Как я могу обнаружить кейлоггер в своей системе?

45

Как я могу узнать, есть ли кейлоггер в моей системе или, по крайней мере, если он активен прямо сейчас?

    
задан NaomiJO 30.07.2012 в 07:31
источник

4 ответа

38

Работает ли кейлоггер сейчас?

  • Во-первых, предположим, что вы используете систему Ubuntu, установленную X, и которая всегда находилась под управлением X - , где X - это , или кто-то, кому вы абсолютно доверяете.

  • Так как это система запаса, и все программное обеспечение установлено из официальных репозиториев, вы можете быть уверены, что там нет скрытого кейлоггера , например. кто-то модифицирует ядро специально, чтобы шпионить за вами, так что его очень сложно обнаружить.

  • Затем, если кейлоггер запущен, процесс (процессы) будет виден. Все, что вам нужно сделать, это использовать ps -aux или htop , чтобы просмотреть список всех запущенных процессов и выяснить, есть ли подозрения.

    • Наиболее распространенными «законными» кейлоггерами Linux являются lkl, uberkey, THC-vlogger, PyKeylogger, logkeys . logkeys является единственным, доступным в репозиториях Ubuntu.

Я случайно загрузил кейлоггер trojan / virus

  • Обычно этот риск очень минимален на Ubuntu / Linux из-за необходимых привилегий (su).
  • Вы можете попробовать использовать детектор «руткитов», как отметил Митч в своем ответе.
  • В противном случае это сводится к судебному анализу, таким как процессы трассировки / отладки, просмотр изменений файлов / временных меток между загрузками, обнюхивание сетевой активности и т. д.

Что делать, если я нахожусь в «ненадежной» системе Ubuntu?

Так что, если вы находитесь в интернет-кибер-кафе, в библиотеке, на работе и т. д.? Или даже домашний компьютер, используемый многими членами семьи?

Ну, в этом случае все ставки отключены. Довольно легко следить за нажатием клавиш, если у кого-то есть навык / деньги / определение:

  • Эти ядро-модифицирующие скрытые кейлогеры, которые почти невозможно внедрить в чужую систему, гораздо проще представить, когда вы являетесь администратором общедоступной компьютерной лаборатории и помещаете их в свои собственные системы.
  • Существуют аппаратные USB-штепсельные или USB-штепсельные устройства, которые находятся между клавиатурой и компьютером, записывая каждое нажатие клавиши во встроенную память; они могут быть скрыты внутри клавиатуры или даже внутри корпуса компьютера.
  • Камеры могут быть расположены так, чтобы ваши нажатия клавиш были видны или могут быть выяснены.
  • Если все остальное не удастся, полицейское государство всегда может отправить своих гунов после вас, чтобы заставить вас рассказать им, что вы печатали под прицелом: /

Итак, самое лучшее, что вы можете сделать с ненадежной системой, - это взять свой собственный Live-CD / Live-USB и использовать его, взять свою собственную беспроводную клавиатуру и подключить ее к порту USB, отличному от того, на котором расположена клавиатура системы (исключая аппаратные регистраторы, скрытые на клавиатуре, и те, которые находятся на этом порту, скрытые на компьютере, в надежде, что они не использовали аппаратный регистратор для каждого порта на всей системе), научитесь определять камеры (включая вероятные места для скрытые), и если вы находитесь в полицейском штате, закончить то, что вы делаете, и быть где-то еще за меньшее время, чем время отклика местной полиции.

    
ответ дан ish 30.07.2012 в 12:43
источник
9

Я просто хочу добавить что-то, чего я не знал в Linux: Безопасный ввод текста.

В xterm, cntrl + click - > «Безопасная клавиатура». Это делает запрос на изоляцию xterm нажатий клавиш от других приложений x11. Это не мешает регистраторам ядра, но это всего лишь один уровень защиты.

    
ответ дан andychase 04.12.2013 в 21:15
7

Да, Ubuntu может иметь ключ-регистратор. Его далеко, но это может произойти. Его можно использовать через браузер, и злоумышленник может запускать код с вашими привилегиями пользователя. Он может использовать службы автозапуска, которые запускают программы при входе в систему. Любая программа может получить коды сканирования нажатых клавиш в X Window System. Это легко продемонстрировать с помощью команды xinput . Подробнее см. изоляцию GUI . 1

Линейные регистраторы ключей должны иметь корневой доступ, прежде чем они смогут контролировать клавиатуру. если они не получат эту привилегию, они не могут запустить ключевой регистратор. Единственное, что вы можете сделать, это проверить наличие руткитов. Для этого вы можете использовать CHKROOTKIT

1 Источник: superuser.com

    
ответ дан Mitch 30.07.2012 в 10:21
1

Ключи-серверы Linux могут быть сделаны на языках, совместимых с системой, и для записи этих данных потребуется использование локального хранилища файлов, и, если это запрограммировано, если у вас есть кейлоггер, который был запрограммирован вручную или загружен в работать с этой операционной системой, то это может быть файл, возможно, переименованный в виде системного файла в любом месте системы.

В прошлый раз, когда я создал / имел кейлоггер в своей системе, это была ситуация, и ее было легко обнаружить и удалить, но она включала ручной поиск источника, и это заняло немного времени.

Если у вас есть кейлоггер такого типа, я бы попытался найти и удалить его, но если это действительно что-то, что было загружено или установлено, я бы счел это крайне маловероятным, поскольку Linux - это безопасная операционная система, которая обычно не подозревая о формах вирусов, которые вы обычно находите в системах Windows.

    
ответ дан cossacksman 20.06.2013 в 01:08