Как я могу обнаружить кейлоггер в моей системе?

Question 1

Как я могу узнать, есть ли в моей системе клавиатурный шпион или, по крайней мере, активен ли он сейчас?

Question 2

Кейлоггер запущен прямо сейчас?

Во-первых, мы предположим, что вы используете стандартную систему Ubuntu, которую установил X и которая всегда была под контролем X -- где X - это вы или кто-то, кому вы абсолютно доверяете.
Так как это фондовая система и все программное обеспечение было установлено из официальных репозиториев, вы можете быть уверены, что там нет скрытого кейлоггера, например, кто-то специально модифицирует ядро, чтобы шпионить за вами так, что его очень трудно обнаружить.
Тогда, если кейлоггер запущен, его процесс (процессы) будет виден. Всё, что вам нужно сделать, это использовать ps -aux, или htop, чтобы просмотреть список всех запущенных процессов и выяснить, не вызывает ли что-нибудь подозрений.
- Наиболее распространённые "легальные" кейлоггеры Linux - это lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys единственный доступный в репозиториях Ubuntu.

Неужели я случайно загрузил троян/вирус кейлоггер ?

Обычно этот риск на Ubuntu/Linux очень минимален из-за требуемых привилегий (su).
Вы можете попробовать использовать "руткит" детектор, как отметил Митч в своем ответе.
Иначе все сводится к криминалистической экспертизе, такой как отслеживание/отладка процессов, просмотр модификаций файлов/меток времени между загрузками, прослушивание сетевой активности и т.д.

А что, если я на "недоверенной" системе Ubuntu?

Ну и что, если вы находитесь в интернете/киберкафе, в библиотеке, на работе и т.д.? Или даже домашний компьютер, которым пользуются многие члены семьи?

Ну, в этом случае все ставки отменяются. Довольно легко шпионить за нажатиями клавиш, если у кого-то достаточно навыков/денег/определения:

Те скрытые кейлоггеры, модифицирующие ядро, которые так практически невозможно внедрить в чужую систему, гораздо проще внедрить, когда вы являетесь администратором публичной компьютерной лаборатории и размещаете их на своих собственных системах.
Есть аппаратные кейлоггеры USB или PS/2, которые сидят между клавиатурой и компьютером, регистрируя каждое нажатие клавиши во встроенной памяти; они могут быть спрятаны внутри клавиатуры или даже внутри корпуса компьютера.
Камеры могут быть расположены так, чтобы ваши нажатия клавиш были видны или понятны.
Если всё остальное не удаётся, полицейское государство всегда может послать за вами своих головорезов, чтобы заставить вас рассказать им, что вы печатали под дулом пистолета :/

Итак, Лучшее, что вы можете сделать с ненадежной системой, это взять свой собственный Live-CD/Live-USB и использовать его, взять свою собственную беспроводную клавиатуру и подключить ее к порту USB, а не к той, на которой находится собственная клавиатура системы (устранение аппаратных логгеров как скрытые на клавиатуре, так и те, что на этом порту скрыты в компьютере, в надежде, что они не будут использовать аппаратный логгер для каждого порта во всей системе), научатся обнаруживать камеры (в том числе вероятные пятна для скрытых), и если вы находитесь в полицейском состоянии, закончите то, что вы делаете, и будете в другом месте в течение меньшего времени, чем время реакции местной полиции.

Question 3

Question 4

Я просто хочу добавить кое-что, о существовании которого я не знал в Linux : Безопасный ввод текста.

В xterm, Ctrl + щелчок -> «Защищенная клавиатура». Это делает запрос на изоляцию нажатий клавиш xterm от других приложений x11. Это не препятствует использованию средств ведения журнала ядра, но представляет собой лишь один уровень защиты.

Question 5

Да, Ubuntu может иметь регистратор ключей. Это далеко зашло, но может случиться. Его можно использовать через браузер, а злоумышленник может запустить код с вашими пользовательскими привилегиями. Он может использовать службы автозапуска, которые запускают программы при входе в систему. Любая программа может получить код сканирования нажатых клавиш в X Window System. Это легко демонстрируется командой xinput. Смотрите изоляцию графического интерфейса для получения более подробной информации.¹

регистраторы клавиш linux должны иметь доступ с правами суперпользователя, прежде чем они смогут контролировать клавиатуру. если они не получат эту привилегию, они не смогут запустить регистратор клавиш. Единственное, что вы можете сделать, это проверить руткиты. Для этого вы можете использовать CHKROOTKIT

^{¹Источник:superuser.com}

Question 6

Кейлоггеры Linux могут быть созданы на языках, совместимых с системой, и для них потребуется использование локального файлового хранилища для записи этих данных и, если это запрограммировано, если у вас есть кейлоггер который был вручную запрограммирован или загружен для работы с этой операционной системой, то на самом деле это может быть файл, возможно, переименованный, чтобы он выглядел как системный файл, в любом месте системы.

В прошлый раз, когда я создавал / использовал кейлоггер в моей системе, это была ситуация, и ее было легко обнаружить и удалить, но она включала поиск источника вручную, а это заняло немного времени.

Если у вас есть кейлоггер из этот тип, я бы попытался найти и удалить его, но если это действительно что-то, что было загружено или установлено, я считаю это маловероятным, поскольку Linux - это безопасная операционная система, которая обычно не подозревается в отношении форм вирусов, которые вы обычно обнаруживаете. в системах Windows.

dessert · Accepted Answer · 31 July 2012 в 07:40

Кейлоггер запущен прямо сейчас?

Во-первых, мы предположим, что вы используете стандартную систему Ubuntu, которую установил X и которая всегда была под контролем X -- где X - это вы или кто-то, кому вы абсолютно доверяете.
Так как это фондовая система и все программное обеспечение было установлено из официальных репозиториев, вы можете быть уверены, что там нет скрытого кейлоггера, например, кто-то специально модифицирует ядро, чтобы шпионить за вами так, что его очень трудно обнаружить.
Тогда, если кейлоггер запущен, его процесс (процессы) будет виден. Всё, что вам нужно сделать, это использовать ps -aux, или htop, чтобы просмотреть список всех запущенных процессов и выяснить, не вызывает ли что-нибудь подозрений.
- Наиболее распространённые "легальные" кейлоггеры Linux - это lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys единственный доступный в репозиториях Ubuntu.

Неужели я случайно загрузил троян/вирус кейлоггер ?

Обычно этот риск на Ubuntu/Linux очень минимален из-за требуемых привилегий (su).
Вы можете попробовать использовать "руткит" детектор, как отметил Митч в своем ответе.
Иначе все сводится к криминалистической экспертизе, такой как отслеживание/отладка процессов, просмотр модификаций файлов/меток времени между загрузками, прослушивание сетевой активности и т.д.

А что, если я на "недоверенной" системе Ubuntu?

Ну и что, если вы находитесь в интернете/киберкафе, в библиотеке, на работе и т.д.? Или даже домашний компьютер, которым пользуются многие члены семьи?

Ну, в этом случае все ставки отменяются. Довольно легко шпионить за нажатиями клавиш, если у кого-то достаточно навыков/денег/определения:

Те скрытые кейлоггеры, модифицирующие ядро, которые так практически невозможно внедрить в чужую систему, гораздо проще внедрить, когда вы являетесь администратором публичной компьютерной лаборатории и размещаете их на своих собственных системах.
Есть аппаратные кейлоггеры USB или PS/2, которые сидят между клавиатурой и компьютером, регистрируя каждое нажатие клавиши во встроенной памяти; они могут быть спрятаны внутри клавиатуры или даже внутри корпуса компьютера.
Камеры могут быть расположены так, чтобы ваши нажатия клавиш были видны или понятны.
Если всё остальное не удаётся, полицейское государство всегда может послать за вами своих головорезов, чтобы заставить вас рассказать им, что вы печатали под дулом пистолета :/

Итак, Лучшее, что вы можете сделать с ненадежной системой, это взять свой собственный Live-CD/Live-USB и использовать его, взять свою собственную беспроводную клавиатуру и подключить ее к порту USB, а не к той, на которой находится собственная клавиатура системы (устранение аппаратных логгеров как скрытые на клавиатуре, так и те, что на этом порту скрыты в компьютере, в надежде, что они не будут использовать аппаратный логгер для каждого порта во всей системе), научатся обнаруживать камеры (в том числе вероятные пятна для скрытых), и если вы находитесь в полицейском состоянии, закончите то, что вы делаете, и будете в другом месте в течение меньшего времени, чем время реакции местной полиции.

mature · Answer 2 · 31 July 2012 в 07:40

Я просто хочу добавить кое-что, о существовании которого я не знал в Linux : Безопасный ввод текста.

В xterm, Ctrl + щелчок -> «Защищенная клавиатура». Это делает запрос на изоляцию нажатий клавиш xterm от других приложений x11. Это не препятствует использованию средств ведения журнала ядра, но представляет собой лишь один уровень защиты.

Community · Answer 3 · 31 July 2012 в 07:40

Да, Ubuntu может иметь регистратор ключей. Это далеко зашло, но может случиться. Его можно использовать через браузер, а злоумышленник может запустить код с вашими пользовательскими привилегиями. Он может использовать службы автозапуска, которые запускают программы при входе в систему. Любая программа может получить код сканирования нажатых клавиш в X Window System. Это легко демонстрируется командой xinput. Смотрите изоляцию графического интерфейса для получения более подробной информации.¹

регистраторы клавиш linux должны иметь доступ с правами суперпользователя, прежде чем они смогут контролировать клавиатуру. если они не получат эту привилегию, они не смогут запустить регистратор клавиш. Единственное, что вы можете сделать, это проверить руткиты. Для этого вы можете использовать CHKROOTKIT

^{¹Источник:superuser.com}

cossacksman · Answer 4 · 31 July 2012 в 07:40

Кейлоггеры Linux могут быть созданы на языках, совместимых с системой, и для них потребуется использование локального файлового хранилища для записи этих данных и, если это запрограммировано, если у вас есть кейлоггер который был вручную запрограммирован или загружен для работы с этой операционной системой, то на самом деле это может быть файл, возможно, переименованный, чтобы он выглядел как системный файл, в любом месте системы.

В прошлый раз, когда я создавал / использовал кейлоггер в моей системе, это была ситуация, и ее было легко обнаружить и удалить, но она включала поиск источника вручную, а это заняло немного времени.

Если у вас есть кейлоггер из этот тип, я бы попытался найти и удалить его, но если это действительно что-то, что было загружено или установлено, я считаю это маловероятным, поскольку Linux - это безопасная операционная система, которая обычно не подозревается в отношении форм вирусов, которые вы обычно обнаруживаете. в системах Windows.

Как я могу обнаружить кейлоггер в моей системе?

4 ответа

Кейлоггер запущен прямо сейчас?

Неужели я случайно загрузил троян/вирус кейлоггер ?

А что, если я на "недоверенной" системе Ubuntu?

Другие вопросы по тегам:

Похожие вопросы: