Софт

клавиатурный шпион без установки

Рейтинг: 4.4/5.0 (572 проголосовавших)

Категория: Windows

Описание

ОБЗОР КЛАВИАТУРНЫХ ШПИОНОВ И МЕТОДЫ БОРЬБЫ С НИМИ

Национальный авиационный университет, Украина

ОБЗОР КЛАВИАТУРНЫХ ШПИОНОВ И МЕТОДЫ БОРЬБЫ С НИМИ.

Программное обеспечение и аппаратные устройства, предназначенные для скрытого слежения за деятельностью пользователей персональных компьютеров, получили в последнее время самое широкое распространение.

Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно (как правило, дистанционно) установлены без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера.

Клавиатурные шпионы — это программы для скрытной записи информации о нажимаемых пользователем клавишах. У термина «клавиатурный шпион» существует ряд синонимов: Keyboard Logger, KeyLogger, кейлоггер; реже встречаются термины «снупер», «snoop», «snooper» (от англ. snoop — буквально «человек, вечно сующий нос в чужие дела»).

Как правило, современные клавиатурные шпионы не просто записывают коды вводимых клавиш — они как бы привязывают клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют делать снимки экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Записываемая информация сохраняется на диске, и большинство современных клавиатурных шпионов могут формировать различные отчеты, передавать их по электронной почте или по протоколам FTP и HTTP. Кроме того, ряд современных клавиатурных шпионов пользуется технологиями RootKit для маскировки следов своего присутствия в операционной системе.

Применение несанкционированно устанавливаемых мониторинговых программ и аппаратных средств позволяет злоумышленнику:

• перехватывать чужую информацию;

• осуществлять экономический или политический шпионаж;

• получать несанкционированный доступ к системам «банк-клиент»;

• получать несанкционированный доступ к системам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;

• получать несанкционированный доступ к авторизационным данным кредитных карточек и т.д.

Целью статьи является обзор клавиатурных шпионов, а также рассмотре­ние основных методов борьбы с ними.

Аппаратные клавиатурные шпионы.

Это миниатюрные встроенные устройства, расположенные между клавиатурой и компьютером. Из-за их маленьких размеров они часто остаются незамеченными длительное время, однако они требуют физического доступа к оборудованию. Эти устройства могут записывать сотни символов, введенных с клавиатуры, включая почтовые и банковские реквизиты.

Аппаратные кейлоггеры (keystroke recording device, hardware keylogger и пр.) представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш. Процесс этот абсолютно незаметен для пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере интересующего объекта, чтобы успешно перехватывать все нажатия клавиш. Такое устройство может быть тайно прикреплено к ПК кем угодно - коллегой, уборщицей, посетителем и т.д. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном.

Затем атакующий может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш. Прикрепить данное устройство к компьютеру пользователя очень легко. Внешний вид этих устройств настолько многообразен, что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита.

Особо известны на рынке аппаратные кейлоггеры KeyKatcher, KeyGhost, MicroGuard, Hardware KeyLogger, производителями которых являются компании Alien Concepts, Inc. Amecisco, KeyGhost, Ltd. MicroSpy, Ltd.

Аппаратные кейлоггеры подразделяются на внешние и внутренние, их особенности описаны ниже.

Внешние аппаратные кейлоггеры.

Наружные аппаратные кейлоггеры подключаются между обычной клавиатурой ПК и компьютером и регистрируют каждое нажатие клавиш. Им не нужны ни батареи, ни программы, и они могут работать на любом ПК. Можно подключить их к одному компьютеру, чтобы записать информацию, а затем к другому, чтобы воспроизвести ее. Современные аппаратные кейлоггеры представляют собой приспособления, которые выглядят, как оборудование для ПК.

Внутренние аппаратные кейлоггеры.

Сложнее всего обнаружить (и обезвредить) внутренний аппаратный кейлоггер, у которого аппаратный модуль перехвата нажатий клавиш встроен в корпус клавиатуры.

Он представляет собой встроенное небольшое устройство, внедренное в разрыв шнура клавиатуры и покрытое изоляционным материалом.

Для поиска клавиатурных шпионов на домашнем компьютере вполне достаточно удостовериться в отсутствии программ-кейлоггеров. Но в корпоративной среде, в частности на компьютерах, применяемых для выполнения банковских операций, для проведения электронных торгов или для решения задач, связанных с обработкой секретных документов, имеется опасность применения аппаратных средств, предназначенных для регистрации вводимой с клавиатуры информации. Рассмотрим основные каналы утечки информации с точки зрения применения аппаратных средств.

Рис. 3. Возможные места аппаратного перехвата вводимой информации

1. Аппаратная закладка внутри клавиатуры

В любой клавиатуре обычно бывает много полостей, размер которых достаточен для размещения небольшой платы. Питание устройства и съем информации может производиться путем непосредственного подключения к печатной плате контроллера клавиатуры. Аппаратная закладка может быть установлена вручную или промышленным способом.

Методика противодействия: вскрытие клавиатуры и ее проверка на предмет наличия посторонних электронных узлов с последующим пломбированием корпуса клавиатуры при помощи пломбира или стикера.

2. Считывание данных с кабеля клавиатуры бесконтактным методом

Данная методика предполагает считывание информации посредством бесконтактного датчика. Для установки такого устройства не требуется ни вскрытия клавиатуры, ни включения каких-либо устройств в разрыв кабеля. Бесконтактный аппаратный кейлоггер должен иметь автономное питание, а его устройство значительно сложнее, чем в случае непосредственного подключения. По внешнему виду подобное устройство может выглядеть как съемный фильтр помех, надеваемый на кабель.

Методика противодействия: бесконтактное считывание наиболее эффективно в случае размещения датчика в непосредственной близости от кабеля клавиатуры (а еще лучше — вокруг этого кабеля), а потому при проверке рабочих мест необходимо убедиться в отсутствии посторонних предметов неизвестного назначения вблизи кабеля клавиатуры или непосредственно на нем.

3. Включение устройства в разрыв кабеля

Клавиатурные шпионы данного типа являются самыми распространенными и их легко как установить, так и обнаружить. Аппаратный кейлоггер выполняется в виде небольшого устройства, которое включается в PS/2- или USB-разъем компьютера, а клавиатура включается в разъем на корпусе кейлоггера. Для выполнения подобной операции не требуется никакой квалификации, причем подключение кейлоггера к USB-клавиатуре может производиться без выключения компьютера. Известен ряд серийно выпускаемых устройств, например KEYKatcher Hardware Keyloggers (http://www.keykatcher.com), который выпускается в двух видах — для PS/2- и USB-клавиатур.

Рис.4. Компьютер с установленным аппаратным кейлоггером KeyGhost

Аппаратный кейлоггер может выглядеть как фильтр помех или переходник. Устройство состоит из входных цепей, предназначенных для фильтрации помех и защиты устройства от перенапряжения, микроконтроллера с малым потреблением электроэнергии и Flash-памяти, предназначенной для хранения собираемой информации. Объем Flash-памяти варьируется от 32 Кбайт до десятков мегабайт; типичный объем — от 128 Кбайт до 2 Мбайт.

Рис. 5 Функциональная схема аппаратного кейлоггера

Методика противодействия: периодический осмотр рабочего места на предмет наличия посторонних устройств, включенных в разрыв кабеля клавиатуры. Штекер клавиатуры довольно просто защитить стикером, нарушаемым при извлечении штекера из разъема.

4. Аппаратная закладка внутри системного блока

Этот шпион не отличается по принципу действия от устройств типов 1 и 3, но размещается внутри системного блока. Установить его может только специалист, причем для этого потребуется вскрытие корпуса.

Методика противодействия: пломбирование системного корпуса при помощи стикеров. Перед пломбировкой необходимо исследовать содержимое системного блока и убедиться в отсутствии посторонних устройств (типовое место подключения — материнская плата; подключение производится параллельно разъему клавиатуры).

5. Съем информации на основании анализа акустических и электромагнитных излучений

Уловить электромагнитное излучение клавиатуры на расстоянии весьма сложно (хотя теоретически и возможно), но уловить акустические шумы — на порядок проще. Даже при разговоре по телефону иногда можно отчетливо услышать, как собеседник вводит информацию на клавиатуре. Исследования специалистов в области безопасности показывают, что каждая клавиша при нажатии производит специфический звук, позволяющий идентифицировать нажимаемые клавиши. Наиболее известная работа в этом направлении проведена учеными Калифорнийского университета в Беркли, которые пришли к выводу, что по обычной звукозаписи можно распознавать от 60 до 96% вводимых символов. Без применения специализированных программ для анализа можно достаточно просто установить количество символов в набираемом пароле и наличие повторяющихся символов.

Методика противодействия: основной способ защиты от утечки информации путем анализа акустических сигналов — постоянный и планомерный инструктаж персонала.

Клавиатурный шпион на базе драйвера

Данный метод еще более эффективен, чем описанные выше. Возможны как минимум два варианта реализации этого метода — написание и установка в систему своего драйвера клавиатуры вместо штатного или установка драйвера-фильтра. Применение драйвера-фильтра, на наш взгляд, является наиболее корректной методикой.

Работа кейлоггеров данного типа основана на установке драйвера, подключаемого к драйверу клавиатуры в качестве фильтра. Пример реализации фильтра клавиатуры приведен в DDK, и данный шпион является одним из самых простых в плане как реализации, так и обнаружения.

Клавиатурный шпион этого типа может быть построен по одной из двух схем:

драйвер-фильтр в сочетании с управляющим приложением, которое выполняет установку, загрузку и настройку драйвера. Драйвер передает информацию о нажимаемых клавишах управляющему приложению, которое производит обработку и протоколирование полученных данных;

полностью автономный драйвер самостоятельно ведет запись событий. В данном случае требуется только произвести первичную установку драйвера в систему, после чего установившее драйвер приложение может самоуничтожиться. Возможно решение и без приложения-инсталлятора — в этом случае драйвер устанавливается при помощи INF-файла.

В момент загрузки драйвер должен подключиться к стеку клавиатурного драйвера посредством функций IoCreateDevice и IoAttachDevice. В большинстве известных реализаций фильтр подключается к стеку устройства «\\Device\\KeyboardClass0», являющегося драйвером класса и реализующего общую функциональность для клавиатур различных типов (рис. 6).

Рис. 6. Общая функциональность для клавиатур различных типов.

Для клавиатурного шпиона будут представлять интерес только прерывания типа IRP_MJ_READ, поскольку на основе их анализа можно получить коды клавиш. Источником этих IRP-запросов является процесс csrss.exe, а точнее — принадлежащий этому процессу поток необработанного ввода RawInputThread. Посылаемое этим потоком прерывание сначала попадает к драйверу-фильтру шпиона (шаг 1), который устанавливает свой обработчик завершения при помощи функции IoSetCompletionRoutine и передает IRP драйверу Kbdclass (шаг 2). Тот, в свою очередь, помечает IRP как ожидающий завершения и ставит в очередь. При возникновении клавиатурных событий Kbdclass извлекает из очереди ожидающий завершения IRP, вносит в его буфер информацию о нажатых клавишах и завершает IRP. А поскольку в IRP установлен адрес обработчика завершения, то будет произведен вызов этого обработчика (шаг 3). Обработчик может проанализировать содержимое буфера и передать содержащуюся там информацию системе протоколирования (шаг 4). Далее IRP возвращается в поток RawInputThread, а затем весь процесс повторяется. Естественно, что наличие корректно написанного драйвера-фильтра никак не сказывается на работе приложений и обеспечивает глобальный перехват клавиатурного ввода.

Обнаружение описанного шпиона не представляет особой сложности, — для его поиска достаточно изучить стек клавиатурного драйвера на предмет наличия неопознанных драйверов-фильтров.

Подмена драйвера клавиатуры

Данный метод в действительности основан на подмене драйвера Kbdclass или одного из низкоуровневых драйверов клавиатуры драйвером собственной разработки. Сложность реализации указанного метода состоит в том, что заранее неизвестен тип применяемой пользователем клавиатуры, а потому подмену драйвера сравнительно просто обнаружить. Вследствие этого подобный метод практически не встречается.

Методы противодействия программам-шпионам.

Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы, которые с помощью сигнатурного анализа обеспечивают более или менее эффективную защиту только против известных программ-шпионов. Для эффективной работы программ этого типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить ее в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться сданным вариантом программы-шпиона. По такому принципу работают многие известные фирмы - производители антивирусного программного обеспечения.

Что же может противопоставить пользователь персонального компьютера программам-шпионам? Решение данной проблемы возможно только в использовании комплекса программных продуктов.

Программный продукт №1 - тот, который использует эвристические механизмы защиты, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Его защита непрерывна, при этом он не использует никакие сигнатурные базы.

Программный продукт №2 - антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.

Программный продукт №3 - персональный firewall, контролирующий выход в Интернет с персонального компьютера на основании установок самого пользователя.

Такая последовательность выбрана неспроста.

Антивирусный программный продукт успевает отреагировать на проникновение вируса с keylogging-модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а соответственно, и обновиться на компьютере пользователя.

Персональный firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты).

А это приводит к тому, что та информация, которая уже была украдена при полном бездействии антивирусной программы, спокойно будет передана в Сеть на заранее подготовленный хакером (или кем-то иным) интернет-адрес. И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме.

Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие). Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и прочие).

А защитные программы первого типа представлены на сегодняшний день блокируют работу программ-шпионов без использования сигнатурных баз. Это стало возможным благодаря тому, что были найдены решения и разработаны алгоритмы, которые позволили отличить работу программы-шпиона от любого иного приложения, которое установлено в системе.

Программа первого типа должна иметь в своем составе модули, обеспечивающие:

• защиту от перехвата нажатий клавиш клавиатуры;

• защиту от перехвата текста из окон;

• защиту от снятия изображения рабочего стола;

• защиту от снятия изображения активных окон.

А также для собственной защиты от внешнего разрушительного воздействия программ-шпионов программа должна иметь систему контроля целостности и другие защитные функции.

Методы противодействия аппаратным кейлоггерам.

Никакие программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем персонального компьютера.

Сегодня существует только два метода противодействия аппаратным кейлоггерам при работе на стандартном персональном компьютере:

• физический поиск и устранение аппаратного кейлоггера;

• использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN-коды кредитных карт).

Клавиатурный шпион не является вирусом, но тем не менее представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя. Опасность клавиатурного шпиона может существенно возрасти при его сочетании с RootKit-технологией, которая позволяет замаскировать присутствие клавиатурного шпиона. Еще более опасной является троянская или backdoor-программа, содержащая клавиатурный шпион, — его наличие существенно расширяет функции троянской программы и ее опасность для пользователя.

Практика показывает, что разработчики вредоносных программ (вирусов, троянских программ, шпионского ПО) все чаще начинают использовать RootKit-технологии, что существенно затрудняет обнаружение и удаление созданных ими вредоносных программ. Чаще всего применяются методики перехвата функций в режиме пользователя, но в последнее время появились весьма эффективные реализации с применением драйверов.

Известно, что сегодня существует универсальная и надежная методика, позволяющая обойти аппаратный клавиатурный шпион, — это использование экранной клавиатуры и иных способов ввода информации без применения клавиатуры. Следует отметить, что большинство современных антикейлоггеров специально для этих целей содержат собственную встроенную экранную клавиатуру.

Поиск аппаратных кейлоггеров непременно следует включить в должностные обязанности сотрудников службы информационной безопасности. При этом, естественно, необходимо иметь в виду, что вероятность установки аппаратного кейлоггера прямо пропорциональна ценности информации, вводимой на рабочем месте.

1. OOO”Центр Информационной Безопасности” [Електронный ресурс] - режим доступу: http://www.bezpeka.biz. вільний.

2. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. – Санкт-Петербург. Наука и техника, 2004. – 384 с.

3. Статті [Електронний ресурс] - режим доступу: http://articles.org.ru/ -. вільний.

4. Д.Кнут Искусство программирования для ЭВМ. Сортировка и поиск. - М. Мир, 1978. - 843 с.

клавиатурный шпион без установки:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Клавиатурный шпион для Андроид

    Лучший клавиатурный шпион. Клавиатурный шпион для «Андроид»

    В данной статье будет рассмотрена информация о клавиатурном шпионе. Он представляет собой не оружие для хакеров или какой-либо инструмент контроля различных тайных организаций, а выступает в качестве стандартного средства для обеспечения личной безопасности. А она, как известно, необходима почти каждому человеку.

    Особенно данная программа необходима в случае, когда к устройству имеет доступ несколько пользователей. В последнее время спрос на подобные утилиты значительно возрос. Поэтому их разработкой занимаются многие компании. Правда, не любой клавиатурный шпион подходит в определенных ситуациях. Учитывая эту причину, желательно предварительно узнать, какими особенностями и достоинствами обладает отдельная утилита.

    Данный клавиатурный шпион способен полностью записывать все нажатые кнопки. Кроме того, он шифрует записанные им данные. Также необходимо учитывать, что в приложении предусмотрена возможность удаленного просмотра логов. Программа фиксирует тексты любых видов электронной почты, сообщения в разных устройствах. Кроме того, определяются изменения в текстовых файлах, информация, которая вводится пользователем на веб-страницах, клики мышкой, наименования открывающихся окон, время открытия и закрытия всевозможных приложений. Следует учесть, что данный софт способен сохранять набранные пароли и прочие элементы.

    Чтобы ввести правильные настройки, можно воспользоваться Wizard, который мигает перед глазами сразу после установки программы на жесткий диск. Необходимо помнить, что приложение легко обнаруживается почти любыми антивирусами. Именно поэтому его невозможно использовать скрытно.

    Что касается объема программы, он вполне стандартен для приложений данного класса и достигает 392 кб. Сам клавиатурный шпион относится к категории средних, однако при этом он простой в использовании. Программа способна автоматически отслеживать и сохранять постоянное нажатие определенных кнопок с клавиатуры, одновременно указывая время, наименование приложения, в которое выполнялся ввод данных, а также заголовок окна. Данный софт работает абсолютно невидимо благодаря функции скрытности:

    — файлов;
    — автоматической загрузки;
    — диспетчера задач и прочих.

    Если требуется сделать работу программы видимой, система запускается и управляется при помощи горячих клавиш, а логи просто отправляются на конкретный электронный ящик или сервер.

    Программу можно применить скрытно, потому как антивирусники функционируют в этом случае не очень активно. Основное преимущество состоит в том, что интерфейс является доступным и понятным. К недостаткам относится то, что утилита предлагается платно. Стоит отметить, что стоит она достаточно дорого.

    Кроме всех возможностей, предлагаемых любым клавиатурным шпионом для Андроид, а также других операционных систем, эта программа обладает множеством дополнительных функций. К самым интересным относится возможность совершения скриншотов с экрана в конкретный промежуток времени. Это позволяет выявить графический пароль, различные ограничители доступа к интернет-услугам, которые использовались объектом отслеживания. Также существует много других интересных моментов. Кроме того, необходимо отметить, что утилита отличается и другими особенными функциями, такими как:

    • запись времени открытия и закрытия программ.
    • различение регистра используемых кнопок;
    • контроль за содержимым буфера обмена;
    • слежение за работой принтеров;
    • мониторинг файловой компьютерной системы;
    • перехват сайтов, на которые выполнялись переходы, и прочее.

    Лог-файлы представленной программы шифруются, затем формируется отчет в html-формате или текстовом блокноте. Кроме того, существует возможность отправить его на электронный ящик пользователя, сервер или компьютер, используя для этого локальную сеть. Для просмотра логов также способен устанавливаться личныйй пароль.

    Чтобы пользователю было удобно работать, на размер текстовых логов либо скриншотов устанавливается ограничение. Это необходимо по той причине, что они занимают слишком много памяти. Кроме того, существует возможность установить ограничение и на объем буфера обмена. В случае копирования достаточно большого объема данных, запомнится только та часть, которая указывается. Стоит отметить, что это наилучший клавиатурный шпион на сегодняшний день, если сравнивать с другими.

    Удобство и безопасность

    Важно отметить, что представленная программа считается самой объемной среди всех, которые встречаются в интернете. Однако все не так сложно, как может показаться в описании. На самом деле, клавиатурный шпион для Андроид обладает объемом в 1.51 Мб. Особое внимание необходимо уделить продукции, выпущенной отечественными производителями. Именно поэтому освоить интерфейс программы нетрудно. Антивирусные программы успешно игнорируют появление представленной утилиты в системе. Правда, некоторые из них способны сигнализировать, что некоторые осуществляемые процессы вызывают подозрение.

    Является стандартной программой, отлично реализующей привычный набор функций. Утилита способна тщательно записывать и сохранять сайты, на которых побывал пользователь, сообщения электронного ящика, клики по клавишам, продолжительность использования и время отключения различных приложений, пароли. После этого предоставленную информацию можно внимательно изучить и проанализировать. Стоит отметить, что программой также отслеживаются документы, которые отправляются на самораспечатку. Клавиатурный шпион известен еще и тем, что антивирусные утилиты с трудом определяют его, а также процессы, осуществляемые ним.

    Перед использованием не обязательно производить запуск программы, так как она активируется самостоятельно вместе с операционной системой. Мало того, она загружается даже раньше, чтобы определить логин и пароль, предусмотренные в ходе запуска Windows. Необходимо учитывать тот факт, что программу нельзя удалить, если пользователь не знает специализированный пароль админа.

    Данный клавиатурный шпион не отображается в трее, а также не выдает каких-либо окон. Другими словами, его работа не видна. Программа способна определить, а также показывать нажатия не только стандартных кнопок, цифр и букв. Кроме них, ведется контроль за совершением кликов по служебным клавишам. Таковыми являются:

    — Shift;
    — Alt;
    — Ctrl и многие другие.

    Следует заметить, что программа с особой тщательностью знакомится со всеми операциями, совершаемыми в браузере. Другими словами, она фиксирует ссылки, которые вводятся пользователем, отслеживает, на каких страницах заполнялись различные поля и формы, запоминает заголовки.

    Особенности и безопасность

    Программа отличается большим числом различных нюансов и особенностей. В процессе установки необходимо обратить внимание на то, что именно устанавливается. То есть, выполняется скрытая загрузка или сама утилита. Это нужно для того, чтобы потом не мучиться, пытаясь удалить данный объект. Программа имеет много различных настроек, поэтому разобраться в них придется долго. Например, существует возможность внести изменения в режим съема экрана так, чтобы снимки высокого качества делались автоматически в определенные промежутки времени или при конкретных событиях. Данная функция очень удобна, она обеспечивает высокую эффективность утилиты в большинстве случаев.

    Также хотелось бы заметить, что можно произвести настройки таким образом, чтобы выполнялся полностью автоматический съем экрана. Это происходит подобно стандартными камерами наблюдения. Если же никаких действий не осуществляется, сохранение экрана на время останавливается, а дубли не выполняются. Благодаря этому пользователю не придется просматривать большое количество изображений, чтобы найти интересующую информацию. Немаловажно и то, что действия этой утилиты не способны обнаружить многие программы, которые называются антикейлоггерами.

    Учитывая это, об антивирусниках не стоит вести и речь. Удаление ненужных файлов выполняется автоматически. Это происходит тогда, когда журнал превышает установленные нормы. Таким образом, можно настроить все на свое усмотрение. Например, существует возможность указать, что проводить очистку следует только после формирования полноценного отчета, который необходимо отправить на электронную почту. Кроме того, отчеты могут отправляться при использовании FTP или сохраняться в сетевом окружении.

    Утилита написана на традиционном ассемблере, потому этот клавиатурный шпион для операционной системы Windows занимает только 13 Кб. Несмотря на это, она способна автоматически отслеживать нажатие кнопок в разных парольных окнах или консоли, контролировать буфер обмена. Программа имеет много других стандартных функций, оснащена специализированным скрепителем файлов, дающем возможность почти полностью избавиться от обнаружения исходных объектов по сигнатурам. Существует и личный текстовый редактор, позволяющий с комфортом работать с файлами дампа, решать вопрос перекодировки в кириллицу или осуществлять очистку от различного «мусора».

    При активации на собственном устройстве этой программы пользователь получает приложение, которое выполняет всевозможные настройки. В результате появляется исполняемый файл, представляющий собой многофункциональный клавиатурный шпион для Windows 7. Пароли и прочие текстовые данные, вводимые пользователем, сохраняются в лог автоматически. Стоит отметить, что даже после системной перезагрузки программа будет продолжать работать. Чтобы ее удалить ее с компьютера, придется задействовать специализированный настройщик-конфигуратора, а также горячие клавиши.

    По заверениям разработчика, данный клавиатурный шпион, представленный на русском языке, является невидимым для антивирусников и других подобных программ, предназначенных для контроля за такими «кейлоггерами». Многие антивирусные утилиты относятся абсолютно спокойно к полной версии этих приложений, однако практически сразу определяется бесплатная разработка. Кроме того, клавиатурным шпионом предложено достаточное количество настроек, правда, нормально просмотреть лог не очень просто. Что касается функциональности, она значительно отстает от других серьезных программ. Если возникла необходимость в установке клавиатурного шпиона на компьютер в качестве ознакомления, данная утилита прекрасно подходит для таких целей.

    Запись опубликована 16.08.2015 автором katrinas11 в рубрике Программы. Отблагодари меня, поделись ссылкой с друзьями в социальных сетях:

    Клавиатурные шпионы

    Клавиатурные шпионы

    Posted 9th Сентябрь, 2010 by rotonly

    Клавиатурные шпионы - это программа для скрытной записи информации о нажимаемых пользователем клавишах. У термина «Клавиатурный шпион » есть ряд синонимов: Keyboard Logger, KeyLogger, кейлоггер; реже встречается термины "снупер", "snoop", "snooper" (от англ. snoop - буквально "человек, вечно сующий нос в чужие дела")

    Как правило, современные Клавиатурные шпионы не просто записывает коды вводимых клавиш - он "привязывает" клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие Клавиатурные шпионы отслеживают список запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Записываемая информация сохраняется на диске и большинство современных Клавиатурных шпионов могут формировать различные отчеты, могут передавать их по электронной почте или http/ftp протоколу. Кроме того, ряд современных Клавиатурных шпионов пользуются RootKit технологиями для маскировки следов своего присутствия в системе.

    Для системы Клавиатурный шпион. как правило, безопасен. Однако он чрезвычайно опасен для пользователя – е его помощью можно перехватить пароли и прочую конфиденциальную информацию, вводимую пользователем. К сожалению, в последнее время известны сотни разнообразных келоггеров, причем многие из них не детектируются антивирусами.
    При возникновении неких событии ввода (нажатии клавиш, перемещении мыши) события обрабатываются соответствующим драйвером и помещается в системную очередь аппаратного ввода. В системе имеется особый поток необработанного ввода, называемый RIT (Raw Input Thread), который извлекает события из системной очереди и преобразует их в сообщения. Полученные сообщения помещаются в конец очереди виртуального ввода одного из потоков (виртуальная очередь потока называется VIQ – Virtualized Input Queue). При этом RIT сам выясняет, в очередь какого конкретно потока необходимо поместить событие. Для событий мыши поток определяется поиском окна, над которым расположен курсор мыши. Клавиатурные события отправляются только одному потоку – так называемому активному потоку (т.е. потоку, которому принадлежит окно, с которым работает пользователь). На самом деле это не совсем так - в частности, на рисунке показан поток A, не имеющий очереди виртуального ввода. В данном случае получатся, что потоки A и B совместно используют одну очередь виртуального ввода. Это достигается при помощи вызова API функции AttachThreadInput, которая позволяет одному потоку подключиться к очереди виртуального ввода другого потока.
    Слежение за клавиатурным вводом при помощи ловушек

    Данная методика является классической для Клавиатурных шпионов. Суть метода состоит в применении механизма ловушек (hook) операционной системы. Ловушки позволяют наблюдать за сообщениями, которые обрабатываются окнами других программ. Установка и удаление ловушек производится при помощи хорошо документированных функций API библиотеки user32.dll (функция SetWindowsHookEx позволяет установить ловушку, UnhookWindowsHookEx - снять ее). При установке ловушки указывается тип сообщений, для которых должен вызываться обработчик ловушки. В частности, есть два специальных типа ловушки WH_KEYBOARD и WH_MOUSE - для регистрации событий клавиатуры и мыши соответственно. Ловушка может быть установлена для заданного потока и для всех потоков системы. Ловушка для всех потоков системы очень удобна для построения клавиатурного шпиона.

    Код обработчика событий ловушки должен быть расположен в DLL. Это требование связано с тем, что DLL с обработчиком ловушки проецируется системой в адресное пространство всех GUI процессов. Интересной особенностью является то, что проецирование DLL происходит не в момент установки ловушки, а при получении GUI процессом первого сообщения, удовлетворяющего параметрам ловушки.

    На прилагаемом компакт-диске имеется демонстрационный «Клавиатурный шпион », построенный на основе ловушки. Он регистрирует клавиатурный ввод во всех GUI приложениях и дублирует вводимый текст на своем окне. Данный пример можно использовать для тестирования программ, противодействующих клавиатурных шпионам.

    Методика ловушек достаточно проста и эффективна, но у нее есть ряд недостатков. Первым недостатком можно считать то, что DLL с ловушкой проецируется в адресное пространство всех GUI процессов, что может применяться для обнаружения клавиатурного шпиона. Кроме того, регистрация событий клавиатуры возможна только для GUI приложений, это легко проверить при помощи демонстрационной программы.
    Слежение за клавиатурным вводом при помощи опроса клавиатуры

    Данная методика основана на периодическом опросе состояния клавиатуры. Для опроса состояния клавиш в системе предусмотрена специальная функция GetKeyboardState, возвращающая массив из 255 байт, в котором каждый байт содержит состояние определенной клавиши на клавиатуре. Данный метод уже не требует внедрения DLL в GUI процессы и в результате шпион менее заметен.

    Однако изменение статуса клавиш происходит в момент считывания потоком клавиатурных сообщений из его очереди, и в результате подобная методика работает только для слежения за GUI приложениями. От этого недостатка свободна функция GetAsyncKeyState, возвращающая состояние клавиши на момент вызова функции.

    На прилагаемом компакт-диске имеется демонстрационный «Клавиатурный шпион », построенный на основе циклического опроса клавиатуры – приложение KD2.

    Недостатком Клавиатурных шпионов такого типа является необходимость периодического опроса состояния клавиатуры с достаточно высокой скоростью, не менее 10-20 опросов в секунду.
    Слежение за клавиатурным вводом при помощи перехвата API функций

    Данная методика не получила широкого распространения, но тем не менее она может с успехом применяться для построения Клавиатурных шпионов. Методики перехвата функций API подробно рассматривались в статье, посвященной RootKit. Разница между RootKit и клавиатурным шпионов в данном случае невелика – шпион будет перехватыватьфункции с целью мониторинга, а не с целью модификации принципов работы и результатов вызова.

    Простейшим способом может быть перехват функций GetMessage, PeekMessage и TranslateMessage библиотеки User32, что позволит вести мониторинг всех сообщений, получаемых GUI приложениями.


    Клавиатурный шпион на базе драйвера

    Данный метод еще более эффективен, чем описанные выше методы. Возможны как минимум два варианта реализации этого метода – написание и установка в систему своего драйвера клавиатуры вместо штатного или установка драйвера - фильтра.
    Аппаратные Клавиатурные шпионы br />
    В ходе решения задач по защите от утечки информации часто рассматривают только различные программные средства для шпионажа за работой пользователя. Однако кроме программных возможны и аппаратные средства:

    * Установка устройства слежения в разрыв кабеля клавиатуры (например, устройство может быть выполнено в виде переходника PS/2);
    * Встраивание устройства слежения в клавиатуру;
    * Считывание данных путем регистрации ПЭМИН (побочных электромагнитных излучений и наводок);
    * Визуальное наблюдение за клавиатурой

    Аппаратные Клавиатурные шпионы встречаются намного реже, чем программные. Однако при проверке особо ответственных компьютеров (например, применяемых для совершения банковских операций) о возможности аппаратного слежения за клавиатурным вводом не следует забывать.
    Методики поиска Клавиатурных шпионов

    1. Поиск по сигнатурам. Данный метод не отличается от типовых методик поиска вирусов. Сигнатурный поиск позволяет однозначно идентифицировать Клавиатурные шпионы. при правильном выборе сигнатур вероятность ошибки практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее известные и описанные в его базе данных объекты;
    2. Эвристически алгоритмы. Как очевидно из названия, это методики поиска клавиатурного шпиона по его характерным особенностям. Эвристический поиск носит вероятностный характер. Как показала практика, этот метод наиболее эффективен для поиска Клавиатурных шпионов самого распространенного типа – основанных на ловушках. Однако подобные методики дают много ложных срабатываний. Мои исследования показали, что существуют сотни безопасных программ, не являющихся клавиатурными шпионами, но устанавливающих ловушки для слежения за клавиатурным вводом и мышью. Наиболее распространенный примеры - программы Punto Switcher, словарь Lingvo, программное обеспечение от мультимедийных клавиатур и мышей;
    3. Мониторинг API функций, используемых клавиатурными шпионами. Данная методика основана на перехвате ряда функций, применяемых клавиатурным шпионом – в частности, функций SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState. Вызов данных функций каким либо приложением позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных срабатываний будут аналогичны методу 2;
    4. Отслеживание используемых системой драйверов, процессов и сервисов. Это универсальная методика, применимая не только против Клавиатурных шпионов. В простейшем случае можно применять программы типа Kaspersky Inspector или Adinf, которые отслеживают появление в системе новых файлов.