it-swarm-id.com

Bisakah saya menentukan apakah komputer saya memiliki logger kunci diinstal?

Seorang teman saya baru saja memulai pekerjaan di sebuah perusahaan yang sensitif terhadap keamanan. Mereka memberinya laptop dengan Windows XP Profesional diinstal. Dia mendengar desas-desus dari karyawan lain bahwa laptop mungkin memiliki penebang kunci yang diinstal. Apakah ada cara baginya untuk mengkonfirmasi atau menyangkal ini tuduhan? Apakah ini semudah melihat pohon proses atau registri, atau apakah para penebang kunci ini menyembunyikan diri mereka lebih baik dari itu?

Dia tidak memiliki hak administrator.

56
Plutor

Ini akan sangat tergantung pada implementasi keylogger. Beberapa produk tingkat perusahaan memang menyertakan rootkit yang membuat keylogger hampir mustahil untuk dideteksi, kecuali Anda tahu produk tersebut sedang digunakan dan konfigurasinya. Sebagai contoh, periksa Spector Pro *. Juga, seperti syneticon-dj note , mungkin mereka malah menggunakan keylogger perangkat keras yang dapat diimplementasikan dengan cara yang tidak mudah dideteksi oleh perangkat lunak.

Jika mereka telah memberikan hak admin penuh pada teman Anda pada kotak, mereka benar-benar percaya diri dengan kemampuan pemantauan dan kontrol konfigurasi mereka atau mereka cukup mengabaikan implikasi memberikan hak istimewa tersebut kepada pengguna akhir. Seringkali, itu yang terakhir. Tapi, jika Anda menganggap yang pertama sebagai kasus, maka Anda juga harus menganggap ada beberapa alasan kuat untuk kepercayaan mereka.

Apa pun itu, kemungkinan besar teman Anda telah menandatangani (dan dengan demikian menyetujui) Kebijakan Penggunaan yang Dapat Diterima yang mencakup klausa yang melepaskan semua hak atas privasi pada peralatan milik perusahaan. Lebih lanjut, perusahaan mana pun yang khawatir tentang kepatuhan dalam hal-hal ini juga akan memiliki Banner Peringatan pada sistem yang mengingatkan pengguna pada setiap login bahwa mereka mungkin harus diawasi oleh sistem tersebut.

Intinya: Jangan melakukan apa pun pada peralatan perusahaan yang Anda tidak ingin mereka lihat. Selalu berasumsi bahwa mereka sedang melakukan penekanan tombol, menangkap tangkapan layar (fitur spyware umum lainnya), dan memantau lalu lintas jaringan dengan kemungkinan masuknya proxy SSL. Menjaga bisnis pada perangkat keras bisnis, dan barang-barang pribadi pada perangkat keras pribadi, dan Anda harus baik-baik saja.

* Catatan: Ini bukan pengesahan dari Spector Pro. Saya tidak memiliki afiliasi dengan perusahaan, saya juga tidak menggunakan produk mereka. Ini hanya diberikan sebagai contoh alat spyware macam apa yang tersedia untuk perusahaan.

59
Iszi

Iszi memberi Anda beberapa saran yang sangat baik secara umum - kemungkinan besar jika mereka menggunakan perangkat lunak pemantauan, mereka yakin di dalamnya.

Apakah ini sesederhana melihat pohon proses atau registri, atau apakah para penebang kunci ini menyembunyikan diri mereka lebih baik dari itu?

Mendeteksi keyloggers semudah mencari di tempat yang tepat (yang mungkin atau mungkin tidak sederhana tergantung pada sudut pandang Anda). Masalahnya adalah mengetahui apa yang harus dicari dan di mana. Berikut ini adalah beberapa hal yang tidak lengkap yang dapat Anda lakukan untuk memeriksa modul keylogging.

Pertama, cara mudah yang jelas untuk membangun keylogger adalah dengan menggunakan DLL Injection yang dapat dicapai dengan sejumlah cara. Sebagian besar akan menghasilkan DLL muncul sebagai dipetakan ke ruang alamat proses. Lihatlah gambar ini:

pyd process

Apa entri paling atas dalam daftar itu? Ini adalah pyd, atau python, file. Saya telah mengacaukan server COM yang diimplementasikan oleh python dan sebagai hasilnya, DLL = dimuat ke dalam ruang alamat Windows Explorer.

Injeksi DLL dari varietas keylogging akan memuat DLL ke semua ruang alamat target - tidak dapat menangkap semuanya jika Anda tidak. Jadi satu hal yang perlu diperhatikan adalah DLL aneh yang Anda tidak dapat mengaitkan dengan produk yang tujuannya Anda ketahui. Mereka akan muncul di daftar ini untuk semua proses.

Dari teknik-teknik yang dijelaskan di wikipedia, satu-satunya yang belum saya lihat adalah variasi CreateRemoteThread - Saya tidak yakin apakah hasilnya adalah melampirkan utas ke gambar atau menjalankan utas dengan nama DllMain. Berkat proses Explorer, kita masih dapat melihat utas apa yang mengeksekusi apa:

Threads

Luar biasa, bukan? Yah, mereka bisa saja dinamai bertepatan dengan user32.dll Yang jelas atau semacamnya. Ada sejumlah percobaan yang dapat kami lakukan untuk mengetahui apakah itu masalahnya, jika kami menginginkannya. Ini dibiarkan sebagai latihan untuk pembaca (jangan Anda benci begitu saja ketika orang mengatakan itu!).

Jadi itu mencakup mode pengguna-jelas-keylogger-mode. Ada beberapa tempat yang tidak terlalu jelas keylogger dapat disematkan (tetapi mereka tidak akan menjadi global) Namun, semuanya menjadi benar-benar menarik ketika Anda mulai berbicara tentang kait level kernel. Ada artikel bagus oleh Mark R dan Bryce Cogswell tentang topik ini, meskipun perlu diperbarui dengan peringatan berikut:

  • Kernel Windows 64-bit memiliki mekanisme perlindungan kernel-patch yang secara berkala memeriksa poin-poin penting dalam kernel untuk modifikasi dan mematikan sistem jika terdeteksi.

Jadi, jika Anda menjalankan windows 32-bit, Anda masih bisa menginstal dan menjalankan kernel level; jika Anda menggunakan 64-bit, itu jauh lebih kecil kemungkinannya - mengingat KPP telah dilewati sebelumnya dan terus berubah, saya berani bertaruh Anda bebas dari kait kernel pada x64 karena pembaruan windows akan merusak sistem produk pemantauan secara berkala. Perangkat lunak hanya tidak menjual atas dasar itu.

Apa yang bisa Anda lakukan versus hook 32-bit? Banyak hal:

  • Periksa folder driver untuk entri yang terlihat mencurigakan/tidak dapat dikaitkan.
  • Lakukan hal yang sama, tetapi offline, sehingga pengemudi tidak dapat mencegah Anda melihat.
  • Konfigurasikan entri booting debug dengan bcdedit (bcdedit /copy {current} /d "Windows in debug mode", bcdedit /debug {id} ON Setelah yang sesuai bcdedit /dbgsettings), Pasang kabel firewire (sungguh. Jangan menggunakan serial. Saya menemukan ini menggunakan serial kabel - firewire jauh lebih cepat). Kemudian, pada mesin sumber Anda, mulailah kd dan atur break point pada pemuatan modul, lalu selangkahi semua modul yang memuat, catat. Tidak banyak yang bisa dilakukan pengemudi untuk menyembunyikan diri dari Anda sebelum dimulai . Anda bahkan dapat melanjutkan untuk memeriksanya dari sini (g untuk melanjutkan, ctrl+c Berhenti kapan saja).

Tentu saja, peringatan di sini adalah bahwa tidak ada file executable windows yang telah ditambal secara langsung, atau beberapa kesalahan seperti itu yang berada di luar kemampuan kita untuk mendeteksi secara sepele.

Itu langsung melihat sistem, tetapi tidak berarti solusi lengkap. Jika Anda yakin perangkat lunak pencatatan sedang menelepon ke rumah, proksi transparan mungkin membantu Anda mengidentifikasi di mana - mis. Anda mungkin dipanggil ke vpn.mycompany.com Tetapi Anda mungkin juga melihat koneksi ke monitorserver.mycompany.com.

Seperti yang Anda pasti tahu, banyak teknik yang tersedia untuk Anda bergantung pada dua hal:

  • Anda sudah terbiasa dengan OS Anda, atau kemampuan untuk dengan cepat menjadi terbiasa dengan apa yang tidak pada tempatnya dan
  • Kemampuan dan sumber daya penulis untuk menyembunyikan/menyamarkan modifikasi mereka dari Anda.

Jawaban singkat: tidak ada cara mudah untuk mendeteksi hal semacam itu; namun ada beberapa tempat Anda dapat mulai mencari bukti.

Berbagai penafian:

  • Investigasi mungkin bertentangan dengan AUP Anda. Mungkin juga ilegal di tempat Anda tinggal.
  • Jika Anda mencoba semua yang saya sarankan dan tidak menghasilkan apa-apa, ikuti saran Iszi , asumsikan bahwa setiap program pemantauan lebih baik daripada Anda.
  • Anda tidak akan menjalin pertemanan di antara Dukungan TI dan Sysadmin yang menganalisis sistem mereka seperti ini.
  • Keamanan aktivitas Anda pada laptop kerja tergantung pada lebih dari sekedar OS - itu juga tergantung pada semua perangkat keras/lunak yang terlibat dalam transit data tersebut. Maksud saya? Jika Anda khawatir (tidak mengatakan Anda, hanya sebuah contoh) bahwa atasan Anda memata-matai Anda untuk menentukan apakah Anda menghabiskan hari Anda bermain farmville, well, mereka tidak perlu keylogger untuk melakukan itu - jika Anda terhubung melalui jaringan mereka, mereka harus dapat mencatat koneksi Anda. SSL akan menyembunyikan konten, tetapi bukan sumber atau tujuan.
  • Dalam pengalaman saya, rumor keyloggers biasanya berubah menjadi hanya itu - rumor. Namun, itu berdasarkan pada sampel salah satu perusahaan saya yang secara statistik tidak valid di mana rumor seperti itu ada, jadi, tidak dapat diandalkan. Jelas, produk ini ada.
32
user2213
  1. Buat akun GMail dengan no 2 langkah otorisasi (bukan dari laptop teman) .
  2. Masuk dengan laptop teman Anda ke antarmuka web GMail (ketik nama pengguna/pass secara manual) .
  3. Buat email baru dengan subj some reports from %companyname%, lampirkan beberapa dummy .doc dan .pdfs, ketik "[email protected]" di bidang "Kepada:". Klik "Kirim".
  4. Aktifkan 2 langkah otorisasi, dan tautkan ke ponsel Anda (bukan dari laptop teman)
  5. Jangan pernah masuk ke akun itu dari mana pun, cukup tunggu SMS mengkonfirmasikan keyloggers :)
18
НЛО

juga beberapa keyloggers menyembunyikannya dengan sangat baik pada kenyataannya beberapa mungkin seperti rootkit dan Anda harus mendapatkan program antivirus yang baik yang dapat mendeteksi dan membasmi rootkit dan trojan dan sejenisnya dari komputer dan harus dipindai secara menyeluruh dari sistem CLEAN jika tidak Anda mungkin menjalankan boot ke rootkit atau hal-hal buruk lainnya yang akan membuat pemindaian tampak bersih padahal sebenarnya tidak. satu program yang bagus seperti itu adalah AVG Program antivirus dan antirootkit Pro dan ada beberapa program lain yang mengklaim bekerja dengan baik terhadap rootkit dan semua jenis trojan lainnya dari worm spyware dll ... investasi yang baik, jika Anda tidak suka seseorang mengawasi bahu Anda sepanjang waktu, atau lebih buruk lagi menangkap "bug" yang jahat, maka lakukan pemindaian dengan sesuatu seperti AVG, dari sistem CLEAN ... yang harus mengurus semua hal yang saya sebutkan, dan tetap perbarui perangkat lunak antivirus/antirootkit Anda

0

Pada dasarnya, tidak ada cara untuk mendeteksi hal ini selain memisahkan sistem dan membandingkannya dengan implementasi tepercaya.

Telah terbukti secara teori tidak mungkin untuk membuat program yang akan dapat menganalisis sepotong kode sewenang-wenang dan menentukan apakah akan berhenti pada akhirnya atau dijalankan selamanya diberi input tertentu ( masalah terputus-putus ), yang pada gilirannya berarti banyak untuk scanner yang dimaksudkan untuk menentukan apakah biner sewenang-wenang akan menempatkan mesin Anda dalam keadaan tertentu yang tidak diinginkan.

Sebagai komplikasi lebih lanjut, penebang kunci tidak perlu menginstal perangkat lunak dalam sistem operasi Anda - mereka mungkin komponen perangkat keras juga.

0
syneticon-dj