиш.
- Он может контролировать все действия удаленно, чтобы вы могли держаться подальше от целевого устройства.
- Это даже идет с функцией скриншота, чтобы собрать клочки свидетельств о действиях целевого пользователя.
03. Norton Power Eraser
Это еще один исключительно удобный и мощный инструмент, который поможет вам легко обнаружить клавиатурные шпионы. Эта программа предлагается вам компанией Norton, которая является надежным поставщиком в области интернет-безопасности. Этот инструмент обладает мощью и сообразительностью для выявления и устранения всех возможных клавиатурных шпионов с вашего компьютера. Кроме того, он может отслеживать и другие шпионские программы, которые не распознаются обычными сканерами. Вобщем, Нортон Power Eraser Это исключительно удобный инструмент для защиты от различных типов угроз.
Особенности Norton Power Eraser
04. Kaspersky Security Scan Anti С Anti Key Logger
Если вы ищете бесплатный, но мощный инструмент в качестве детектора кейлоггер, это идеальный инструмент. It предлагается бесплатно и поставляется с множеством функций для защиты вас от различных программ-шпионов. Он совместим с любой системой Windows, поэтому вам не нужно беспокоиться о его совместимости.
Особенности Kaspersky Security Scan Anti C Anti Key Logger
- Мощный антивирусный движок с отличной производительностью.
- Это совместимо с чьими-либо требованиями.
- Планируемый сканер.
- Никаких конфликтов не возникает из-за других антивирусных программ.
05. McAfee Rootkit Remover
Как и подсказывает название, это средство для удаления руткитов на вашем компьютере, и оно довольно мощное. Это служебное приложение способен избавиться от различных типов вредоносных программ и руткитов на вашем компьютере. Он имеет специальную возможность легко удалять кейлоггеры и защищать вашу конфиденциальность.
Особенности McAfee Rootkit Remover
- Идеально подходит для обнаружения руткитов.
- Быстрая производительность, чтобы сэкономить ваше время;
- Может глубоко проверить ваш компьютер на наличие кейлоггеров и успешно их устранить.
Что ж, это приложения для обнаружения кейлоггеров, которые мы можем использовать для защиты наших компьютеров от потенциальных угроз
Фактически, успешное обнаружение клавиатурных шпионов действительно важно для любого человека, который предпочитает конфиденциальность
Кроме того, здесь все о бесплатный кейлоггер для Android и Spyrix бесплатный кейлоггер для вашей справки.
Как кейлоггеры попадают на ваш компьютер
Лучший способ предотвратить запуск кейлоггера – заблокировать его еще до того, как он будет установлен. Для этого необходимо использовать хорошее антивирусное программное обеспечение.
Типичный способ проникновения кейлоггера на компьютер — как часть трояна. Троян — это вирус, который «притворяется» полезной утилитой. Когда вы загружаете и устанавливаете такое приложение, вместе с ним на компьютер попадает вредоносное программное обеспечение.
Трояны часто состоят из нескольких частей, каждая из которых специализируется на определенной задаче. Исходный троян может работать как загрузчик, который распространяет вирусы. Кейлоггер запишет нажатия клавиш, а другой модуль отправит эту информацию злоумышленнику.
Многие программы отслеживают нажатия клавиш пользователем, поэтому подобная активность часто игнорируется антивирусными программами. Это затрудняет предотвращение проникновения кейлоггеров на компьютер. Единственная надежная защита заключается в том, чтобы не загружать и не устанавливать бесплатное программное обеспечение из подозрительных источников.
Особенность №1: незаметность
Одна из главных особенностей Mipko Personal Monitor — абсолютная незаметность при работе. Программа действует, как невидимка
. И даже опытный пользователь ее не обнаружит.
При этом кейлоггер фиксирует любые действия пользователя на компьютере. Например, общение в icq. Соответствующие отчеты вы получаете на электронную почту. При этом отчеты отправляются напрямую, минуя наши или какие-либо другие промежуточные серверы.
Дополнительно вся информация хранится на жестком диске компьютера. Правда, «закопана» она очень глубоко и точный путь к нужно папке знаете лишь вы. Мало того, все отчеты хранятся в зашифрованном виде и посмотреть их можно лишь через Mipko Personal Monitor.
Сколько места на жестком диске занимают эти отчеты? Столько, сколько вы сами считаете нужным. Соответствующий лимит вы задаете в настройках программы и лимит исчерпан, то кейлоггер просто стирает старые отчеты, записывая вместо них новые.
У меня не происходило никаких интересных историй связанный с программой, но зато она помогает мне найти в истории давно введенные пароли, так вот недавно восстановил доступ к ресурсу (забыл логин). Очень полезная программа, отличная разработка, такую не часто встретишь, а еще у вас отличная техподдержка!
Edward Tarshikov
Рост популярности кейлоггеров у злоумышленников
Популярность кейлоггеров у злоумышленников подтверждают различные компании, работающие в сфере компьютерной безопасности.
В отчете компании VeriSign отмечается, что в последние годы наблюдается бурный рост числа вредоносных программ, имеющих функциональность кейлоггера.
В одном из отчетов компании Symantec сообщается о том, что около половины вредоносного ПО, найденного ее аналитиками за последний год, не представляет прямой угрозы для компьютеров, а используется киберпреступниками с целью сбора персональной информации владельцев ПК.
В соответствии с расчетом, проведенным аналитиком института SANS Джоном Бамбенеком (John Bambenek), только на территории США к концу 2004 года около 10 млн. компьютеров были заражены одной из вредоносных программ, содержащих функции кейлоггера. На основе этого расчета сумма, которую американские пользователи электронных платежных систем рискуют потерять, составляет ни много ни мало 24,3 миллиарда долларов.
«Лаборатория Касперского» постоянно фиксирует появление новых вредоносных программ с функциями клавиатурных шпионов. Одно из первых вирусных предупреждений о вредоносной программе с функцией кейлоггера — троянской программе TROJ_LATINUS.SVR — было опубликовано «Лабораторией Касперского» на специализированном ресурсе www.securelist.com 15 июня 2001 года. После этого стабильно появлялись новые версии кейлоггеров. В настоящий момент в антивирусных базах «Лаборатории Касперского» присутствует информация более чем о 300 семейств специализированных кейлоггеров. В эту цифру не входят кейлоггеры, включенные в сложные вредоносные программы, в которых функциональность клавиатурного шпиона не является главной.
Большинство современных вредоносных программ представляет собой гибридные угрозы, в которых используется множество технологий, поэтому почти в любой категории вредоносных программ могут быть программы, одной из функций которых является слежение за клавиатурным вводом.
SC-KeyLog
Это объемная и функциональная программа шпион, которая распространяется бесплатно.
Помимо отслеживания конкретно информации вводимой с клавиатуры, в состоянии также собирать информацию о кликах мыши, адресах посещенных сайтов, паролях, открытых окнах в браузере.
Дает полную информацию обо всех действиях, производимых на компьютере. При этом формируемый файл можно просмотреть удаленно с другого устройства.
Позитив:
- Возможность удаленного доступа к файлу с другого устройства;
- Отсутствие следов деятельности программы на компьютере при правильных настройках;
- Разнообразие собираемых данных – практически информация обо всех действиях на ПК может быть доступна.
Негатив:
- Сохраняет пароли только не выше NT0;
- Слишком простое меню и неэстетичный дизайн;
- Достаточно неудобный формат отображения результата.
А что же говорят пользователи, которые активно применяют этот софт? «Абсолютна незаметна для пользователя», «Данные исправно приходят на почту».
KGB Spy
KGB Spy – это предельно простой клавиатурный шпион, который, к сожалению, может регистрировать минимальный набор введенной информации. Радует, что утилита работает достаточно стабильно, а ее пользовательский интерфейс ни у кого не вызовет проблем. KGB Spy практически невозможно обнаружить в системе. Утилита распространяется на платной основе.
Плюсы:
- отличается чрезвычайно скрытной работой и высокой стабильностью работы в системе;
- элементарный пользовательский интерфейс;
Минусы:
- платная программа;
- наличие доступного функционала не настолько велико по сравнению с прочими кейлогерами в этом списке.
Посмотрим на концепцию keylogger ‘ов глужбе
Также стоит отметить, что современные клавиатурные шпионы не просто записывают коды вводимых клавиш – они «привязывают» клавиатурный ввод к текущему окну и элементу ввода.
Многие же keylogger’ы отслеживают список запущенных приложений, умеют делать «снимки» экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем.
Записываемая информация сохраняется на диске, и большинство современных клавиатурных шпионов могут формировать различные отчеты (записывая их в специализированный журнал регистрации, т.е Log-файл), могут передавать их по электронной почте или http/ftp-протоколу.
Кроме того, ряд современных keylogger’ов пользуются RootKit-технологиями для маскировки следов своего присутствия в системе.
В общем, вот такая многогранная «зараза», при наличии которой на Вашем компьютере Вы даже чихнуть спокойно не сможете без её ведома 🙂
Примечание:
Стоит сказать, что кейлоггеры довольно древний тип проклятия появились еще во времена MS-DOS – тогда они представляли собой обработчики прерывания клавиатуры размером около 1 кб.
Однако функции клавиатурных шпионов за прошедшее время не изменились, – по-прежнему их первичной задачей является скрытная регистрация клавиатурного ввода с последующей записью собранной информации на диск или передачей по сети.
Вы скажите, что сейчас на рынке куча антивирусных пакетов, как платных, так и бесплатных (о которых мы писали в своих обзорах, это и ] и ] и т.п.), неужели так сложно отловить какой-то «неказистый» клавиатурный шпион?
Порой-таки да, сие весьма проблематично, ибо с точки зрения антивируса это не вирус (т.к. он не обладает способностью к размножению) и не троянская программа, поэтому многие «защитники» если и ловят кейлоггеры, то только со специальной, расширенной базой и дополнительными модулями, на то нацеленными.
Другая проблема связана с тем, что кейлоггеров известно превеликое множество (да и написать его не составляет особого труда) — как следствие, сигнатурный поиск против них малоэффективен.
Однако все это вовсе не означает, что надо повесить нос, опустить руки и жить в симбиозе с этими клавиатурными «паразитами», надо просто знать принципы их работы и на основании этого грамотно выстраивать свои действия, ну и обзавестись специализированным софтом также не помешает. Начнем с принципов, которые используют (или могут потенциально использовать) клавиатурные шпионы.
SPYGO
Это принципиально новый кейлогер, предназначенный для работы на платформе Windows и разработанный российским программистом.
Позиционируется не как хакерское средство, а как законное средство мониторинга, потому его использование вполне законно.
Особенность программы в том, что она достаточно легко обнаруживается и это надо учитывать.
Но именно за счет этого и остается относительно законной. Имеется несколько версий с более или менее продвинутым и разнообразным функционалом.
Позитив:
- Легальность – это не шпионское ПО, а легальное средство мониторинга;
- Не внесена в базы антивирусов и разработчик всячески этого избегает;
- Способность копировать и записывать отдельные фразы, отлавливая их по ключевым словам.
Free Keylogger
Price: FreeSystem requirements: Windows 10/8/7/Vista/2003/XPDownload Free version: https://free-keylogger.en.softonic.com/
Despite its generic name, Free Keylogger boats a number of unique features that make it stand out as an excellent keylogger for Windows. For starters, it can decipher long strings of keystrokes and make them readable with its Easy Read feature. It can also monitor only selected applications, which can significantly reduce the number of captured keystrokes and thus make it easier to find meaningful information. Last but not least, Free Keylogger can be configured to automatically uninstall itself to elegantly get rid of all evidence of keystroke recording.
Refog Free Keylogger
Совместимость: Windows, MacOSБесплатная версия: бесплатный кейлоггер – с ограниченными возможностями по работе софта, платный вариант полнофункциональныйФункциональность: контроль за компьютерами сотрудников в аспекте использования клавиатуры
Типичная система для записи действий мыши и клавиатуры. От мыши фиксируются только клики и запуск программ. Сама отслеживающая программа используется для считывания паролей с клавиатуры, мониторинга переписки на веб-ресурсах, в соцсетях и мессенджерах. Лучшим кейлоггером для контроля сотрудников Refog не считается, но оптимален для бытового применения. Он точно обозначит, какие кнопки нажимал ребенок, какие получал сообщения. Входящая текстовая информация не логируется, но система может делать скриншоты. Фиксируется запуск игр, иных приложений, поисковые запросы, переходы на сетевые ресурсы, вход и выход из системы. В дополнение к фиксации ввода с клавиатуры программа кейлоггер может записывать голос в приложениях, например, в Skype.
SC-KeyLog
SC-KeyLog – это простой, но функциональный кейлогер, который может собирать информацию не только о нажатиях клавиш на клавиатуре, но и о нажатиях на кнопки мыши. Помимо прочего, SC-KeyLog запросто может собирать дополнительную информацию с браузера. Также стоит упомянуть, что с созданным файлом можно ознакомиться удаленно при помощи других доступных вам ПК.
Плюсы:
- может собирать различные типы данных;
- довольно простой пользовательский интерфейс и общий дизайн
- при использовании в системе не будет оставаться следов работы;
- с созданным файлом можно совершенно спокойно ознакомиться в удаленном режиме при помощи другого компьютера.
Минусы:
- к сожалению, не сможет сохранять пароли выше NT0;
- читать собранные данные достаточно неудобно.
Что такое кейлоггер?
Кейлоггеры также известны как регистраторы нажатий клавиш. Они запускаются сразу после старта операционной системы. Кейлоггер записывает каждое нажатие любой клавиши или только те, которые будут сделаны в определенных полях на сайтах.
Кейлоггеры могут встраиваться в операционную систему компьютера. Этот тип вредоносных программ называют руткитами. Существуют кейлоггеры, которые могут работать и на более низком уровне. Например, он может добавиться в браузер как скрытое расширение.
Существует множество сценариев работы кейлоггеров. Особенно сложно противодействовать руткит. Антивирусные программы обычно не могут добраться до этого уровня, и поэтому подобные клавиатурные шпионы продолжают работать без каких-либо помех.
Виды кейлоггеров в зависимости от способа установки и собираемых данных
В персональный компьютер своей «жертвы» клавиатурные шпионы могут попадать различными способами и быть ориентированными на сбор различных данных.
В зависимости от этого выделяют акустические, аппаратные и программные кейлоггеры.
Акустический кейлоггер используется сравнительно редко. Основное назначение этого устройства — запись звуков нажатия клавиш,
из различий в тональности звучания которых можно восстановить последовательность набранных символов. Имеет значение и скорость нажатий, она
также анализируется как дополнительный фактор для извлечения конфиденциальных сведений. Минус таких кейлоггеров — это объемные файлы протоколов,
по которым их можно обнаружить, поскольку данный вид перехватчиков вынужден записывать много сопутствующей информации, чтобы облегчить последующую
расшифровку.
Аппаратный кейлоггер представляет собой устройство, которое физическим образом внедряется в компьютер пользователя, после чего
начинает перехват нажатий клавиш. Примерами таких устройств могут служить накладки на клавиатуры банкоматов, встраиваемые в материнскую плату
«жучки» или незаметные переходники, которые вставляются в разъем на клавиатуре
Основное назначение эргономики таких кейлоггеров — это их незаметность:
они имеют малый размер или изготавливаются так, чтобы не привлекать к себе внимание, маскируясь под другое устройство. Аппаратные кейлоггеры
невозможно обнаружить с помощью антивируса, выявить их поможет только внимательный осмотр техники специалистом или даже ее рентгеновское просвечивание.
Минусы у таких устройств тоже имеются: чтобы внедрить аппаратный кейлоггер в целевой компьютер, злоумышленник должен обеспечить себе к нему
доступ, что сузит круг подозреваемых, если факт существования «жучка» будет раскрыт, акцентировав подозрения на коллегах, сервисном персонале
или недавних посетителях
К аппаратным кейлоггерам с небольшой натяжкой можно отнести и мини-камеры, которыми похитители пин-кодов оснащают банкоматы
для получения доступа к чужим банковским картам.
Программный кейлоггер — это шпионское программное обеспечение, которое устанавливается на компьютер пользователя при посещении
зараженного сайта или общедоступного сетевого хранилища, а также при открытии вложения из зараженного письма в электронной почте, которое может
совсем не походить на спам, а маскироваться под важную деловую рассылку. Такие перехватчики иногда встраиваются во вполне безобидные программы,
которые пользователь скачивает из сети или загружает с внешнего носителя. Существуют и официальные лицензионные разработки, которые поставляются
как дополнение к операционной системе и призваны упростить работу пользователя: вовремя автоматически переключить раскладку клавиатуры, напомнить
забытый пароль или помочь восстановить важные данные.
Если целью программного кейлоггера является скрытый сбор данных, то он работает незаметно для пользователя, не отображаясь в списке запущенных
программ. Выявить шпиона бывает непросто даже современным антивирусным системам, хотя рано или поздно он обнаруживает себя, пытаясь переслать
накопленные данные своему владельцу.
Возможности программных кейлоггеров значительно превышают простой сбор данных о нажатиях клавиш, и включают в себя копирование файлов и писем,
протоколирование информации об использовании браузера, запись последовательности обращений к периферическим устройствам, скриншоты экрана и
многое другое.
Кейлоггеры могут хранить свои лог-файлы в оперативной памяти зараженного компьютера, на его жестком диске, на выделенном участке локальной сети,
в реестре или на удаленном сервере. Передаваться заинтересованному лицу они могут путем отправки по электронной почте, размещения на FTP- или
HTTP-сервере либо по беспроводным каналам связи. В случае аппаратного кейлоггера считывание накопленных данных возможно после его физического
извлечения.
Выводы
В данной статье мы рассмотрели принципы построения и использования кейлоггеров — программных и аппаратных средств, используемых для мониторинга нажатия клавиш клавиатуры.
- Несмотря на то что производители кейлоггеров позиционируют их как легальное ПО, большинство кейлоггеров может быть использовано для кражи персональной информации пользователей и осуществления экономического и политического шпионажа.
- В настоящее время кейлоггеры, наряду с фишингом и методами социальной инженерии, являются одним из главных методов электронного мошенничества.
- Компании, работающие в сфере компьютерной безопасности, фиксируют стремительный рост числа вредоносных программ, имеющих функциональность кейлоггера.
- Отмечается тенденция добавления в программные кейлоггеры rootkit-технологий, назначение которых — скрыть файлы кейлоггера так, чтобы они не были видны ни пользователю, ни антивирусному сканеру.
- Обнаружить факт шпионажа с помощью кейлоггеров можно только с использованием специализированных средств защиты.
- Для защиты от кейлоггеров следует использовать многоуровневую защиту:
- традиционные антивирусные продукты, в которых необходимо включить функцию детектирования потенциально опасного программного обеспечения (во многих продуктах по умолчанию отключена);
- средства проактивной защиты — для защиты от новых модификаций кейлоггеров;
- виртуальную клавиатуру или системы генерации одноразовых паролей для защиты от программных и аппаратных кейлоггеров.
Продолжение: Клавиатурные шпионы. Варианты реализации кейлоггеров в ОС Windows. Часть II
Заключение
Клавиатурный шпион не является вирусом, но, тем не менее, представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя. Опасность клавиатурного шпиона может существенно возрасти при его сочетании с RootKit-технологией, которая позволит замаскировать присутствие клавиатурного шпиона. Еще более опасной является троянская или backdoorпрограмма, содержащая клавиатурный шпион – его наличие существенно расширяет функции троянской программы и ее опасность для пользователя.