|
Продолжая цикл статей по информационной безопасности,
|
поговорим о шпионах - кейлоггерах, тенденция развития
которых идет в сторону скрытия своего существования в
системе.
I
И, как обычно, в качестве разминки, рассмотрим пример
I
практической реализации детектора скрытых процессов.
Ш пионы рядом с нам и.
Д етектор скрытых процессов
и
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
Я
--------------
Radiolubitx -] Sc*i'iiritv
С е р ге й Б ад л о
г. Запорожье
E-mail: raxp@radioliga.com
Большинство пользователей таких
систем, как WindowsNT или ХР, нажи-
мая “заветные <Ctr>+<Alt>+<Del>" рас-
считывают на то, что видят объектив-
ную информацию о процессах, проис-
ходящих в собственной системе. Но это
далеко не так. Мало того, что стандар-
тный диспетчер задач дает неполную
информацию, но его можно обмануть,
чем и не преминут воспользоваться
разного рода “продвинутые” трояны и
кейлоггеры. Скрыть процесс на самом
деле довольно просто. Существует
множество примеров с открытыми ис-
ходниками, в полной мере поясняющи-
ми методику и процесс сокрытия при-
ложения, например в прошлом нашем
обзоре [1] мы упомянули и привели ва-
риант использования “0” кольца. И по-
скольку “воровство логинов-паролей”
имеет массовый характер, необходимо
иметь защиту и от этого. Именитые
брэнды, такие как “Symantec” и “Каспер-
ский", только начали разработку таких
мониторов.
Краткий экскурс.
..
Что же такое - кейлоггеры? Как пра-
вило, это программы либо устройства,
позволяющие отследить нажатия на
клавиатуре и осуществляющие перио-
дические скриншоты экрана пользова-
теля в скрытом режиме. Полученые
сведения данные “зловреды” сохраня-
ют либо в своей памяти или на винчес-
тере, либо передают имеющимися на
ПК сетевыми возможностями через
Интернет или же удаленно, посред-
ством звука, радио.
Столь большое распространение
• кейлоггеров (свыше 5 тысяч разновид-
’ ностей), поскольку в “природе все ком-
пенсировано”, привело к появлению
антикейлогтеров (средств противодей-
ствия непосредственно кейлоггерам
аили же устранения плачевных резуль-
татов их действий).
Разновидности кейлоггеров
Существуюттри основных типа кей-
логгеров:
аппаратные кейлоггеры
программные
с механизмом ловушки
программные на уровне ядра
Первые - представляют собой ми-
ниатюрные устройства (рис. 1), под-
ключаемые между клавиатурой и ком-
пьютером или крепящиеся рядом с
ними, обычно считывают скан-код на-
жатой клавиши и содержат встроенную
память для хранения сотен килобайт пе-
рехваченных нажатий. Основной недо-
статок - требуют физического присут-
ствия при их установке. Бывают также
разновидности и звуковых шпионов,
где используется снятие информации
удаленно, используя разные частот-
ные свойства звука каждой кнопки на
клавиатуре. Данный метод обладает
высокой погрешностью, так как вмес-
те со звуком, издаваемым самой кла-
виатурой, присутствуют помехи в виде
скрипов и ложных нажатий на сосед-
ние клавиши.
Вторые - реализуются с помощью
системной ловушки в операционной
среде Windows (пресловутая функция
SetWindowsHookEx). Такой примитив-
ный кейлоггер способен создать даже
новичок в программировании. Обыч-
но такая программа состоит из файла
запускающего ловушку и библиотеки
DLL, которая и осуществляет запись
всех событий в лог-файл.
Третьи - реализуются на “0” уровне
ядра операционной системы, и получа-
ют данные непосредственно с клавиа-
туры и/или мышки. Данный тип зло-
умышленника выявить крайне сложно,
так как он запускается еще до запуска
всех пользовательских приложений-
процессов, и система считает его “род-
ным”. Кроме того, в последнее время
наблюдется тенденция скрытия от глаз
системы и пользователя различных
троянов и руткитов.
П редпосы лки защ и ты ПО.
С ущ еств ую щ ие реш ения
Так как принцип работы кейлогге-
ра (программного или аппаратного)
основан на перехвате нажатий клавиа-
туры, то для защиты от перехвата ло-
гинов-паролей, да и любой другой ин-
формации, можно использовать “вир-
туальную клавиатуру". Такой встроен-
ной клавиатурой, например, обладает
WindowsCE, устанавливаемая, как пра-
вило, на промышленные станции в си-
стемах АСУ. Это дает возможность по-
высить надежность всей системы в це-
лом, так как помимо своеобразной за-
щиты от перехвата нажатий это позво-
ляет управлять системой при загряз-
ненной или отключенной физической
клавиатуре.
Данная “виртуалка” - это аналог
графической клавиатуры, широко рас-
пространенной в КПК, где вместо фи-,
зического нажатия на клавиши пользо-
ватель выбирает световым пером их
изображения на экране.
Такой способ ввода информации
следует применять в наиболее критич-
ных к безопасности приложениях.
Но так как у нас не промышленная
станция, то вполне можно воспользо-
ваться альтернативными утилитами
Рис. 1. Разновидность
аппаратного кейлоггера
Радиолюбитель - 0 9 /2 0 0 8 []
5
предыдущая страница 5 Радиолюбитель 2008-09 читать онлайн следующая страница 7 Радиолюбитель 2008-09 читать онлайн Домой Выключить/включить текст