ฉันจะตรวจพบ keylogger บนระบบของฉันได้อย่างไร

52

ฉันจะรู้ได้อย่างไรว่ามี keylogger ในระบบของฉันหรืออย่างน้อยถ้ามีใครใช้อยู่ตอนนี้

keyboard security

2

ใน Ubuntu เว้นแต่ว่ามันจะแตกหรือแฮ็ก (สถานการณ์ที่ไม่ค่อยเกิดขึ้น) การปรากฏตัวของ Keylogger เป็นไปไม่ได้ มันมีโมดูลความปลอดภัยที่แตกต่างกันและมีประสิทธิภาพเมื่อเทียบกับ windows

— atenz

2

@atenz ไม่เป็นความจริงหากคุณใช้งานเครื่องมือจัดการหน้าจอ X.org เพื่อดูว่าการประนีประนอมความปลอดภัยนั้นง่ายเพียงใด Google 'แยก GUI' เมื่อเปรียบเทียบกับ Windows แล้วการแยก GUI ก็ทำได้ดีกว่าตั้งแต่ Vista

— Nanashi No Gombe

44

keylogger กำลังทำงานอยู่ไหม

อันดับแรกเราจะสมมติว่าคุณกำลังใช้ระบบ Ubuntu ที่ X ติดตั้งอยู่และอยู่ภายใต้การควบคุมของ X อยู่เสมอซึ่ง X คือตัวคุณเองหรือคนที่คุณไว้วางใจอย่างแน่นอน
เนื่องจากนี่เป็นระบบหุ้นและซอฟต์แวร์ทั้งหมดได้รับการติดตั้งจากแหล่งเก็บข้อมูลอย่างเป็นทางการคุณสามารถมั่นใจได้ว่าไม่มีkeylogger ที่ซ่อนอยู่ในนั้นเช่นมีคนดัดแปลงเคอร์เนลเป็นพิเศษเพื่อสอดแนมคุณเช่นนี้ยากที่จะตรวจจับ
จากนั้นหากคีย์ล็อกเกอร์ทำงานกระบวนการจะปรากฏให้เห็น สิ่งที่คุณต้องทำคือใช้ps -auxหรือhtopดูรายการกระบวนการทำงานทั้งหมดและดูว่ามีอะไรน่าสงสัยหรือไม่
- ที่พบมากที่สุด "ถูกต้องตามกฎหมาย" keyloggers lkl, uberkey, THC-vlogger, PyKeylogger, logkeysลินุกซ์ logkeysเป็นหนึ่งเดียวที่มีอยู่ในที่เก็บ Ubuntu

ฉันบังเอิญดาวน์โหลดkeylogger โทรจัน / ไวรัสหรือไม่

โดยทั่วไปความเสี่ยงนี้จะน้อยมากบน Ubuntu / Linux เนื่องจากsuจำเป็นต้องใช้สิทธิ์ ( )
คุณสามารถลองใช้ "rootkit" เครื่องตรวจจับเป็นมิทช์ระบุไว้ในคำตอบของเขา
ไม่เช่นนั้นจะเป็นการวิเคราะห์ทางนิติวิทยาศาสตร์เช่นกระบวนการติดตาม / ตรวจแก้จุดบกพร่องดูที่การแก้ไขไฟล์ / เวลาประทับระหว่างบู๊ตกิจกรรมการดมกลิ่นเครือข่าย ฯลฯ

ถ้าฉันใช้ระบบอูบุนตูที่ไม่น่าเชื่อถือ

ถ้าคุณอยู่ในอินเทอร์เน็ต / อินเทอร์เน็ตคาเฟ่ที่ทำงานหรืออื่น ๆ หรือแม้แต่คอมพิวเตอร์ที่บ้านที่สมาชิกครอบครัวหลายคนใช้

การเดิมพันทั้งหมดจะปิดในกรณีนั้น มันค่อนข้างง่ายในการสอดแนมการกดแป้นของคุณถ้ามีคนมีทักษะ / เงิน / การตัดสินใจที่เพียงพอ:

คีย์ล็อกเกอร์ที่ซ่อนอยู่ในเคอร์เนลที่ปรับเปลี่ยนได้ซึ่งแทบจะเป็นไปไม่ได้ที่จะแนะนำให้รู้จักกับระบบของคนอื่นนั้นจะง่ายกว่ามากที่จะแนะนำเมื่อคุณเป็นผู้ดูแลระบบแล็บคอมพิวเตอร์สาธารณะและวางไว้บนระบบของคุณเอง
มีฮาร์ดแวร์ตัวล็อกคีย์ USB หรือ PS / 2 ที่อยู่ระหว่างแป้นพิมพ์และคอมพิวเตอร์บันทึกการกดแป้นแต่ละครั้งลงในหน่วยความจำภายใน พวกมันสามารถซ่อนอยู่ในแป้นพิมพ์หรือแม้แต่ในเคสคอมพิวเตอร์
กล้องสามารถวางตำแหน่งเพื่อให้การกดแป้นของคุณสามารถมองเห็นหรือสามารถคำนวณได้
หากทุกอย่างล้มเหลวรัฐตำรวจสามารถส่งลูกน้องของพวกเขาได้เสมอหลังจากที่คุณบังคับให้คุณบอกพวกเขาถึงสิ่งที่คุณกำลังพิมพ์ที่จ่อหัว: /

ดังนั้นสิ่งที่ดีที่สุดที่คุณสามารถทำได้กับระบบที่ไม่น่าเชื่อถือคือการใช้ Live-CD / Live-USB ของคุณเองและใช้สิ่งนั้นนำคีย์บอร์ดไร้สายของคุณเองและเสียบเข้ากับพอร์ต usb นอกเหนือจากที่แป้นพิมพ์ของระบบเปิดอยู่ ( กำจัดตัวบันทึกฮาร์ดแวร์ทั้งที่ซ่อนอยู่ในแป้นพิมพ์และตัวล็อกบนพอร์ตนั้นซ่อนอยู่ในคอมพิวเตอร์ด้วยความหวังว่าพวกเขาไม่ได้ใช้ตัวบันทึกฮาร์ดแวร์สำหรับแต่ละพอร์ตในระบบทั้งหมด) เรียนรู้วิธีสังเกตกล้อง (รวมถึงจุดที่น่าจะเป็นจุดซ่อนเร้น) และถ้าคุณอยู่ในสถานะตำรวจให้ทำสิ่งที่คุณทำและอยู่ที่อื่นในเวลาน้อยกว่าเวลาตอบสนองของตำรวจท้องที่

— ish
แหล่งที่มา

คำถามของฉันมุ่งเน้นไปที่ประเด็นสุดท้ายของคุณ ตัวอย่างสามตัวอย่างที่คุณกล่าวถึงไม่เกี่ยวข้องกับระบบดังนั้นการใช้ซีดีจริงจะไม่ช่วย ฉันแค่พูดถึงตัวระบบไม่ใช่กล้องหรือฮาร์ดแวร์อื่น ๆ ฉันจะรู้ได้อย่างไรว่ามีเบ็ดในระบบของฉันที่บันทึกคีย์ของฉัน

— NaomiJO

13

ฉันแค่อยากจะโยนสิ่งที่ฉันไม่รู้ว่ามีอยู่ใน Linux: Secure Text Input

บน xterm ให้Ctrlคลิก -> "Secure Keyboard" สิ่งนี้ทำให้การร้องขอเพื่อแยกการกดแป้น xterm จากแอปอื่น ๆ ของ x11 สิ่งนี้ไม่ได้ป้องกันตัวบันทึกเคอร์เนล แต่เป็นการป้องกันเพียงระดับเดียว

— andychase
แหล่งที่มา

2

คำตอบของคุณคือคำตอบเดียวที่ให้ข้อมูลเชิงลึกใหม่แก่ฉัน ฉันไม่เคยรู้ว่า xterm มีความเป็นไปได้นี้

— shivams

9

ใช่อูบุนตูสามารถมีเครื่องบันทึกคีย์ได้ มันดึงได้ไกล แต่ก็สามารถเกิดขึ้นได้ สามารถใช้ประโยชน์จากเบราว์เซอร์และผู้โจมตีสามารถเรียกใช้รหัสด้วยสิทธิ์ผู้ใช้ของคุณ สามารถใช้บริการเริ่มอัตโนมัติซึ่งเรียกใช้โปรแกรมในการเข้าสู่ระบบ โปรแกรมใด ๆ สามารถรับรหัสสแกนของปุ่มกดใน X Window System มันแสดงให้เห็นได้อย่างง่ายดายด้วยxinputคำสั่ง ดูการแยก GUIสำหรับรายละเอียดเพิ่มเติม ¹

ตัวบันทึกคีย์ของ linux จำเป็นต้องมีการเข้าถึงรูทก่อนจึงจะสามารถตรวจสอบคีย์บอร์ดได้ หากพวกเขาไม่ได้รับสิทธิพิเศษพวกเขาจะไม่สามารถเรียกใช้ตัวบันทึกคีย์ได้ สิ่งเดียวที่คุณทำได้คือตรวจสอบรูทคิท เมื่อต้องการทำเช่นนั้นคุณสามารถใช้CHKROOTKIT

^{¹ที่มา: superuser.com}

— มิทช์
แหล่งที่มา

1

ฉันสับสนเล็กน้อย: "โปรแกรมใด ๆ สามารถรับรหัสสแกนของปุ่มกดในระบบ X Window" เทียบกับ "ตัวบันทึกคีย์ linux จำเป็นต้องมีการเข้าถึงรูทก่อนจึงจะสามารถตรวจสอบคีย์บอร์ดได้" นั่นไม่ใช่ความขัดแย้งใช่มั้ย

— guntbert

1

และเพียงเพื่อจะจู้จี้จุกจิก: มี keyloggers ใน repo ของเนื่องจากมีกรณีการใช้งานที่ถูกต้องสำหรับหนึ่งที่จะนำเสนอ (ดูpackages.ubuntu.com/raring/logkeys ) ดังนั้นจึงไม่ได้เรียก ;-)

— Rinzwind

ใครเป็นผู้ตรวจสอบซอร์สโค้ดสำหรับโปรแกรม chkrootkit C ทั้งหมดโดยเฉพาะสคริปต์“ chkrootkit” เพื่อให้แน่ใจว่าพวกเขาไม่ได้ติดไวรัสคอมพิวเตอร์ของเราด้วยรูทคิทหรือตัวบันทึกคีย์

— Curt

@guntbert หาก X กำลังทำงานโดยค่าเริ่มต้นซอฟต์แวร์ใด ๆ ที่สามารถเข้าถึงเซสชัน X สามารถล็อกคีย์ได้ไม่เช่นนั้นคุณต้องมีสิทธิ์ในการเข้าถึงอุปกรณ์เหตุการณ์ linux โดยตรง (รูทนั้นมีเฉพาะในการกำหนดค่าบางอย่าง)

— L29Ah

1

Linux keyloggers สามารถทำจากภาษาที่เข้ากันได้กับระบบและจะต้องใช้ที่จัดเก็บไฟล์ในตัวเครื่องเพื่อบันทึกข้อมูลนี้และหากตั้งโปรแกรมให้ทำเช่นนั้นหากคุณมี keylogger ที่ถูกตั้งโปรแกรมหรือดาวน์โหลดด้วยตนเองเพื่อทำงานกับสิ่งนี้ ระบบปฏิบัติการจริง ๆ แล้วมันอาจเป็นไฟล์อาจถูกเปลี่ยนชื่อให้ดูเหมือนไฟล์ระบบได้ทุกที่ในระบบ

ครั้งล่าสุดที่ฉันสร้าง / มี keylogger ในระบบของฉันนี่เป็นสถานการณ์และมันง่ายต่อการตรวจจับและลบ แต่มันรวมการค้นหาแหล่งด้วยตนเองและใช้เวลาเล็กน้อย

หากคุณมี keylogger ประเภทนี้ฉันจะพยายามค้นหาและลบมัน แต่ถ้ามันเป็นสิ่งที่ดาวน์โหลดหรือติดตั้งฉันคิดว่ามันไม่น่าเป็นไปได้อย่างมากเพราะ Linux เป็นระบบปฏิบัติการที่ปลอดภัยซึ่งมักจะไม่สงสัย รูปแบบของไวรัสที่ปกติแล้วคุณจะพบในระบบ Windows

— cossacksman
แหล่งที่มา