Надежное программное обнаружение кейлоггера?

13

Я могу мечтать здесь,

Но есть ли надежный метод обнаружения программного обеспечения кейлоггера? Я в первую очередь разработчик, но я управляю парой серверов, и меня больше всего беспокоит программный кейлоггер в моей персональной системе, который хорошо помогает сохранять молчание.

Можно ли быть уверенным, что в моей персональной системе нет программного кейлоггера, зацепляющего все мои пароли RDP?

security

— Спенсер Рупорт
источник

Это будет одним из аргументов в пользу использования менеджера паролей, который может автоматически вводить ваши пароли, поэтому вам не нужно вводить их каждый раз.

— Дэвид Z

Разве RDP не позволяет использовать клиентские сертификаты, например, поддерживаемые SSH? Если нет, то как насчет использования SSH для туннелирования на сервер и последующего запуска RDP? (С другой стороны: если кто-то боится установить регистратор ключей, то можно скопировать и сертификат клиента ...)

— Arjan

5

Если вы не заботитесь о том, как вы доверяете своим RDP-соединениям и проверяете их подлинность - ваши пароли и все остальное, что вы вводите, легко можно получить практически в реальном времени по сети ... так зачем беспокоиться о локальных кейлоггерах? ;)

Как уже говорили некоторые, нет - надежного пути нет. Руткит может легко стать совершенно необнаружимым на всю вечность, даже не будучи замаскированным под другие процессы. Ничто не безопасно. Материал просто небезопасен в разной степени ^^

Одним из приемов может быть очистка системы и ее установка без подключения к сети. Настройте Bitlocker с помощью TPM и убедитесь, что все системные файлы не изменяются при каждой загрузке, и, если нет, запретите загрузку / дешифрование (тогда вам придется снова выполнять контролируемое стирание). Тем не менее, безусловно, есть недостатки, когда кейлоггер может быть установлен без обнаружения.

В общем, использование только паролей недостаточно для чего-либо, требующего умеренного уровня безопасности. Поможет двухфакторная аутентификация с одноразовыми паролями, как и аутентификация на основе смарт-карт или аутентификация на основе других независимых устройств на основе сертификатов.

— Оскар Дювеборн
источник

2

В идеале ваши серверы будут довольно тесными - это корпоративные серверы или персональные серверы, которые также используются для веб-серфинга?

В целом, я не верю, что существует какой-либо «один» способ надежно обнаружить любой произвольный кейлоггер, но эти общие вещи могут помочь.

Проверьте диспетчер задач. Если есть какая-либо задача, которую вы не можете распознать, посмотрите ее с помощью Google.
Используйте msconfig, чтобы определить, что работает при запуске
Убедитесь, что ваше антивирусное программное обеспечение обновлено
Запустите такую программу, как Malwarebyte Anti-Malware или Spybot Search & Destroy.
Выполните поиск самых последних сохраненных файлов и проверьте все, что постоянно обновляется

— Дэвид М Уильямс
источник

1

Серверы тесные, это мои машины, подключающиеся к серверам, которые меня беспокоят. Я сделал все вышеперечисленное, но ни один из присутствующих не является надежным способом обнаружения кейлоггера. Задачи маскируются под svchost или rundll, существует множество других способов запуска приложения, кроме того, что находится в msconfig, антивирус не ловит все и клавиатурные шпионы могут сохранять все нажатия клавиш в памяти

— Spencer Ruport

2

Не может быть надежного способа, если вы полностью не контролируете аппаратное обеспечение клиентской системы, поскольку существуют также аппаратные кейлоггеры .

И даже если вы это сделаете, есть еще старый трюк с камерой .

— CesarB
источник

Я единственный, кто подключается к этим серверам, поэтому я не беспокоюсь о аппаратных клавиатурных шпионах или камерах. Просто программное обеспечение.

— Спенсер Рупорт

0

Вы можете попробовать запустить что-то вроде KeyScrambler, чтобы защитить себя. Из того, что я понимаю, он подключается к системе на уровне ядра и отправляет любые программы, подключенные к глобальным подсказкам ключей (регистраторы нажатий клавиш), бессмысленную информацию.

Кроме этого, теоретически вы можете создать программу, которая отслеживает, по крайней мере, вызовы API, но я не смог найти ее.

— Адам Бранд
источник