Làm cách nào để phát hiện keylogger trên hệ thống của tôi?

52

Làm thế nào tôi có thể biết nếu có một keylogger trong hệ thống của tôi, hoặc ít nhất là nếu một cái đang hoạt động ngay bây giờ?

keyboard  security 
NaomiJO
nguồn
2
Trong Ubuntu, trừ khi nó đã bị bẻ khóa hoặc bị hack (kịch bản hiếm), sự hiện diện của Keylogger là không thể. Nó có Module bảo mật khác biệt và mạnh mẽ so với windows.
atenz
2
@atenz Không đúng, nếu bạn đang chạy trình quản lý hiển thị X.org. Chỉ để xem việc thỏa hiệp bảo mật dễ dàng như thế nào, google 'cách ly GUI'. So sánh, Windows đã thực hiện cách ly GUI tốt hơn kể từ Vista.
Nanashi No Gombe

Câu trả lời:

44

Là một keylogger đang chạy ngay bây giờ?

  • Trước tiên, chúng tôi sẽ cho rằng bạn đang sử dụng hệ thống Ubuntu có cài đặt X và luôn nằm trong tầm kiểm soát của X - trong đó X là chính bạn hoặc người mà bạn hoàn toàn tin tưởng.

  • Vì đây là hệ thống chứng khoán và tất cả phần mềm đã được cài đặt từ kho chính thức, nên bạn có thể chắc chắn rằng không có keylogger ẩn trong đó, ví dụ như ai đó sửa đổi kernel đặc biệt để theo dõi bạn nên rất khó phát hiện.

  • Sau đó, nếu một keylogger đang chạy, quá trình của nó sẽ hiển thị. Tất cả những gì bạn cần làm là sử dụng ps -auxhoặc htopxem danh sách tất cả các quy trình đang chạy và tìm hiểu xem có gì đáng nghi hay không.

    • Các keylogger Linux "hợp pháp" phổ biến nhất là lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys là cái duy nhất có sẵn trong kho Ubuntu.

Có phải tôi đã vô tình tải xuống một keylogger trojan / virus ?

  • Thông thường rủi ro này là rất nhỏ trên Ubuntu / Linux vì các đặc quyền ( su) bắt buộc.
  • Bạn có thể thử sử dụng trình phát hiện "rootkit" như Mitch đã lưu ý trong câu trả lời của mình .
  • Mặt khác, nó đi xuống phân tích pháp y, chẳng hạn như quá trình theo dõi / gỡ lỗi, xem xét sửa đổi tập tin / dấu thời gian giữa các lần khởi động, đánh hơi hoạt động mạng, v.v.

Điều gì xảy ra nếu tôi sử dụng hệ thống Ubuntu "không đáng tin cậy"?

Vậy điều gì sẽ xảy ra nếu bạn đang ở trong internet / cybercafe, tại thư viện, tại nơi làm việc, v.v.? Hay thậm chí là một máy tính gia đình được sử dụng bởi nhiều thành viên trong gia đình?

Vâng, tất cả các cược được tắt trong trường hợp đó. Khá dễ dàng để theo dõi các tổ hợp phím của bạn nếu ai đó có đủ kỹ năng / tiền bạc / quyết tâm:

  • Những keylogger ẩn được sửa đổi kernel mà gần như không thể giới thiệu vào hệ thống của người khác sẽ dễ dàng giới thiệu hơn khi bạn là quản trị viên của phòng thí nghiệm máy tính công cộng và đưa chúng vào hệ thống của riêng bạn.
  • Có các phần cứng USB hoặc PS / 2 keylogger nằm giữa bàn phím và máy tính, ghi nhật ký từng tổ hợp phím vào bộ nhớ tích hợp; chúng có thể được ẩn bên trong bàn phím hoặc thậm chí bên trong vỏ máy tính.
  • Máy ảnh có thể được định vị để có thể nhìn thấy tổ hợp phím của bạn hoặc có thể được tìm ra.
  • Nếu vẫn thất bại, một cảnh sát luôn có thể gửi những kẻ độc ác của họ sau khi bạn buộc bạn phải nói với họ những gì bạn đã gõ tại gunpoint: /

Vì vậy, cách tốt nhất bạn có thể làm với một hệ thống không tin cậy là lấy Live-CD / Live-USB của riêng bạn và sử dụng nó, lấy bàn phím không dây của riêng bạn và cắm nó vào cổng usb khác với bàn phím của chính hệ thống đang bật ( loại bỏ các bộ ghi phần cứng cả ẩn trong bàn phím và các bộ ghi trên cổng đó trong máy tính, với hy vọng chúng không sử dụng bộ ghi phần cứng cho mỗi cổng trên toàn bộ hệ thống), tìm hiểu cách phát hiện các camera (bao gồm cả các điểm có khả năng cho các bộ ẩn) và nếu bạn ở trong trạng thái cảnh sát, hãy hoàn thành những gì bạn đang làm và ở một nơi khác trong thời gian ngắn hơn thời gian trả lời của cảnh sát địa phương.

được
nguồn
Câu hỏi của tôi đã được định hướng nhiều hơn về điểm cuối cùng của bạn. Ba ví dụ bạn đề cập thực sự không liên quan đến hệ thống, vì vậy sử dụng CD trực tiếp sẽ không giúp ích gì. Tôi chỉ nói về bản thân hệ thống, không phải máy ảnh hay những thứ phần cứng khác. Làm thế nào tôi có thể biết nếu có một cái móc trên hệ thống của tôi ghi lại các khóa của tôi?
NaomiJO
13

Tôi chỉ muốn đưa vào một thứ mà tôi không biết đã tồn tại trên Linux: Nhập văn bản an toàn.

Trên xterm, Ctrl+ nhấp -> "Bàn phím bảo mật". Điều này đưa ra yêu cầu cô lập tổ hợp phím xterm khỏi các ứng dụng x11 khác. Điều này không ngăn chặn logger kernel, nhưng chỉ là một cấp độ bảo vệ.

andychase
nguồn
2
Câu trả lời của bạn là người duy nhất cung cấp cho tôi một số hiểu biết mới. Tôi không bao giờ biết xterm có khả năng này.
shivams
9

Có, Ubuntu có thể có một bộ ghi chép khóa. Nó rất xa, nhưng nó có thể xảy ra. Nó có thể được khai thác thông qua trình duyệt và kẻ tấn công có thể chạy mã với các đặc quyền người dùng của bạn. Nó có thể sử dụng các dịch vụ tự động khởi động các chương trình khi đăng nhập. Bất kỳ chương trình nào cũng có thể nhận được mã quét của các phím được nhấn trong Hệ thống X Window. Nó dễ dàng được chứng minh bằng xinputlệnh. Xem cách ly GUI để biết thêm chi tiết. 1

logger key linux cần có quyền truy cập root trước khi chúng có thể theo dõi bàn phím. trừ khi họ không đạt được đặc quyền đó, họ không thể chạy một trình ghi nhật ký chính. Điều duy nhất bạn có thể làm là kiểm tra rootkit. Để làm điều đó bạn có thể sử dụng CHKROOTKIT

1 Nguồn: superuser.com

Mitch
nguồn
1
Tôi hơi bối rối: "Bất kỳ chương trình nào cũng có thể nhận được mã quét các phím được nhấn trong Hệ thống X Window." so với "logger key linux cần có quyền truy cập root trước khi chúng có thể giám sát bàn phím." Đó không phải là một mâu thuẫn sao?
guntbert
1
Và chỉ để được kén chọn: có keylogger trong repo là kể từ khi có những trường hợp sử dụng có giá trị trong một có mặt (xem packages.ubuntu.com/raring/logkeys ) nên nó không phải là xa vời ;-)
Rinzwind
Ai đã xem xét mã nguồn cho tất cả các chương trình chkrootkit C, đặc biệt là tập lệnh Ch chrorokitkit, để đảm bảo rằng chúng không lây nhiễm máy tính của chúng tôi bằng rootkit hoặc logger?
Curt
@guntbert Nếu X đang chạy, theo mặc định, bất kỳ phần mềm nào có thể truy cập phiên X đều có thể ghi nhật ký khóa, nếu không, bạn cần có quyền truy cập trực tiếp vào thiết bị sự kiện linux (chỉ có root mới có một số cấu hình).
L29Ah
1

Các keylogger Linux có thể được tạo từ các ngôn ngữ tương thích với hệ thống và sẽ yêu cầu sử dụng lưu trữ tệp cục bộ để ghi dữ liệu này và, nếu được lập trình để làm như vậy, nếu bạn có một keylogger được lập trình hoặc tải xuống theo cách thủ công để làm việc với điều này hệ điều hành sau đó nó thực sự có thể là một tệp, có thể được đổi tên thành trông giống như một tệp hệ thống, ở bất cứ đâu trên hệ thống.

Lần trước tôi đã tạo / có một keylogger trên hệ thống của mình, đây là tình huống và rất dễ phát hiện và loại bỏ nhưng nó bao gồm việc tìm kiếm thủ công nguồn và điều này mất một ít thời gian.

Nếu bạn có một keylogger loại này, tôi sẽ cố gắng tìm và xóa nó nhưng nếu nó thực sự là thứ gì đó đã được tải xuống hoặc cài đặt thì tôi coi điều này rất khó xảy ra vì Linux là một hệ điều hành an toàn thường không bị nghi ngờ các dạng virus bạn thường thấy trên các hệ thống Windows.

cossacksman
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.