Как я могу обнаружить кейлоггер в моей системе?

52

Как я могу узнать, есть ли в моей системе кейлоггер или, по крайней мере, активен ли он сейчас?

keyboard  security 
NaomiJO
источник
2
В Ubuntu, если он уже не взломан или не взломан (редкий сценарий), присутствие Кейлоггера невозможно. Он имеет другой и надежный модуль безопасности по сравнению с Windows.
Atenz
2
@atenz Неверно, если вы используете диспетчер отображения X.org. Просто чтобы увидеть, как легко поставить под угрозу безопасность, Google 'изоляция GUI'. Для сравнения, Windows делает изоляцию графического интерфейса лучше, чем в Vista.
Nanashi No Gombe

Ответы:

44

Кейлоггер работает прямо сейчас?

  • Во-первых, мы предполагаем, что вы используете стандартную систему Ubuntu, которую установил X и которая всегда была под контролем X - где X - это вы сами или кто-то, кому вы абсолютно доверяете.

  • Поскольку это стандартная система, и все программное обеспечение установлено из официальных репозиториев, вы можете быть уверены, что там нет скрытого кейлоггера , например, кто-то специально модифицирует ядро, чтобы шпионить за вами так, что его очень трудно обнаружить.

  • Затем, если кейлоггер работает, его процесс (ы) будет виден. Все, что вам нужно сделать, это использовать ps -auxили htopпросмотреть список всех запущенных процессов и выяснить, есть ли что-то подозрительное.

    • Наиболее распространенными «законными» кейлоггерами Linux являются lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys - единственный доступный в репозиториях Ubuntu.

Я случайно загрузил троян / вирусный кейлоггер?

  • Обычно этот риск очень минимален в Ubuntu / Linux из-за необходимых привилегий ( su).
  • Вы можете попробовать использовать детектор «руткитов», как отметил Митч в своем ответе .
  • В противном случае все сводится к судебному анализу, такому как процессы трассировки / отладки, поиск изменений / временных меток файлов между загрузками, анализ сетевой активности и т. Д.

Что если я нахожусь в "ненадежной" системе Ubuntu?

Так что, если вы находитесь в интернет / интернет-кафе, в библиотеке, на работе и т. Д.? Или даже домашний компьютер, которым пользуются многие члены семьи?

Ну, в этом случае все ставки выключены. Довольно легко шпионить за вашими нажатиями клавиш, если у кого-то достаточно навыков / денег / решимости:

  • Те изменяющие ядро ​​скрытые кейлоггеры, которые практически невозможно внедрить в чужую систему, гораздо проще внедрить, когда вы являетесь администратором общедоступной компьютерной лаборатории и размещаете их в своих собственных системах.
  • Между клавиатурой и компьютером располагаются аппаратные кейлоггеры USB или PS / 2, записывающие каждое нажатие клавиши во встроенную память; они могут быть спрятаны внутри клавиатуры или даже внутри корпуса компьютера.
  • Камеры можно расположить так, чтобы нажатия клавиш были видны или их можно было понять.
  • Если ничего не помогает, полицейское государство всегда может послать своих дураков за вами, чтобы заставить вас сказать им, что вы печатали под дулом пистолета: /

Таким образом, лучшее, что вы можете сделать с ненадежной системой, это взять свой собственный Live-CD / Live-USB и использовать его, взять собственную беспроводную клавиатуру и подключить ее к USB-порту, отличному от того, на котором работает собственная клавиатура системы ( устраняя аппаратные регистраторы, спрятанные как в клавиатуре, так и те, которые на этом порту скрыты в компьютере, в надежде, что они не использовали аппаратный регистратор для каждого порта во всей системе), научитесь определять камеры (включая вероятные точки для скрытых) и если вы находитесь в полицейском государстве, закончите то, что вы делаете, и окажитесь в другом месте за меньшее время, чем время реагирования местной полиции.

иш
источник
Мой вопрос был более ориентирован на ваш последний пункт. Три упомянутых вами примера на самом деле не связаны с системой, поэтому использование live CD не поможет. Я просто говорю о самой системе, а не о камерах или другом аппаратном обеспечении. Как я могу узнать, есть ли в моей системе хук, который регистрирует мои ключи?
NaomiJO
13

Я просто хочу добавить что-то, что я не знал, существовало в Linux: безопасный ввод текста.

На xterm Ctrlнажмите + -> «Безопасная клавиатура». Это делает запрос изолировать нажатия клавиш xterm от других приложений x11. Это не мешает регистраторам ядра, но является лишь одним уровнем защиты.

andychase
источник
2
Ваш ответ - единственный, который дал мне некоторое новое понимание. Я никогда не знал, что у xterm есть такая возможность.
Шивамс
9

Да, Ubuntu может иметь регистратор ключей. Его надуманно, но это может случиться. Его можно использовать через браузер, и злоумышленник может запустить код с вашими правами пользователя. Он может использовать службы автозапуска, которые запускают программы при входе в систему. Любая программа может получить коды сканирования нажатых клавиш в X Window System. Это легко продемонстрировать с помощью xinputкоманды. Смотрите GUI изоляцию для более подробной информации. 1

Регистраторы клавиш linux должны иметь root-доступ, прежде чем они смогут контролировать клавиатуру. если они не получат эту привилегию, они не смогут запустить регистратор ключей. Единственное, что вы можете сделать, это проверить наличие руткитов. Для этого вы можете использовать CHKROOTKIT

1 Источник: superuser.com

Митч
источник
1
Я немного растерялся: «Любая программа может получить коды сканирования нажатых клавиш в X Window System». vs. "клавиатурные шпионы linux должны иметь root-доступ, прежде чем они смогут контролировать клавиатуру". Разве это не противоречие?
Гюнтберт
1
И чтобы быть разборчивым: в репозитории есть клавиатурные шпионы, так как для них есть действительные варианты использования (см. Packages.ubuntu.com/raring/logkeys ), так что их не
достать
Кто проверял исходный код всех программ chkrootkit на C, особенно сценария «chkrootkit», чтобы убедиться, что они не заражают наши компьютеры руткитами или регистраторами ключей?
Курт
@guntbert Если X запущен, по умолчанию любое программное обеспечение, которое может получить доступ к сеансу X, может регистрировать ключи, в противном случае вам нужно иметь разрешения для прямого доступа к устройству событий linux (это имеет только root в некоторых конфигурациях).
L29Ah
1

Кейлоггеры Linux могут быть сделаны из языков, которые совместимы с системой, и для записи этих данных потребуется использование локального хранилища файлов, и, если это запрограммировано, если у вас есть кейлоггер, который был запрограммирован вручную или загружен для работы с этим операционной системы, то это может быть файл, переименованный в системный файл, где угодно в системе.

В прошлый раз, когда я создал / имел кейлоггер в моей системе, это была ситуация, и ее было легко обнаружить и удалить, но это включало ручной поиск источника, и это заняло немного времени.

Если у вас есть кейлоггер такого типа, я бы попытался найти и удалить его, но если он действительно был загружен или установлен, я бы посчитал это крайне маловероятным, поскольку Linux - это безопасная операционная система, которая обычно не подозревает формы вирусов, которые вы обычно находите в системах Windows.

cossacksman
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.