it-swarm-vi.com

Tôi có thể xác định xem máy tính của tôi đã cài đặt bộ ghi khóa không?

Một người bạn của tôi vừa bắt đầu một công việc tại một công ty nhạy cảm về an ninh. Họ đã cung cấp cho anh ấy một máy tính xách tay có Windows XP Chuyên nghiệp được cài đặt. Anh ấy đã nghe một tin đồn từ các nhân viên khác rằng máy tính xách tay có thể đã cài đặt bộ ghi nhật ký. Có cách nào để anh ấy xác nhận hoặc từ chối điều này không Điều này sẽ đơn giản như nhìn vào cây quy trình hoặc sổ đăng ký, hoặc các loại logger khóa này ẩn mình tốt hơn thế?

Anh ấy hiện có quyền quản trị viên.

56
Plutor

Điều này sẽ phụ thuộc rất nhiều vào việc triển khai keylogger. Một số sản phẩm cấp doanh nghiệp bao gồm rootkit khiến keylogger gần như không thể phát hiện, trừ khi bạn biết sản phẩm đang sử dụng và cấu hình của nó. Ví dụ: kiểm tra Spector Pro *. Ngoài ra, như ghi chú syirecton-dj , có thể thay vào đó họ có thể sử dụng một keylogger phần cứng có thể được thực hiện theo cách mà phần mềm không thể dễ dàng phát hiện.

Nếu họ đã trao cho bạn bè của bạn toàn quyền quản trị trên hộp, họ sẽ thực sự tự tin vào khả năng kiểm soát cấu hình và kiểm soát của mình hoặc họ khá công bằng không biết gì về ý nghĩa của việc trao đặc quyền đó cho người dùng cuối. Thông thường, đó là sau này. Nhưng, nếu bạn cho rằng trước đây là trường hợp, thì bạn cũng nên cho rằng có sự biện minh vững chắc cho sự tự tin của họ.

Bất kể, rất có thể bạn của bạn đã ký (và do đó đồng ý) Chính sách sử dụng được chấp nhận bao gồm một điều khoản từ bỏ tất cả các quyền đối với quyền riêng tư trên thiết bị thuộc sở hữu của công ty. Hơn nữa, bất kỳ công ty nào lo lắng về việc tuân thủ trong các vấn đề này cũng sẽ có Biểu ngữ cảnh báo trên hệ thống để nhắc nhở người dùng tại mỗi lần đăng nhập rằng họ có thể phải theo dõi trên các hệ thống đó.

Điểm mấu chốt: Đừng làm bất cứ điều gì trên thiết bị của công ty mà bạn không muốn họ nhìn thấy. Luôn cho rằng họ đang ghi lại các lần nhấn phím, chụp ảnh màn hình (một tính năng phần mềm gián điệp phổ biến khác) và giám sát lưu lượng mạng với khả năng bao gồm proxy SSL. Giữ doanh nghiệp trên phần cứng doanh nghiệp và nội dung cá nhân trên phần cứng cá nhân và bạn sẽ ổn.

* Lưu ý: Đây không phải là sự chứng thực của Spector Pro. Tôi không có liên kết với công ty, tôi cũng không sử dụng sản phẩm của họ. Điều này chỉ đơn giản được đưa ra như một ví dụ về loại công cụ phần mềm gián điệp nào có sẵn cho các tập đoàn.

59
Iszi

Iszi cung cấp cho bạn một số lời khuyên rất tốt nói chung - rất có thể nếu họ đang sử dụng phần mềm giám sát, họ sẽ tự tin vào nó.

Điều này sẽ đơn giản như nhìn vào cây quy trình hoặc sổ đăng ký, hoặc các loại logger khóa này ẩn mình tốt hơn thế?

Phát hiện keylogger đơn giản như tìm đúng nơi (có thể đơn giản hoặc có thể không đơn giản tùy theo quan điểm của bạn). Vấn đề là biết những gì cần tìm và ở đâu. Điều gì sau đây là một vài điều không đầy đủ bạn có thể làm để kiểm tra các mô-đun keylogging.

Thứ nhất, cách dễ dàng rõ ràng để xây dựng một keylogger là sử dụng DLL Injection có thể đạt được một số cách. Hầu hết trong số này sẽ dẫn đến một DLL hiển thị dưới dạng ánh xạ tới không gian địa chỉ của quy trình. Hãy xem ảnh này:

pyd process

Mục trên cùng trong danh sách đó là gì? Đó là pyd, hoặc python, tệp. Tôi đã gặp rắc rối với các máy chủ COM do python triển khai và kết quả là, DLL = được tải vào không gian địa chỉ của Windows Explorer.

DLL Tiêm đa dạng keylogging sẽ tải DLL vào tất cả các không gian địa chỉ đích - không thể nắm bắt mọi thứ nếu bạn không. Vì vậy, một điều cần chú ý là DLL lạ của bạn không thể quy cho các sản phẩm có mục đích mà bạn biết. Chúng sẽ hiển thị trong danh sách này cho tất cả các quy trình.

Trong số các kỹ thuật được mô tả trên wikipedia, cách duy nhất tôi chưa từng thấy là đa dạng CreateRemoteThread - Tôi không chắc chắn liệu kết quả sẽ là gắn một luồng vào hình ảnh hay thực hiện một luồng có tên DllMain. Nhờ xử lý Explorer, chúng ta vẫn có thể thấy các luồng đang thực thi cái gì:

Threads

Tuyệt vời đúng không? Chà, họ cũng có thể được đặt tên trùng với điều hiển nhiên user32.dll hoặc một số như vậy. Có một số thí nghiệm chúng tôi có thể thực hiện để tìm ra trường hợp đó, nếu chúng tôi muốn. Những thứ này được để lại như một bài tập cho người đọc (bạn không ghét nó khi mọi người nói vậy!).

Vì vậy, nó bao gồm chế độ người dùng-chế độ-hiển nhiên-keylogger-chế độ. Có một số vị trí ít rõ ràng hơn mà một keylogger có thể được nhúng (nhưng chúng không chắc là toàn cầu). Tuy nhiên, mọi thứ trở nên thú vị thực sự thú vị khi bạn bắt đầu nói về hook cấp độ kernel. Có một bài viết xuất sắc của Mark R và Bryce Cogswell về chủ đề này, mặc dù nó cần cập nhật với cảnh báo sau:

  • Các hạt nhân Windows 64 bit có cơ chế bảo vệ bản vá nhân kiểm tra định kỳ các điểm chính trong kernel để sửa đổi và tắt hệ thống nếu chúng bị phát hiện.

Vì vậy, nếu bạn đang chạy các cửa sổ 32 bit, bạn vẫn có thể cài đặt và hoạt động một số dạng hook cấp độ kernel; nếu bạn đang sử dụng 64-bit thì rất ít khả năng - KPP đã bị bỏ qua trước đó và liên tục thay đổi, tôi sẽ cá rằng bạn sẽ không bị móc nhân trên x64 vì các bản cập nhật Windows sẽ làm sập hệ thống sản phẩm giám sát theo định kỳ. Phần mềm không bán trên cơ sở đó.

Bạn có thể làm gì so với móc 32 bit? Nhiều điều:

  • Kiểm tra thư mục trình điều khiển cho các mục có vẻ đáng ngờ/không thể được quy cho.
  • Làm điều tương tự, nhưng ngoại tuyến, để trình điều khiển không thể ngăn bạn nhìn.
  • Định cấu hình mục khởi động gỡ lỗi bằng bcdedit (bcdedit /copy {current} /d "Windows in debug mode", bcdedit /debug {id} ON sau khi thích hợp bcdedit /dbgsettings), nối cáp firewire (thực sự. Đừng sử dụng nối tiếp. Tôi đã phát hiện ra điều này bằng cách sử dụng cáp nối tiếp - firewire nhanh hơn nhiều). Sau đó, trên máy nguồn của bạn, bắt đầu kd và đặt điểm dừng khi tải mô-đun, sau đó bước qua tất cả các mô-đun tải, ghi chú về chúng. Người lái xe không thể làm gì nhiều để ẩn mình khỏi bạn trước khi bắt đầu . Bạn thậm chí có thể tiến hành kiểm tra nó từ đây (g để tiếp tục, ctrl+c phá vỡ tại bất kỳ điểm nào).

Tất nhiên, hãy cẩn thận ở đây là không có bản thực thi windows nào được vá trực tiếp, hoặc một số sự cố như vậy vượt quá khả năng phát hiện tầm thường của chúng tôi.

Đó là trực tiếp nhìn vào hệ thống, nhưng không có nghĩa là một giải pháp hoàn chỉnh. Nếu bạn tin rằng phần mềm ghi nhật ký đang gọi điện về nhà, một proxy trong suốt có thể giúp bạn xác định nơi - tức là bạn có thể được gọi đến vpn.mycompany.com nhưng bạn cũng có thể thấy các kết nối đến monitorserver.mycompany.com.

Như bạn không thể nghi ngờ, rất nhiều kỹ thuật có sẵn cho bạn phụ thuộc vào hai điều:

  • Sự quen thuộc đã có từ trước với HĐH của bạn hoặc khả năng nhanh chóng làm quen với những gì không phù hợp và
  • Khả năng và tài nguyên của tác giả để ẩn/ngụy trang các sửa đổi của họ khỏi bạn.

Câu trả lời ngắn gọn: không có cách nào dễ dàng để phát hiện bất cứ thứ gì thuộc loại này; tuy nhiên có một số nơi bạn có thể bắt đầu tìm kiếm bằng chứng.

Từ chối trách nhiệm khác nhau:

  • Điều tra có thể trái với AUP của bạn. Nó cũng có thể là bất hợp pháp ở nơi bạn sống.
  • Nếu bạn thử mọi thứ tôi đề xuất và không có gì, hãy làm theo lời khuyên của Iszi , giả sử rằng bất kỳ chương trình giám sát nào tốt hơn bạn.
  • Bạn không có khả năng kết bạn với các Hỗ trợ CNTT và Sysadmin khi phân tích các hệ thống của họ như thế này.
  • Tính bảo mật của hoạt động của bạn trên máy tính xách tay làm việc phụ thuộc nhiều vào không chỉ hệ điều hành của nó - nó còn phụ thuộc vào tất cả các phần cứng/phần mềm liên quan đến việc truyền dữ liệu đó. Quan điểm của tôi? Nếu bạn lo lắng (không nói là bạn, chỉ là một ví dụ) rằng chủ nhân của bạn đang theo dõi bạn để xác định xem bạn có dành cả ngày để chơi farmville hay không, họ không cần một keylogger để làm điều đó - nếu bạn được kết nối thông qua mạng của họ, họ phải có thể đăng nhập các kết nối của bạn. SSL sẽ ẩn nội dung, nhưng không phải là nguồn hoặc đích.
  • Theo kinh nghiệm của tôi, những tin đồn về keylogger thường chỉ là như vậy - tin đồn. Tuy nhiên, điều đó dựa trên mẫu không hợp lệ về mặt thống kê của tôi về một công ty có tin đồn như vậy tồn tại, do đó, không được dựa vào. Rõ ràng, những sản phẩm này tồn tại.
32
user2213
  1. Tạo tài khoản Gmail với không ủy quyền 2 bước (không phải từ máy tính xách tay của bạn bè) .
  2. Đăng nhập với máy tính xách tay của bạn bè vào giao diện web GMail (nhập tên người dùng/vượt qua thủ công) .
  3. Tạo thư mới với subj some reports from %companyname%, đính kèm một số hình nộm .docs và .pdfs, nhập "[email protected]" trong trường "Tới:". Nhấp vào "Gửi".
  4. Kích hoạt ủy quyền 2 bước và liên kết nó với điện thoại của bạn (không phải từ máy tính xách tay của bạn bè)
  5. Không bao giờ đăng nhập vào tài khoản đó từ bất cứ đâu sau đó, chỉ cần đợi một SMS xác nhận keylogger :)
18
НЛО

cũng có một số keylogger che giấu chúng rất tốt trong thực tế, một số có thể giống như rootkit và bạn nên có một chương trình chống vi-rút tốt có thể phát hiện và root rootkit và trojan và những thứ tương tự từ máy tính và nó sẽ được quét kỹ từ hệ thống SẠCH bạn có thể khởi động lên rootkit hoặc những thứ khó chịu khác sẽ khiến quá trình quét dường như bị xóa sạch trong khi thực tế thì không. một chương trình tốt như vậy là AVG Chương trình chống vi-rút và chống vi-rút Pro và có một số chương trình khác tuyên bố sẽ làm tốt việc chống lại rootkit và tất cả các loại trojan phần mềm gián điệp khác, v.v ... một khoản đầu tư tốt, nếu bạn không thích có ai đó quan sát mọi lúc, hoặc tệ hơn là bắt một "lỗi" khá khó chịu, vậy hãy quét bằng thứ gì đó như AVG, từ hệ thống SẠCH ... cần phải quan tâm đến bất kỳ điều nào trong số những điều tôi đã đề cập và luôn cập nhật phần mềm chống vi-rút/phần mềm chống vi-rút

0
John Robert Einem

Về cơ bản, không có cách nào để phát hiện điều này ngoài việc tách rời hệ thống và so sánh với việc triển khai đáng tin cậy.

Về mặt lý thuyết, người ta đã chứng minh rằng không thể tạo ra một chương trình có thể phân tích một đoạn mã tùy ý và xác định xem cuối cùng sẽ dừng lại hay chạy mãi mãi với một đầu vào cụ thể ( vấn đề tạm dừng ), điều đó có nghĩa là rất nhiều cho các máy quét nhằm xác định xem một nhị phân tùy ý sẽ đặt máy của bạn ở trạng thái không mong muốn cụ thể.

Như một sự phức tạp hơn nữa, logger khóa không cần phải được cài đặt phần mềm trong hệ điều hành của bạn - chúng có thể là một thành phần phần cứng .

0
syneticon-dj