چگونه از خود در برابر کی لاگر محافظت کنیم Keylogger (کی لاگر) چیست و چگونه داده های ورودی را رهگیری کنیم

روز بخیر، برای همه کسانی که به "نور" ما آمدند. امروز ما صحبت خواهیم کرددر مورد آنچه هست کی لاگرو در واقع چگونه کار می کند.

امروز ما در مورد "بدافزار" معمولی معروف (و غیره) صحبت نخواهیم کرد، بلکه در مورد یک عفونت ناآشنا (برای طیف گسترده ای از کاربران) اما نه کمتر از سایرین خطرناک است.

فهمیدن اینکه چیست، چرا به آنها نیازی ندارند (چقدر خطرناک هستند)، چه چیزی هستند و چگونه با آنها برخورد کنیم، یک هدف واقعاً ارزشمند است که امروز باید به آن تسلط پیدا کنیم.

خب، پایان کار نیست، آستین ها را بالا بزن و برو.
خواندن.

مقدماتی

من فکر می کنم کسانی از شما که با زبان انگلیسی دوست هستید قبلاً این را حدس زده اید کی لاگر(در ترجمه، از مخفف ثبت صفحه کلید) یعنی - ضبط کننده صفحه کلید، می توان گفت که این درست است، اما نام رسمی آنها (طبق علم) کی لاگرها.

این "شر" متعلق به کلاس - نرم افزارهای جاسوسی، یعنی. با قرار گرفتن بر روی رایانه (لپ تاپ / نت بوک / تبلت و غیره) کاربر، اعمال کثیف خود - عملکردهای جاسوسی را بدون اطلاع، رضایت و مشارکت شما انجام می دهد.

چیزی شبیه این به نظر می رسد:

شما چیزی را وصل نکردید مثلاً از خدمات اضافیخود اپراتور تلفن همراهو به طور کلی شما چیزی در مورد این خدمات نمی دانید، با این حال، پول موجودی شما به آرامی از بین می رود و به جایی که باید باشد می رود.

به طور کلی، اکثر کاربران دست کم می گیرند کی لاگربه عنوان یک طبقه از تهدیدات، اما در عین حال خطر جدی را به همراه دارد، زیرا هدف اصلی آن ذخیره و انتقال لاگین از حساب های کاربری، کیف پول و غیره است.

در حقیقت، کی لاگرتمام اقدامات کاربر روی صفحه کلید را می گیرد، یعنی. این یک نوع "تکرار کننده" (تکرار کننده) است که در هر لحظه آماده است تا همه چیزهایی را که برای شما ثابت کرده است "ادغام" کند (در جایی که به دنبال آن است).

می توان از رهگیری ضربه زدن به کلید استفاده کرد برنامه های منظمو اغلب برای فراخوانی توابع برنامه از برنامه دیگری با استفاده از "کلیدهای داغ" ( کلیدهای میانبر) یا، برای مثال، برای تغییر طرح صفحه کلید اشتباه (مانند کیبورد نینجا).

بیایید به مفهوم کی لاگر به طور عمیق نگاه کنیم

همچنین شایان ذکر است که کی لاگرهای مدرن فقط کدهای کلیدهای وارد شده را ضبط نمی کنند - آنها ورودی صفحه کلید را به پنجره فعلی و عنصر ورودی "پیوند" می کنند.

زیاد کی لاگرلیست آهنگ در حال اجرا برنامه ها، قادر به گرفتن "عکس های فوری" از صفحه نمایش بر اساس یک برنامه یا رویداد معین، جاسوسی از محتویات کلیپ بورد و حل تعدادی از وظایف با هدف ردیابی مخفیانه کاربر است.

اطلاعات ضبط شده روی دیسک ذخیره می شود و اکثر کی لاگرهای مدرن می توانند گزارش های مختلفی تولید کنند (با نوشتن آنها در یک گزارش تخصصی، به عنوان مثال. ورود به سیستم-file) می تواند آنها را انتقال دهد یا http/ .

علاوه بر این، تعدادی از مدرن کی لاگرلذت می برد RootKit-فناوری هایی برای پوشاندن آثار حضور آنها در سیستم.

به طور کلی ، در اینجا چنین "عفونت" چند وجهی وجود دارد که در صورت وجود آن در رایانه خود حتی نمی توانید بدون اطلاع آن با آرامش عطسه کنید :)

توجه داشته باشید:
شایان ذکر است که کی لاگرها، نوع نسبتاً باستانی نفرین، در روزگار ما ظاهر شدند MS-DOS- سپس آنها کنترل کننده وقفه های صفحه کلید بودند 1 کیلوبایت

با این حال، عملکرد کی لاگرها در طول زمان گذشته تغییر نکرده است - وظیفه اصلی آنها هنوز ثبت مخفیانه است ورودی صفحه کلیدبا ضبط بعدی اطلاعات جمع آوری شده روی دیسک یا انتقال از طریق شبکه.

شما می گویید که تعداد زیادی وجود دارد بسته های آنتی ویروس، هم پولی و هم رایگان (که در بررسی های خود نوشتیم، این و آن و غیره)، آیا واقعاً گرفتن نوعی کی لاگر "زشت" بسیار دشوار است؟

گاهی اوقات، بله، این بسیار مشکل ساز است، زیرا از نظر یک آنتی ویروس، این یک ویروس نیست (چون توانایی تولید مثل ندارد) و نه تروجان، بسیاری از "مدافعان" اگر کی لاگرها را بگیرند، فقط با یک پایگاه ویژه و توسعه یافته و ماژول های اضافی برای آن هدف قرار می گیرند.

مشکل دیگر به این واقعیت مربوط می شود که تعداد زیادی کی لاگر وجود دارد (و نوشتن یکی دشوار نیست) - در نتیجه جستجوی امضا در برابر آنها بی اثر است.

به طور کلی، تعداد زیادی گزینه برای پیاده سازی یک کی لاگر وجود دارد، اما همه آنها دارند اصل کلیکار مقدمه ای برای انتقال سیگنال از فشار دادن یک کلید تا ظاهر شدن یک شخصیت روی صفحه است.

رایج ترین گزینه پیاده سازی یک کی لاگر است که تله های صفحه کلید، قلاب ها را نصب می کند (در بوکس کاری با پانچ وجود ندارد :)).

V پنجره هاقلاب مکانیزمی برای رهگیری پیام های سیستمی است که از یک عملکرد ویژه استفاده می کند:

• این تابع از مکانیزم استفاده می کند Win32API. اکثر کی لاگرهای این نوع از هوک استفاده می کنند WH_Keyboard;
• به جز قلاب WH_KEYBOARDاز قلاب نیز استفاده کنید WH_JOURNALRECORD;
• تفاوت آنها در این است WH_JOURNALRECORDبه یک کتابخانه پویا جداگانه نیاز ندارد ( DLL) که توزیع این ضایعات را در شبکه ساده می کند.

قلاب های صفحه کلید اطلاعات را از صف ورودی سخت افزار سیستم واقع در آن می خوانند فرآیند سیستم. این روش به دلیل این واقعیت است که تله فیلتر به شما امکان می دهد کاملاً تمام ضربه های کلید را متوقف کنید ، محبوبیت خاصی پیدا کرده است ، زیرا قلاب تمام جریان های سیستم را کنترل می کند.

همچنین، برای ایجاد چنین جاسوسی لازم نیست دانش خاصجدا از دانش ویژوال C++یا دلفیو Win32API. با این حال، استفاده این روشبرنامه نویس هکر را مجبور به ایجاد یک جداگانه می کند کتابخانه پویا DLL.

شایان ذکر است که تکنیک تله بسیار ساده و موثر است، اما دارای معایبی است. اولین عیب این است که DLLبا یک تله در فضای آدرس همه منعکس شده است رابط کاربری گرافیکی-فرآیندهایی که می توانند برای شناسایی کی لاگر استفاده شوند.

تنوع 2. نظرسنجی دوره ای از وضعیت صفحه کلید

روش مسخره بدوی، که شامل نظرسنجی چرخه ای وضعیت صفحه کلید با سرعت بالا. این روشنیازی به اجرا ندارد DLL v رابط کاربری گرافیکی-روندها، و در نتیجه جاسوس کمتر قابل توجه است.

نقطه ضعف این نوع کی لاگرها نیاز به نظرسنجی دوره ای وضعیت صفحه کلید با مقدار کافی است. سرعت بالا، نه کمتر 10-20 نظرسنجی در ثانیه

این روش توسط برخی استفاده می شود محصولات تجاری.

تنوع 3. Keylogger مبتنی بر درایور

این روش در مقایسه با روش هایی که در بالا توضیح داده شد مؤثرترین است. حداقل دو گزینه برای اجرای این روش وجود دارد - نوشتن و صفحه کلید به جای استاندارد یا نصب درایور فیلتر. این روش (و همچنین قلاب) یک روش مستند برای نظارت بر ورودی صفحه کلید است.

به طور کلی، برای سهولت در پیمایش اینکه کدام کی لاگرها محبوب ترین هستند، درصدی تقریبی از شیوع آنها را ارائه می کنم (تصویر بالا را ببینید).

تنوع 4. روت کیت جاسوسی

قابل اجرا به عنوان حالت کاربرو در حالت هسته ( KernelMode). V حالت کاربرردیابی ورودی صفحه کلید را می توان با رهگیری تبادل فرآیند ایجاد کرد csrss.exeدرایور صفحه کلید یا استفاده از ردیابی تماس APIتوابع نوع GetMessageو پیک پیام.

در بسیاری از موارد حتی صفحه کلید نمایشی، که اغلب به عنوان نوشدارویی برای هر نوع کی لاگر تبلیغ می شود.

دستگاه های صفحه کلید سخت افزاری

V سال های گذشتهتوسعه وحشتناک، اندازه مینیاتوری و هوش فوق العاده ای دریافت کرد. از نظر ظاهری گاهی اوقات به سختی می توان متوجه آنها شد، کمتر اوقات - تشخیص از یک درایو فلش، و در مورد دستگاه های خودپرداز، آنها معمولاً فقط توسط یک متخصص قابل تشخیص هستند.

در نسخه قدیمی چیزی شبیه به این بود:

یعنی علاوه بر ابزارهای نرم افزاری برای جاسوسی از کار کاربر، ابزارهای سخت افزاری نیز وجود دارند که یک مزیت بدون شک دارند - با روش های نرم افزاری قابل شناسایی نیستند.

گزینه های پیاده سازی برای کی لاگرهای سخت افزاری:

• نصب دستگاه ردیابی در "شکاف" کابل صفحه کلید؛
• تعبیه یک دستگاه ردیابی در صفحه کلید؛
• نصب و راه اندازی یو اس بی-دستگاه هایی مانند "درایوهای فلش"، کارت های حافظه و غیره؛
• "مشاهده" بصری صفحه کلید / صفحه نمایش؛
• دیگر.

خوب است، اینطور نیست؟ باید اعتراف کرد که چنین گلی مخرب ترین است، اما کاشت آن نیز تا حدودی دشوارتر است - نیاز به دسترسی فیزیکی مستقیم به دستگاه دارد.

کمی در مورد دفاع پیشگیرانه

رایج ترین راه حل استفاده از سیستم های دفاعی فعال است که می توانند به کاربر در مورد نصب یا فعال سازی کی لاگرهای نرم افزار هشدار دهند.

عیب اصلی این روش نیاز به مشارکت فعال کاربر برای تعیین است اقدامات بیشتربا کد مشکوک

• اگر کاربر از لحاظ فنی به اندازه کافی آموزش ندیده باشد، کی لاگر ممکن است به دلیل تصمیم ناکارآمد او نادیده گرفته شود.
• اگر مشارکت کاربر در تصمیم گیری توسط سیستم پدافند پیشگیرانه به حداقل برسد، آنگاه کی لاگرممکن است به دلیل یک خط مشی امنیتی سیستم به اندازه کافی سفت و سخت نادیده گرفته شود.

این چنین شمشیر دو لبه است. و بیایید کمی بیشتر برجسته کنیم.

صفحه کلید مجازی به عنوان یک راه حل

آخرین روش در نظر گرفته شده برای محافظت در برابر کی لاگرهای نرم افزاری و سخت افزاری استفاده از صفحه کلید مجازی است.

صفحه کلید مجازیبرنامه ای است که یک تصویر را روی صفحه نمایش می دهد صفحه کلید معمولی، که در آن ماوس می تواند کلیدهای خاصی را "فشار" کند.

به طور کلی، صفحه کلید روی صفحه نمایش بدجوریبرای فریب کی لاگرها قابل استفاده است، زیرا نه به عنوان وسیله ای برای محافظت، بلکه به عنوان وسیله ای برای کمک به افراد ایجاد شده است. معلولو انتقال داده ها پس از تایپ با این صفحه کلید به راحتی توسط بدافزار رهگیری می شود.

از صفحه کلید روی صفحه می توان برای دور زدن استفاده کرد کی لاگربا این حال، باید توسعه یابد به شکلی خاص، به استثنای رهگیری داده های ورودی در هر مرحله از ورودی و انتقال آنها (به عنوان یک قاعده، از الگوریتمی برای تغییر موقعیت دکمه ها و اعداد و همچنین رمزگذاری نتیجه نهایی استفاده می شود).

در فوریه 2005، جو لوپز، تاجر فلوریدا، علیه بانک آمریکا شکایت کرد: هکرهای ناشناس 90000 دلار از یک تاجر آمریکایی از حساب بانکی او در بانک آمریکا سرقت کردند که به نحوی به لتونی منتقل شد.

در نتیجه بررسی ها، مشخص شد که ویروس Backdoor.Win32.Apdoor (Backdoor.Coreflood) در رایانه لوپز وجود دارد که همه چیز را ضبط می کند. فشارهای صفحه کلیدکاربر و آنها را از طریق اینترنت برای مهاجمان ارسال می کند. به این ترتیب بود که رمز عبور و ورود جو لوپز که به طور مرتب از طریق اینترنت با حساب بانک آمریکا کار می کرد به دست هکرها رسید.

با این حال، دادگاه با اشاره به اینکه آقای لوپز از اقدامات احتیاطی اولیه در هنگام کار با خود غفلت کرده است، خسارت شاکی را رد کرد. حساب بانکیاز طریق اینترنت: شناسایی ویروس مشخص شده به آن اضافه شده است پایگاه داده های ضد ویروستقریبا تمام تولید کنندگان نرم افزار ضد ویروس در سال 2003.

ناپدید شدن 90 هزار دلار از حساب جو لوپز توسط یک کی لاگر معمولی کمک شد.

کی لاگر چیست؟

کی لاگر از انگلیسی ترجمه شده یک ضبط کننده ضربه زدن به کلید است. در اکثر منابع، می توانید تعریف زیر را از کی لاگر بیابید: کی لاگر (کی لاگر) - نرم افزار، که هدف اصلی آن نظارت پنهانی ضربات کلید و نگه داشتن گزارشی از آن ضربه های کلید است. این تعریف کاملاً صحیح نیست، زیرا هم نرم افزار و هم سخت افزار می توانند به عنوان کی لاگر استفاده شوند. کی لاگرهای سخت افزاری بسیار کمتر از کی لاگرهای نرم افزاری رایج هستند، اما زمانی که محافظت می شوند اطلاعات مهمآنها هرگز نباید فراموش شوند.

رهگیری ضربه زدن به کلید را می توان توسط برنامه های معمولی استفاده کرد و اغلب برای فراخوانی توابع برنامه از یک برنامه دیگر با استفاده از کلیدهای میانبر یا، به عنوان مثال، برای تغییر چیدمان اشتباه صفحه کلید (مانند Keyboard Ninja) استفاده می شود. نرم افزارهای قانونی زیادی وجود دارد که توسط مدیران برای نظارت بر کارهایی که یک کارمند در طول روز انجام می دهد یا برای نظارت بر فعالیت کاربر استفاده می شود. غریبه هادر کامپیوتر شما. با این حال، مرز بین استفاده «مشروع» از نرم‌افزار «قانونی» و استفاده از آن برای مقاصد مجرمانه کجاست؟ همان نرم افزار "قانونی" اغلب برای سرقت عمدی داده های مخفی کاربر - به عنوان مثال، رمزهای عبور - استفاده می شود.

بسیاری از موجود این لحظهکی لاگرها "قانونی" در نظر گرفته می شوند و آزادانه فروخته می شوند، زیرا توسعه دهندگان دلایل زیادی را برای استفاده از کی لاگرها اعلام می کنند، به عنوان مثال:

• برای والدین: ردیابی فعالیت های کودکان در اینترنت و هشدار به والدین در صورت تلاش برای ورود به سایت های "برای بزرگسالان" (کنترل والدین).
• برای همسران حسود: ردیابی اقدامات همسر خود در وب در صورت مشکوک شدن به "خیانت مجازی"؛
• برای سرویس امنیتی سازمان: ردیابی حقایق سوء استفاده از رایانه های شخصی، استفاده از آنها در زمان غیر کاری;
• برای سرویس امنیتی سازمان: ردیابی حقایق تایپ کلمات و عبارات مهم بر روی صفحه کلید که اسرار تجاری سازمان را تشکیل می دهند و افشای آنها می تواند منجر به آسیب مادی یا دیگر به سازمان شود.
• برای خدمات مختلفامنیت: تجزیه و تحلیل و بررسی حوادث مربوط به استفاده از رایانه های شخصی.
• دلایل دیگر.

با این حال، این بیشتر یک حالت عادی است تا یک وضعیت عینی، زیرا راه های دیگری برای حل همه این کارها وجود دارد، و هر کی لاگر قانونی را می توان برای اهداف مخرب استفاده کرد، و در در این اواخردقیقاً سرقت اطلاعات از کاربران سیستم های پرداخت آنلاین مختلف است که متأسفانه به کاربرد اصلی کی لاگرها تبدیل شده است (برای همین منظور، کی لاگرهای جدید تروجان به طور مداوم توسط ویروس نویسان در حال توسعه هستند).

علاوه بر این، بسیاری از کی لاگرها خود را در سیستم پنهان می کنند (به دلیل اینکه عملکردهای روت کیت دارند)، که استفاده از آنها را برای اهداف مجرمانه بسیار تسهیل می کند. چنین استفاده ای کار شناسایی کی لاگرها را به یکی از اولویت ها تبدیل می کند شرکت های آنتی ویروس. در طبقه بندی بد افزارآزمایشگاه کسپرسکی دارای دسته ویژه تروجان-جاسوسی است ( نرم افزارهای جاسوسی) که شامل برنامه های حاوی توابع کی لاگر است. به گفته Trojan-Spy، «این تروجان‌ها جاسوسی الکترونیکی انجام می‌دهند: اطلاعات وارد شده از صفحه‌کلید رایانه آلوده، تصاویر صفحه، فهرستی از برنامه های کاربردی فعالو اقدامات کاربر با آنها در یک فایل روی دیسک ذخیره می شود و به صورت دوره ای برای مهاجم ارسال می شود.

چرا کی لاگرها خطرناک هستند؟

بر خلاف انواع دیگر نرم افزارهای مخرب، کی لاگر برای سیستم کاملاً ایمن است. با این حال، می تواند برای کاربر بسیار خطرناک باشد: یک کی لاگر می تواند رمزهای عبور و موارد دیگر را رهگیری کند اطلاعات محرمانهتوسط کاربر با استفاده از صفحه کلید وارد می شود. در نتیجه، مهاجم کدها و شماره حساب‌ها در سیستم‌های پرداخت الکترونیکی، رمز عبور حساب‌ها در بازی‌های آنلاین، آدرس‌ها، لاگین‌ها، رمز عبور سیستم‌ها را می‌آموزد. پست الکترونیکو غیره.

پس از دریافت اطلاعات محرمانه کاربر، مهاجم نه تنها می تواند به سادگی از حساب بانکی خود پول انتقال دهد یا استفاده کند حسابکاربر در یک بازی آنلاین متأسفانه، در دسترس بودن چنین داده هایی در برخی موارد می تواند منجر به عواقبی جدی تر از از دست دادن مقدار معینی از پول شود. شخص خاص. استفاده از کی لاگرها به شما امکان می دهد جاسوسی اقتصادی و سیاسی انجام دهید، به اطلاعاتی دسترسی پیدا کنید که نه تنها تجاری، بلکه همچنین راز دولتیو همچنین به خطر انداختن سیستم های امنیتی مورد استفاده توسط نهادهای تجاری و دولتی (به عنوان مثال، با سرقت کلیدهای خصوصیدر سیستم های رمزنگاری).

کی لاگرها، همراه با فیشینگ و روش ها مهندسی اجتماعی(به مقاله "سرقت اموال در شبکه های کامپیوتری" مراجعه کنید)، در حال حاضر یکی از روش های اصلی کلاهبرداری الکترونیکی هستند. با این حال، اگر در مورد فیشینگ، یک کاربر هوشیار بتواند از خود محافظت کند - ایمیل‌های آشکارا فیشینگ را نادیده بگیرد، داده‌های شخصی را در صفحات وب مشکوک وارد نکند - در مورد کیلاگرها، تشخیص واقعیت جاسوسی در سایر موارد تقریبا غیرممکن است. راهی نسبت به استفاده از ابزارهای حفاظتی تخصصی.

کی لاگر نرم افزاری

• انگلیسی کی لاگر
• انگلیسی کی لاگر
• انگلیسی صفحه کلید
• انگلیسی ضبط کننده کلید
• انگلیسی تله کلید
• انگلیسی برنامه ضبط کلید
• انگلیسی جادوگر کلید
• روسی کی لاگر

کی لاگر سخت افزاری

• انگلیسی دستگاه ضبط ضربه کلید
• انگلیسی کی لاگر سخت افزاری
• روسی کی لاگر سخت افزاری

انواع اطلاعات قابل کنترل

• زدن کلید روی صفحه کلید
• فشار دادن دکمه ماوس
• تاریخ و زمان فشار دادن

طبقه بندی

نوع

کی لاگرهای نرم افزاریمتعلق به آن گروه است محصولات نرم افزاری، که بر فعالیت های کاربر رایانه شخصی کنترل دارند. در ابتدا، محصولات نرم افزاری از این نوع صرفاً برای ضبط اطلاعات مربوط به ضربه های صفحه کلید، از جمله موارد سیستم، در یک فایل لاگ تخصصی (فایل Log) در نظر گرفته شده بود که متعاقباً توسط شخصی که این برنامه را نصب کرده بود مورد مطالعه قرار گرفت. فایل گزارش می تواند از طریق شبکه ارسال شود درایو شبکه, سرور ftpدر اینترنت، از طریق ایمیل و غیره در حال حاضر، محصولات نرم افزاری که این نام را "به روش قدیمی" حفظ کرده اند، عملکرد زیادی دارند ویژگی های اضافی- این رهگیری اطلاعات از ویندوز، رهگیری کلیک های ماوس، رهگیری کلیپ بورد، "عکاسی" اسکرین شات ها و ویندوزهای فعال، ثبت کلیه ایمیل های دریافتی و ارسالی، نظارت بر فعالیت فایل ها، نظارت رجیستری سیستم، نظارت بر صف کارهای ارسال شده به چاپگر، ضبط صدا از میکروفون و ویدیو از وب کم متصل به رایانه و غیره، یعنی. آنها در واقع به یک کلاس کاملاً متفاوت از محصولات نرم افزاری، یعنی نظارت بر محصولات نرم افزاری تعلق دارند.

کی لاگرهای سخت افزاریدستگاه های کوچکی هستند که می توانند بین صفحه کلید و کامپیوتر وصل شوند یا در خود کیبورد تعبیه شوند. آنها تمام کلیدهای ایجاد شده روی صفحه کلید را ثبت می کنند. فرآیند ثبت نام کاملاً نامرئی است کاربر نهایی. کی لاگرهای سخت افزاری برای رهگیری موفقیت آمیز تمامی ضربه های کلید، نیازی به نصب برنامه روی رایانه ندارند. وقتی یک keylogger سخت افزاری متصل است، اصلاً مهم نیست که رایانه در چه وضعیتی است - روشن یا خاموش. زمان کار آن محدود نیست، زیرا. برای عملکرد خود به منبع برق اضافی نیاز ندارد. حافظه داخلی غیر فرار این دستگاه ها به شما امکان می دهد تا حداکثر 20 میلیون ضربه کلید و با پشتیبانی از یونیکد ضبط کنید. این دستگاه‌ها را می‌توان به هر شکلی ساخت، به‌طوری‌که گاهی حتی یک متخصص هم نمی‌تواند حضور آن‌ها را مشخص کند ممیزی اطلاعات. بسته به محل اتصال، کی لاگرهای سخت افزاری به خارجی و داخلی تقسیم می شوند.

کی لاگرهای صوتیدستگاه های سخت افزاری هستند که ابتدا صداها را ضبط می کنند، توسط کاربر ایجاد شده استبا فشار دادن کلیدهای روی صفحه کلید کامپیوتر، و سپس تجزیه آن صداها و تبدیل آنها به فرمت متن.

با توجه به محل فایل لاگ

• HDD
• حافظه
• ثبت
• به اشتراک گذاشته شده، یعنی درایو شبکه مشترک
• سرور راه دور

با روش ارسال لاگ فایل

• ایمیل (بدون دخالت کاربر)
• ftp (بدون دخالت کاربر)
• http (https- ارتباط امناز طریق اینترنت) (بدون دخالت کاربر)
• هر گزینه ارتباطات بی سیم(باند رادیویی، باند مادون قرمز، بلوتوث، وای فای و غیره)
• از طریق شبکه محلی

با روش کاربرد

فقط روش استفاده از کی لاگرها (از جمله محصولات سخت افزاری یا نرم افزاری که شامل کی لاگر به عنوان یک ماژول هستند) به شما امکان می دهد خط بین مدیریت امنیت و نقض امنیتی .

استفاده غیر مجاز- نصب کی لاگر (از جمله محصولات سخت افزاری یا نرم افزاری که شامل کی لاگر به عنوان یک ماژول است) بدون اطلاع مالک (مدیر امنیتی) انجام می شود. سیستم خودکاریا بدون اطلاع صاحب یک کامپیوتر شخصی خاص. کی لاگرهای غیرمجاز (نرم افزار یا سخت افزار) به عنوان دستگاه های جاسوسی یا جاسوسی نامیده می شوند. استفاده غیرمجاز معمولاً با فعالیت غیرقانونی (فعالیت غیرقانونی) همراه است. به عنوان یک قاعده، محصولات جاسوس‌افزار نصب‌شده غیرمجاز، قابلیت پیکربندی و دریافت فایل اجرایی «بسته‌ای» را دارند که هیچ پیامی را در حین نصب نمایش نمی‌دهد و پنجره‌ای روی صفحه ایجاد نمی‌کند و همچنین دارای ابزار داخلی برای تحویل و نصب از راه دور است. ماژول پیکربندی شده در رایانه کاربر، به عنوان مثال. فرآیند نصب بدون دسترسی فیزیکی مستقیم به رایانه کاربر انجام می شود و اغلب به حقوق مدیر سیستم نیاز ندارد.

استفاده مجاز- نصب کی لاگر (شامل محصولات سخت افزاری یا نرم افزاری که شامل کی لاگر به عنوان یک ماژول است) با آگاهی مالک (مدیر امنیتی) سیستم خودکار یا با آگاهی صاحب یک رایانه شخصی خاص انجام می شود. کی لاگرهای مجاز (نرم افزار یا سخت افزار) به عنوان محصولات نرم افزاری نظارتی شناخته می شوند. نرم افزار نظارت بر کارکنان، نرم افزار کنترل والدین، نرم افزار کنترل دسترسی، برنامه های امنیتی پرسنل به عنوان یک قاعده، محصولات نرم افزاری مجاز نیاز به دسترسی فیزیکی به رایانه کاربر و حقوق اجباری سرپرست برای پیکربندی و نصب دارند.

برای گنجاندن در پایگاه های داده امضا

شناخته شده کی لاگرها این دسته شامل کی لاگرهایی است که امضای آنها قبلاً در پایگاه داده امضای اصلی گنجانده شده است تولید کنندگان معروفمحصولات نرم افزاری ضد جاسوس افزار و/یا محصولات نرم افزاری ضد ویروس.

ناشناخته کی لاگرها این دسته شامل کی لاگرهایی می شود که امضای آنها در پایگاه داده امضای تولید کنندگان اصلی شناخته شده محصولات نرم افزاری ضد جاسوس افزار و/یا آنتی ویروس وجود ندارد و اغلب به دلایل مختلف هرگز در آنها گنجانده نمی شود:

• کی لاگرها (ماژول ها) که تحت نظارت سازمان های دولتی مختلف توسعه یافته اند.
• کی لاگرها (ماژول ها) که می توانند توسط توسعه دهندگان سیستم عامل های مختلف بسته ایجاد شده و توسط آنها در هسته سیستم عامل گنجانده شود.
• کی لاگرهایی که در تعداد محدود(اغلب فقط در یک یا چند نسخه) برای حل وظیفه خاصمرتبط با سرقت اطلاعات مهم از رایانه کاربر (به عنوان مثال، محصولات نرم افزاری مورد استفاده توسط مهاجمان حرفه ای). این محصولات جاسوسی ممکن است کمی تغییر یافته باشند کدهای منبعکی لاگرهایی که از اینترنت گرفته شده و توسط خود مهاجم کامپایل شده اند، که امکان تغییر امضای کی لاگر را فراهم می کند.
• تجاری، به ویژه آنهایی که به عنوان ماژول در محصولات نرم افزاری شرکتی گنجانده شده اند، که به ندرت در پایگاه داده امضای تولیدکنندگان معروف محصولات نرم افزاری ضد جاسوس افزار و/یا محصولات نرم افزاری ضد ویروس گنجانده می شوند. این منجر به این واقعیت می شود که انتشار یک نسخه کاملاً کاربردی از این محصول نرم افزار نظارت تجاری توسط مهاجمان در اینترنت ممکن است به تبدیل دومی به یک محصول جاسوسی که توسط ضد جاسوس افزار و / یا آنتی ویروس شناسایی نمی شود کمک کند. محصولات نرم افزاری؛
• کی لاگرها که ماژول هایی برای رهگیری ضربه های کلید بر روی کامپیوتر کاربر هستند که در برنامه های ویروس گنجانده شده است. قبل از وارد کردن داده های امضا به پایگاه داده ویروس، این ماژول ها ناشناخته هستند. به عنوان مثال می توان به ویروس های معروف دنیا اشاره کرد که در سال های اخیر دردسرهای زیادی را به وجود آورده اند و در ترکیب خود دارای ماژولی برای رهگیری ضربه های کلید و ارسال اطلاعات دریافتی به اینترنت هستند.

اهداف کاربرد

استفاده مجاز از کی لاگرها (از جمله محصولات سخت افزاری یا نرم افزاری که شامل کی لاگر به عنوان یک ماژول است) به مالک (مدیر امنیتی) یک سیستم خودکار یا صاحب رایانه اجازه می دهد:

• شناسایی کلیه موارد تایپ کلمات و عبارات مهم روی صفحه کلید که انتقال آنها به اشخاص ثالث منجر به خسارت مادی می شود.
• قادر به دسترسی به اطلاعات ذخیره شده بر روی هارد دیسک کامپیوتر در صورت از دست دادن رمز ورود و دسترسی به هر دلیلی (بیماری کارمند، اقدامات عمدی کارکنان و غیره) باشد.
• تعیین (محلی سازی) تمام موارد تلاش برای شمارش رمزهای عبور دسترسی؛
• کنترل امکان استفاده از رایانه های شخصی در ساعات غیر کاری و شناسایی آنچه در یک زمان معین روی صفحه کلید تایپ شده است.
• بررسی حوادث رایانه ای؛
• هدایت تحقیق علمیمربوط به تعیین دقت، کارایی و کفایت پاسخ پرسنل به تأثیرات خارجی؛
• بازیابی اطلاعات حیاتی پس از خرابی سیستم کامپیوتری؛

استفاده از ماژول هایی که شامل کی لاگر است توسط توسعه دهندگان محصولات نرم افزاری تجاری به آنها اجازه می دهد:

• ایجاد سیستم ها جستجوی سریعکلمات ( فرهنگ لغت الکترونیکی، مترجم الکترونیکی)؛
• ایجاد برنامه برای جستجوی سریع نام، شرکت، آدرس (دفترچه تلفن الکترونیکی)

استفاده غیرمجاز از کی لاگرها (از جمله محصولات سخت افزاری یا نرم افزاری که شامل کی لاگر به عنوان یک ماژول است) به مهاجم اجازه می دهد:

• رهگیری اطلاعات شخص دیگری که توسط کاربر روی صفحه کلید تایپ شده است.
• دريافت كردن دسترسی غیرمجازبه لاگین و رمز عبور برای دسترسی به سیستم های مختلفاز جمله سیستم های نوع «بانک-مشتری»؛
• دسترسی غیر مجاز به سیستم ها حفاظت رمزنگاریاطلاعات کاربر کامپیوتر - عبارات عبور.
• دسترسی غیرمجاز به داده های مجوز کارت های اعتباری؛

روش های محافظت در برابر کی لاگرهای نصب شده غیرمجاز

محافظت در برابر کی لاگرهای نرم افزاری نصب شده غیرمجاز "شناخته":

• استفاده از نرم افزارهای ضد جاسوس و/یا آنتی ویروس تولید کنندگان معروف، با به روز رسانی خودکارپایه های امضا

محافظت در برابر کی لاگرهای نرم افزاری نصب شده غیرمجاز "ناشناخته":

• استفاده از نرم‌افزار ضد جاسوس‌افزار و/یا نرم‌افزار ضد ویروس از تولیدکنندگان معروف که از تحلیلگرهای به اصطلاح اکتشافی (رفتاری) برای مقابله با نرم‌افزارهای جاسوسی استفاده می‌کنند. که به پایه امضا نیاز ندارند.

محافظت در برابر کی لاگرهای نرم افزاری غیرمجاز "معلوم" و "ناشناخته". شامل استفاده از نرم‌افزار ضد جاسوس‌افزار و/یا آنتی ویروس از تولیدکنندگان معروف است که از موارد زیر استفاده می‌کنند:

• پایگاه داده امضای محصولات جاسوسی به طور مداوم به روز می شود.
• تحلیلگرهای اکتشافی (رفتاری) که به پایه امضا نیاز ندارند.

محافظت در برابر کی لاگرهای سخت افزاری نصب شده غیرمجاز:

• بازرسی کامل خارجی و داخلی سیستم های کامپیوتری؛
• استفاده از صفحه کلید مجازی؛

پیوندها

• سخت افزار KEYLOGGER PS/2 و USB نمونه ای از سخت افزار Keylogger PS/2 و USB
• Keylogger.Org مقایسه مستقل محبوب ترین کی لاگرها
• ثبت اطلاعات مرحله اول - Logger های ضربه ای کلید Logger های ضربه ای کلید اولین گام در جمع آوری داده ها هستند. موسسه SANS
• [ایمیل محافظت شده]توضیحات یکی از ویروس های شناخته شده، که شامل یک ماژول نرم افزار کی لاگر است.
• قابلیت مشاهده سیستم های محاسباتی به عنوان بخشی جدایی ناپذیر از مجموعه ابزارهای حفاظتی در یک سیستم خودکار
• وسعت نظارت سیستماتیک بر ایمیل کارکنان و استفاده از اینترنت مروری بر محصولات نرم افزاری نظارتی که برای کنترل اعمال کارمندان در شرکت های ایالات متحده استفاده می شود. اندرو شولمن
• نظارت بر رایانه و اینترنت در محل کار: یادداشت های نادرست اندرو شولمن
• توصیف همراه با جزئیاتطراحی های کی لاگر سخت افزاری

Keylogger - چیست؟ چه خطری از آنها می آید؟ آیا می توان از کی لاگر به نفع خود استفاده کرد؟ این مستلزم چه چیزی است؟

اطلاعات کلی

در مدرن دنیای اطلاعاتموضوع ایمنی بسیار حاد است. در میان انواع بدافزارها، یک برنامه کی لاگر از هم جداست. او چه چیزی را نمایندگی می کند؟ چه خطراتی دارد؟ چگونه با آنها برخورد کنیم؟ اونایی که خوب میدونن زبان انگلیسی، احتمالاً نام برنامه را ترجمه کرده و متوجه شده اید که صحبت در مورد ضبط کننده صفحه کلید خواهد بود. به این ترتیب نام آنها ترجمه شده است - keylogger. اما در فضاها اتحاد جماهیر شوروی سابقنام رسمی آنها keyloggers است. ویژگی آنها چیست؟

هنگامی که برنامه وارد رایانه می شود، بدون اطلاع، مشارکت و رضایت شخص شروع به انجام وظایف خود در قالب عملکردهای جاسوسی می کند. ارزش پرسیدن این سوال را دارد "Keylogger - چیست؟" ، زیرا معلوم می شود که بسیاری حتی تصور نمی کنند چنین برنامه ای چیست. و از این واقعیت غم انگیز است که بسیاری از کاربران به سادگی تهدید خود را دست کم می گیرند. اما بیهوده. گذشته از همه اینها هدف اصلییکی از این برنامه‌ها سرقت و انتقال لاگین و رمز عبور حساب‌های کاربری، کیف پول، اپلیکیشن‌های بانکی به سازنده آن است.

چطورکار می کنند؟

بیایید به یک مثال کوچک نگاه کنیم. فرض کنید شخصی یک حساب بانکی با صد هزار روبل در آن دارد - مقدار بسیار خوب است. او به طور دوره ای از او بازدید می کند کابینت الکترونیکیکاربر با استفاده از نام کاربری و رمز عبور و برای ورود به آنها باید از صفحه کلید استفاده کنید. کی لاگر مواردی را که وارد شده و کجا را ثبت می کند. بنابراین، مهاجم با دانستن رمز عبور و ورود به سیستم، در صورت عدم ارائه خطوط امنیتی اضافی، مانند تأیید با استفاده از تلفن، می تواند از وجوه استفاده کند. کی لاگر عملکرد یک تکرار کننده را انجام می دهد که در یک لحظه خاص، تمام اطلاعات جمع آوری شده را با هم ادغام می کند. برخی از این برنامه‌ها حتی می‌توانند زبان ورودی و اینکه شخص با کدام عنصر مرورگر در حال تعامل است را تشخیص دهند. و همه اینها توانایی ایجاد اسکرین شات را تکمیل می کند.

تاریخ توسعه

شایان ذکر است که کی لاگر برای ویندوز پدیده جدیدی نیست. اولین چنین برنامه هایی هم سن و سال MS-DOS بودند. سپس این کنترل کننده های معمول وقفه صفحه کلید بود که اندازه آنها در حدود علامت 1 کیلوبایت در نوسان بود. و از آن زمان تاکنون عملکرد اصلی آنها تغییر نکرده است. آنها هنوز هم در درجه اول ثبت نام مخفی ورودی صفحه کلید را انجام می دهند، اطلاعات جمع آوری شده را ضبط می کنند و آن را به خالق خود منتقل می کنند. ممکن است این سوال پیش بیاید: «اگر آنها اینقدر ابتدایی هستند، پس چرا تعدادشان زیاد است برنامه های آنتی ویروسکی لاگرها را نمی گیری؟" بالاخره این برنامه ساده. و در عین حال مدیریت کنید برنامه های تخصصیخیلی سخت. واقعیت این است که یک کی لاگر یک ویروس یا یک تروجان نیست. و برای پیدا کردن آن باید نصب کنید پسوندهای ویژهو ماژول ها علاوه بر این، تعداد زیادی از این برنامه های مخرب وجود دارد که حتی جستجوی امضا که یکی از پیشرفته ترین راه حل های حفاظتی محسوب می شود، در برابر آنها ناتوان است.

در حال گسترش

چگونه به رایانه های کاربران می آیند؟ وجود دارد تعداد زیادی ازمسیرهای توزیع همچنین یک کی لاگر وجود دارد که با ارسال نامه به هر کسی که در آن است دفترچه آدرس، همچنین می توان آنها را تحت پوشش برنامه های دیگر یا به عنوان مکمل آنها توزیع کرد. فرض کنید شخصی نسخه بدون مجوز برخی از برنامه ها را از یک سایت کاملا شخص ثالث دانلود می کند. او خودش برنامه اصلی و همراه با آن کی لاگر را نصب می کند. یا شاید پیام های عجیب و غریب با فایل های پیوست شده از طرف دوستان به ایمیل ارسال شده است؟ کاملاً ممکن است که این یک کی لاگر بوده باشد که به ایمیل ارسال شده است. باز کردن نامه برای اکثر سرویس ها تهدیدی نیست، زیرا فقط تایپ کردن است. اما کاربردهای آن می تواند مملو از خطر باشد. هنگام شناسایی وضعیت مشابهبهتر است از شر بالقوه خلاص شوید فایل های خطرناک. به هر حال، کی لاگر از راه دور خطرناک نیست و به هیچ وجه نمی تواند به شما آسیب برساند.

توزیع از طریق پست

من می خواهم به این مسیر خاص انتقال بین رایانه ها توجه ویژه ای داشته باشم. گاهی اوقات پیام هایی می آید که به نظر می رسد اطلاعات ارزشمندیا چیزی مشابه به طور کلی، محاسبه با این واقعیت انجام می شود که یک فرد کنجکاو نامه را باز می کند، فایلی حاوی "اطلاعات" در مورد "حسابداری شرکت"، "شماره حساب، رمز عبور و ورود به سیستم" یا به سادگی "عکس های برهنه یک نفر" را دانلود می کند. یا اگر پست طبق داده های یک شرکت انجام شود، حتی ممکن است نام و نام خانوادگی یک شخص ظاهر شود. باید به خاطر داشت که همیشه باید مراقب هر فایلی باشید!

ایجاد و استفاده

پس از خواندن اطلاعات قبلی، ممکن است کسی فکر کند: ای کاش کی لاگر رایگان خودم را داشتم. و حتی به دنبال آنها بروید و دانلود کنید. بدواً لازم به ذکر است که این مورد از نظر قانون کیفری قابل مجازات است. همچنین، این ضرب المثل قدیمی را فراموش نکنید پنیر رایگانفقط در تله موش اتفاق می افتد و اگر این مسیر را دنبال کنید، نباید تعجب کنید که "کی لاگر رایگان" فقط به صاحب خود خدمت می کند یا حتی یک ویروس/تروجان است. تنها کم و بیش راه درستچنین برنامه ای را دریافت کنید - خودتان آن را بنویسید. اما باز هم جرم است. بنابراین، ارزش آن را دارد که جوانب مثبت و منفی را قبل از اقدام بسنجید. اما آن وقت برای چه باید تلاش کنیم؟ نتیجه نهایی چه می تواند باشد؟

تله صفحه کلید استاندارد

این ساده ترین نوع است که بر اساس یک اصل کلی عملیات است. ماهیت برنامه در این واقعیت نهفته است که این برنامه از لحظه فشار دادن کلید و تا زمانی که کاراکتر روی صفحه نمایش داده می شود وارد فرآیند انتقال سیگنال می شود. قلاب ها به طور گسترده ای برای این مورد استفاده می شوند. V سیستم های عاملاین نام مکانیزمی است که وظیفه آن رهگیری پیام های سیستم است که طی آن عملکرد ویژه، که بخشی از Win32API است. به عنوان یک قاعده، از ابزارهای ارائه شده، WH_Keyboard اغلب استفاده می شود، کمی کمتر - WH_JOURNALRECORD. ویژگی دومی این است که به یک کتابخانه پویا جداگانه نیاز ندارد و به همین دلیل برنامه مخرب سریعتر در شبکه پخش می شود. قلاب ها تمام اطلاعاتی را که از تجهیزات ورودی منتقل می شود، می خوانند. این روش کاملاً مؤثر است، اما دارای تعدادی معایب است. بنابراین، شما باید یک کتابخانه پویا جداگانه ایجاد کنید. و در فضای آدرس فرآیندها نمایش داده می شود و شناسایی کی لاگر را آسان تر می کند. مدافعان از چه چیزی استفاده می کنند؟

روش های دیگر

در ابتدا لازم است به روشی بدوی و مضحک مانند نظرسنجی دوره ای وضعیت صفحه کلید اشاره کرد. در این مورد، فرآیندی راه اندازی می شود که 10-20 بار در ثانیه چک می کند تا ببیند آیا فشار داده شده یا آزاد شده اند یا خیر. کلیدهای خاص. همه تغییرات ثابت شده است. ایجاد مبتنی بر درایور نیز محبوب است. زیباست روش موثر، که دارای دو پیاده سازی است: توسعه فیلتر خود یا نرم افزار تخصصی خود برای دستگاه ورودی. روت کیت ها نیز محبوب هستند. آنها به گونه ای پیاده سازی می شوند که داده ها را در طول تبادل بین صفحه کلید و فرآیند کنترل رهگیری کنند. اما قابل اعتمادترین بازخوانی اطلاعات است. اگر فقط به خاطر کشف آنها ابزارهای نرم افزاریبسیار دشوار، به معنای واقعی کلمه غیرممکن

در مورد پلتفرم های موبایل چطور؟

ما قبلاً مفهوم "keylogger" را در نظر گرفته ایم، آن چیست، چگونه آنها ایجاد می شوند. اما هنگام در نظر گرفتن اطلاعات، منظره روشن بود کامپیوترهای شخصی. اما حتی بیشتر از رایانه شخصی، پلتفرم های تلفن همراه متفاوتی وجود دارد. اما در مورد آنها چطور؟ بیایید نحوه عملکرد کی لاگر اندروید را در نظر بگیریم. به طور کلی، اصل عملکرد مشابه آنچه در مقاله توضیح داده شده است. اما صفحه کلید معمولی وجود ندارد. بنابراین آنها مجازی را هدف قرار می دهند که زمانی که کاربر قصد دارد چیزی را تایپ کند نمایش داده می شود. و سپس ارزش وارد کردن اطلاعات را دارد - زیرا بلافاصله به خالق برنامه منتقل می شود. چون سیستم امنیتی پلتفرم های موبایللنگ، سپس کی لاگر برای اندروید می تواند با موفقیت و طولانی مدتکار کنید و گسترش دهید. بنابراین، هر زمان که برنامه ای را دانلود می کنید، باید حقوقی را که به آنها اعطا می شود، در نظر بگیرید. بنابراین، اگر یک کتابخوان درخواست دسترسی به اینترنت، صفحه کلید، خدمات مختلف اداری را داشته باشد دستگاه موبایل، این دلیلی است برای فکر کردن در مورد اینکه آیا این یک موضوع مخرب است. همین امر به طور کامل برای آن دسته از برنامه هایی که در داخل هستند صدق می کند فروشگاه های رسمی- پس از همه، آنها به صورت دستی بررسی نمی شوند، بلکه با اتوماسیون، که کامل نیست.

برخی از انواع اصلی ویروس های کامپیوتری. امروز با شما در مورد دسته دیگری از ویروس ها - کی لاگرها صحبت خواهیم کرد که در مورد آنها کاربران عادیخیلی کم می دانند

ترجمه شده از انگلیسی، Keylogger (Keyboard Logger) به معنای ضبط کننده صفحه کلید است. با این حال، در واقعیت، کی لاگر یک برنامه جاسوسی است که همه چیزهایی که با صفحه کلید اتفاق می افتد را پیگیری می کند.

برنامه های کی لاگر وقتی روی رایانه کاربر قرار می گیرند، اطلاعات وارد شده را رهگیری کرده و برای مهاجمان ارسال می کنند. به عبارت دیگر، بدون اینکه به چیزی مشکوک باشید، می توانید لاگین و رمز عبور و همچنین اطلاعات کارت بانکی خود را به دست افراد نادرست بدهید.

خطر کی لاگرها این است که بسیاری از برنامه های آنتی ویروس آنها را بدافزار نمی دانند. شناسایی آنها اغلب به نرم افزار تخصصی یا ماژول های اضافی برای آنتی ویروس اصلی شما نیاز دارد.

کی لاگرهای نرم افزاری چگونه کار می کنند

عملکرد این نوع برنامه های مخرب بر اساس یک اصل کلی است - آنها باید مسیر سیگنال را از لحظه فشار دادن یک کلید تا ظاهر شدن یک کاراکتر در مانیتور دنبال کنند. کی لاگرها از روش های فنی زیر استفاده می کنند:

کی لاگرهای سخت افزاری

علاوه بر کی لاگرهای نرم افزاری که در نظر گرفته ایم، کی لاگرهای سخت افزاری نیز وجود دارند که توسط نرم افزار قابل شناسایی نیستند:

• "آداپتور" اضافی بین صفحه کلید و کیس کامپیوتر.
• دستگاه صفحه کلید داخلی؛
• دوربین فیلمبرداری مینیاتوری که صفحه کلید را حذف می کند.
• دستگاه USB ناشناخته و غیره

به هر حال: هر دو نوع کی لاگر می توانند کاملا قانونی باشند و می توانند برای موارد زیر استفاده شوند:

• کنترل والدین؛
• پیگیری استفاده از زمان کار توسط کارکنان شرکت؛
• خدمات امنیتی
• همسران حسود.

چگونه قربانی یک کی لاگر نشویم؟

برای محافظت از خود در برابر این نوع بدافزار، باید قوانین ساده ای را دنبال کنید:

• قابلیت تشخیص را در آنتی ویروس خود فعال کنید برنامه های خطرناک(معمولاً به طور پیش فرض غیرفعال است)؛
• برای دسترسی به داده های بانکی، از شناسایی دو عاملی یا رمز یکبار مصرف استفاده کنید.
• استفاده از دفاع فعال؛
• از صفحه کلید مجازی برای وارد کردن داده های مهم استفاده کنید.