Як я можу виявити кейлоггер у своїй системі?

Як я можу знати, чи є в моїй системі кейлоггер або принаймні, якщо він зараз активний?

Чи працює зараз кейлоггер?

• По-перше, ми припустимо, що ви використовуєте запасну систему Ubuntu, яку встановив X, і яка завжди була під контролем X - де X - це ви самі або хтось, якому ви абсолютно довіряєте.

• Оскільки це система запасів і все програмне забезпечення було встановлено з офіційних сховищ, ви можете бути впевнені, що там немає прихованого кейлоггера , наприклад, хтось модифікує ядро ​​спеціально, щоб шпигувати за вами таким чином, що його дуже важко виявити.

• Потім, якщо запущений кейлоггер, його процеси будуть видимими. Все, що вам потрібно зробити - це скористатися ps -auxабо htopпереглянути список усіх запущених процесів і з'ясувати, чи є щось підозріле.

  • Найпоширеніші "законні" Linux кейлоггери lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys - єдиний доступний у сховищах Ubuntu.

Чи випадково я завантажив троянський / вірусний кейлоггер?

• Зазвичай цей ризик є дуже мінімальним для Ubuntu / Linux через необхідні привілеї ( su).
• Ви можете спробувати використовувати детектор «руткітів», як Мітч зазначив у своїй відповіді .
• В іншому випадку це зводиться до криміналістичного аналізу, такого як процеси відстеження / налагодження, перегляд модифікацій файлів / часових міток між черевиками, нюхання мережевої активності тощо.

Що робити, якщо я перебуваю на "ненадійній" системі Ubuntu?

То що робити, якщо ви перебуваєте в Інтернет / кіберкафе, у бібліотеці, на роботі тощо? Або навіть домашній комп’ютер, яким користуються багато членів сім'ї?

Добре, що в цьому випадку всі ставки знищуються. Шпигувати за натисканням клавіш досить просто, якщо хтось має достатньо навичок / грошей / рішучості:

• Ті приховані кейлоггери, що змінюють ядро, які майже неможливо впровадити в чужу систему, набагато простіше представити, коли ви адміністратор загальнодоступної комп'ютерної лабораторії та розміщуєте їх у власних системах.
• Є апаратні USB або PS / 2 брелоки, які сидять між клавіатурою та комп'ютером, проводячи запис кожного натискання клавіш у вбудовану пам'ять; їх можна заховати всередині клавіатури або навіть усередині корпусу комп'ютера.
• Камери можуть бути розміщені так, щоб ваші натискання клавіш були видимими або їх можна було зрозуміти.
• Якщо все інше не вдасться, поліцейські штати завжди можуть відправити своїх гонців за вами, щоб змусити вас сказати їм, що ви друкували під рушницею: /

Отже, найкраще, що можна зробити з ненадійною системою, - це взяти власний Live-CD / Live-USB і використовувати його, взяти власну бездротову клавіатуру та підключити її до порту usb, окрім того, на якому увімкнена власна клавіатура системи ( виключаючи апаратні реєстратори як прихованих на клавіатурі, так і тих, що перебувають на цьому порту, захованих у комп’ютері, сподіваючись, що вони не використовуватимуть апаратний реєстратор для кожного порту всієї системи), навчіться визначати камери (включаючи ймовірні місця для прихованих) , і якщо ви перебуваєте в поліцейському стані, закінчіть те, що ви робите, і будьте десь за менший час, ніж час реакції місцевої поліції.

Я просто хочу вписати щось, про що я не знав, що існує в Linux: Безпечний введення тексту.

На xterm Ctrl+ натисніть -> "Безпечна клавіатура". Це робить запит на ізоляцію xterm натискань клавіш від інших x11 додатків. Це не заважає реєстраторам ядер, але це лише один рівень захисту.

Так, Ubuntu може мати реєстратор ключів. Це далеко не вдалося, але це може статися. Її можна використовувати через браузер, а зловмисник може запускати код із вашими користувацькими привілеями. Він може використовувати послуги автозапуску, які запускають програми під час входу. Будь-яка програма може отримати коди сканування натиснутих клавіш у X Window System. Це легко демонструється xinputкомандою. Докладнішу інформацію див. У розділі Ізоляційний інтерфейс . ¹

Linux-реєстратори ключів повинні мати кореневий доступ, перш ніж вони зможуть контролювати клавіатуру. якщо вони не отримають цього привілею, вони не можуть запустити реєстратор ключів. Єдине, що ви можете зробити, це перевірити наявність руткітів. Для цього ви можете використовувати CHKROOTKIT

^{1 Джерело: superuser.com}

Linux-кейлоггери можуть бути створені з мов, сумісних із системою, і для запису цих даних потрібно використовувати локальне зберігання файлів, і, якщо це запрограмовано, якщо у вас є кейлоггер, який вручну запрограмований або завантажений для роботи з цим Операційна система тоді може бути фактично файлом, можливо, перейменованим на схожий на системний файл, в будь-якій точці системи.

Минулого разу я створив / мав кейлоггер у моїй системі, це була така ситуація, яку було легко виявити та видалити, але це включало пошук вручну вручну, і це зайняло небагато часу.

Якщо у вас є кейлоггер цього типу, я б спробував його знайти і видалити, але якщо це дійсно щось завантажено або встановлено, я вважаю це дуже малоймовірним, оскільки Linux - це захищена операційна система, яку зазвичай не підозрюють форми вірусів, які зазвичай можна знайти в системах Windows.