Надійне виявлення програмного кейлоггера?

13

Я можу тут мріяти,

Але чи є надійний метод виявлення програмного забезпечення Keylogger? Я в першу чергу розробник, але я запускаю пару серверів, і мене найбільше хвилює, - це програмний кейлоггер в моїй особистій системі, який добре допомагає мовчати.

Чи є якийсь спосіб бути впевненим, що в моїй персональній системі немає програмного кейлоггера, який зашиває всі мої паролі RDP?

security

— Спенсер Рупорт
джерело

Це був би один аргумент для використання менеджера паролів, який може вводити ваші паролі автоматично, тому не потрібно вводити їх кожен раз.

— David Z

Чи RDP не дозволяє використовувати клієнтські сертифікати, як, наприклад, підтримується SSH? Якщо ні, то що робити з використанням SSH для тунелю на сервер, а потім якось запустити RDP? (З іншого боку: якщо хтось боїться встановити реєстратор ключів, сертифікат клієнта також можна скопіювати ...)

— Ар'ян

5

Якщо ви не переймаєтесь тим, як довіряєте та автентифікуєте свої RDP-з’єднання - ваші паролі та все інше, що ви вводите, будь-яким способом можна легко управляти майже в реальному часі через мережу ... так чому б турбуватися про локальні кейлоггери? ;)

Як дехто вже говорив, ні - надійного шляху немає. Руткіт може легко зробити себе абсолютно невидимим на всю вічність, навіть не маскуючись під інші процеси. Нічого не захищено. Речі просто небезпечні в різній мірі ^^

Одним із фокусів може бути стерти систему та встановити її без підключення до мережі. Налаштуйте Bitlocker за допомогою TPM і переконайтеся, що всі системні файли не змінені під час кожного завантаження - і нехай він забороняє завантажувати / розшифровувати, якщо ні (тоді вам доведеться зробити контрольоване стерти ще раз). Проте, безумовно, все ще є недоліки, де можна було встановити кейлоггер без його виявлення.

Загалом, використання лише паролів не є достатньо хорошим для всього, що вимагає помірного рівня безпеки. Двофакторна автентифікація за допомогою одноразових паролів допомогла б, як і автентифікація на основі смарт-картки чи інша незалежна аутентифікація на основі сертифікатів пристрою.

— Оскар Дювеборн
джерело

2

В ідеалі ваші сервери будуть досить тісними - це корпоративні або персональні сервери, які також використовуються для веб-серфінгу?

Взагалі, я не вірю, що існує якийсь "один" спосіб надійно виявити будь-який довільний кейлоггер, але ці загальні речі можуть допомогти.

Перевірте диспетчер завдань. Якщо є якесь завдання, яке ви не впізнаєте, знайдіть його за допомогою Google.
Використовуйте msconfig, щоб визначити, що працює при запуску
Переконайтесь, що ваше антивірусне програмне забезпечення є сучасним
Запустіть таку програму, як Malwarebyte Anti-Malware або Spybot Search & Destroy
Здійсніть пошук останніх збережених файлів і перевірте все, що постійно оновлюється

— Девід М Вільямс
джерело

1

Сервери тісні, це мої машини, що підключаються до тих серверів, яких я хвилюю. Я зробив усе вищесказане, але жоден із присутніх не є вірним способом виявлення кейлоггера. Завдання маскують себе як svchost або rundll, існує багато інших способів, за допомогою яких програма може запускатися, окрім того, що є у msconfig, антивірус не

— вловлює

2

Не може бути надійного способу, якщо ви повністю не контролюєте апаратуру клієнтської системи, оскільки є також апаратні кейлоггери .

І навіть якщо ви це зробите, є ще стара хитрість камери .

— СезарБ
джерело

Я єдиний, хто підключається до цих серверів, тому я не переживаю за апаратні кейлоггери чи камери. Просто програмне забезпечення.

— Спенсер Рупорт

0

Ви можете спробувати запустити щось на зразок KeyScrambler, щоб захистити себе. З того, що я розумію, він підключається до системи на рівні ядра і надсилає будь-яку програму, підключену до глобальних клавішних клавіш (реєстраторів натискань на клавіатуру), невідомої інформації.

Крім цього, теоретично ви можете створити програму, яка моніторить принаймні дзвінки api, але я не зміг її знайти.

— Адам Бренд
джерело