Что такое кейлоггер?
По-русский ее можно назвать «регистратором нажатия клавиш», и, как следует из названия, это программа, которая точно записывает нажатия клавиш, вводимые на клавиатуре.
Поэтому его можно отнести к категории шпионского ПО и, в более общем плане, к категории вирусов . Таким образом, шпионское ПО, предназначенное для скрытого слежения за жертвами, является подкатегорией вредоносных программ.
Keylogger - это шпионское ПО, потому что оно обычно действует в фоновом режиме как невидимый и тихий процесс , собирая очень конфиденциальные данные . Он может записывать ключи в файл «журнала», отправлять их на адрес электронной почты или на удаленный сервер, например, через FTP.
80% или более кейлоггеров нацелены на системы Windows, хотя существуют кейлоггеры для других операционных систем, таких как Linux. Обратите внимание на пользователей Mac и Linux: да, вы правы в этом вопросе, у вас меньше шансов поймать его! (но будьте осторожны, то , что защищено на 99%, не безопасно )
Шпионское ПО - один из самых известных способов взлома учетной записи, отсюда и его популярность. Языки, использующие метод быстрой разработки приложений (RAD ), облегчили создание таких вредоносных программ. Короче говоря, становится все проще и проще создавать мощные (и опасные) компьютерные программы без предварительных знаний.
Обычно кейлоггер может работать на компьютере долгое время из-за того, что он не обнаруживается пользователем (невидим). Но даже если антивирус не обнаружит вредоносную программу, мы сможем обнаружить ее с помощью этой статьи !
Типы кейлоггеров
Обычно есть два типа клавиатурных шпионов :
- Программный кейлоггер : та, которую мы обычно знаем, шпионская программа, о которой мы поговорим в этой статье.
- Аппаратный кейлоггер : это небольшое физическое устройство, которое можно купить в сети примерно за 3 тысячи рублей, но которое непросто использовать, потому что оно должно быть физически установлено на целевом компьютере (обычно для подключения между клавиатурой и компьютером, или быть интегрированным непосредственно в клавиатуру).
Также можно отметить, что кейлоггеры для смартфонов существуют, они являются частью программных кейлоггеров.
Как именно они работают?
Нам будут интересны подробности о кейлоггерах, работающих под Windows , даже если принцип остается в целом одинаковым для всех.
Отказ от ответственности : эта статья не предназначен для того, чтобы научить вас кого-либо взламывать. Мы ограничимся пояснениями, которые являются исключительно полезными в контексте настройки эффективной защиты .
Однажды запущенный кейлоггер обычно запускается, чтобы гарантировать, что он может автоматически перезагружаться при каждой загрузке системы. Это первое указание на его присутствие .
Тогда он будет выполнять свои функции при каждом запуске . Он использует API (программные интерфейсы) Windows (или целевой операционной системы в целом) для получения событий клавиатуры.
Затем он вставит функцию выборки в цепочку событий системной клавиатуры. Внезапно, когда вводится клавиша, система извлекает сообщение и отправляет его всем функциям, которые «слушают» события клавиатуры.
Само по себе это не представляет угрозы, так как многим приложениям необходимо получать события клавиатуры для вполне законных интересов, таких как настройка сочетаний клавиш. Следовательно, это создает проблему обнаружения антивирусов.
Затем через определенные промежутки времени запускается функция, например, для удаленной отправки записанных данных. Таким образом, нам доступен второй способ обнаружения: кейлоггер, вероятно, использует сеть .
Сообщение отправляется другим функциям, которые прослушивают события клавиатуры, чтобы не блокировать канал.
Он постоянно повторяет эти шаги до тех пор, пока система не выключится и не запустится снова на следующий день прозрачно .
Что именно они получают в ответ?
Кейлоггер буквально извлекает только нажатия клавиш, набранные на клавиатуре. Но теперь классический кейлоггер стал намного опаснее.
Говорят даже о полном программном обеспечении для наблюдения, которое может восстанавливать большой объем данных (аудио, текст или видео).
Например, программное обеспечение для мониторинга может делать снимки экрана, динамически извлекать содержимое буфера обмена, извлекать разговоры в Skype , извлекать или блокировать веб-сайты, запускать или удалять другие программы и т. Д. Особенности, о существовании которых мы даже не догадываемся!
Это наша третья зацепка: вредоносные программы в полной мере используют наше невежество. Все, что мы даже не думаем, что можно сделать, на самом деле существует уже давно. И я настаиваю на этом пункте, который показывает интерес к изучению этического взлома как человека, заботящегося о своей безопасности. Знания - важный шаг перед тем, как можно будет конкретно применять хорошие меры безопасности.
Вот пример программного обеспечения, которое позволяет «создать» собственный кейлоггер:
Эти «профессиональные» программы, однако, часто платные и относительно дорогие, к тому же они намного менее тихие, чем классический кейлоггер. К счастью, то, что они созданы специализированными компаниями, позволяет не предлагать их широкой публике.
Кстати говоря: не все кейлоггеры являются незаконными . Строгие условия позволяют контролировать пользователей Интернета (например, в компании), в частности, четко указывая им, что они находятся под наблюдением, и получая их одобрение.
Ограничения и контрмеры
Кейлоггеры кажутся очень грозными, но, к счастью, для них тоже не все безоблачно.
Существует множество языков, поэтому используется много разных символов, а для некоторых требуются сочетания клавиш, например AltGr + e для знаменитого знака евро («€»). Предполагая, что у вас французская клавиатура.
Оттуда, если кейлоггер записывает только основные клавиши клавиатуры, он не сможет восстановить наш пароль (отсюда и факт отзыва передовых методов создания паролей со специальными символами ).
Таким образом, вы даже можете разбить кейлоггер, не осознавая этого, например, набрав комбинацию, которую он не может использовать.
Очень эффективный совет по безопасному вводу номера банковской карты или пароля:
Кейлоггеры теоретически записывают вводимые ключи по порядку . Если ваш номер 1234 и вы пишете 34, затем щелкните в начале и введите 12, вы получите 1234, но кейлоггер зарегистрирует 3412 . Надеясь, что объяснение имеет смысл ...
Существуют также антикейлоггеры, которые «шифруют» ключи до того, как кейлоггер сможет получить к ним доступ. Эти программы, к сожалению, тяжелы, малоизвестны и поэтому мало используются. Среди них можно отметить знаменитый Keyscrambler .
Наконец, мои обычные рекомендации также применимы к кейлоггерам: будьте осторожны при запуске подозрительной программы. Регулярно следите за программами, запускаемыми при старте системы.
Что касается сетевой активности, я рекомендую превосходный TcpView, который отображает, что происходит в сети, чтобы обнаруживать возможное сообщение, отправляемое каждые x минут, и выявлять потенциально подозрительную программу.