web-dev-qa-db-ja.com

システムでキーロガーを検出するにはどうすればよいですか?

システムにキーロガーがあるかどうか、または少なくとも現在アクティブになっている場合はどうすればわかりますか?

keyboardsecurity
52
NaomiJO

キーロガーは現在実行中ですか?

  • まず、Xがインストールされ、常にXの制御下にあるストックUbuntuシステムを使用していると仮定します-Xは自分自身または絶対に信頼できる人。

  • これはストックシステムであり、すべてのソフトウェアが公式リポジトリからインストールされているため、そこに隠しキーロガーがないことを確認できます。誰かがあなたをスパイするようにカーネルを特別に変更し、検出が非常に困難になるようにします。

  • 次に、キーロガーが実行されている場合、そのプロセスが表示されます。必要なことは、ps -auxまたはhtopを使用して、実行中のすべてのプロセスのリストを調べ、疑わしい点があるかどうかを判断することだけです。

    • 最も一般的な「正当な」Linuxキーロガーはlkl, uberkey, THC-vlogger, PyKeylogger, logkeysです。 logkeysは、Ubuntuリポジトリでのみ利用可能です。

誤ってtrojan/virusキーロガーをダウンロードしましたか?

  • 通常、Ubuntu/Linuxでは、このリスクは非常に最小限です。必要な特権(su)があるためです。
  • his answer に記載されているMitchのように「ルートキット」検出器を使用してみてください。
  • それ以外の場合は、プロセスのトレース/デバッグ、ブート間のファイル変更/タイムスタンプの確認、ネットワークアクティビティのスニッフィングなどのフォレンジック分析になります。

「信頼できない」Ubuntuシステムを使用している場合はどうなりますか?

では、インターネット/サイバーカフェ、図書館、職場などにいる場合はどうでしょうか?または、多くの家族が使用している家庭用コンピューターでさえも?

その場合、すべての賭けはオフです。誰かが十分なスキル/お金/決心を持っている場合、あなたのキーストロークをスパイすることはかなり簡単です:

  • 他の人のシステムに導入することはほとんど不可能な、カーネルを変更する隠しキーロガーは、公共のコンピューターラボの管理者であり、自分のシステムに導入する場合に導入するのがはるかに簡単です。
  • キーボードとコンピューターの間に位置するハードウェアUSBまたはPS/2キーロガーがあり、各キーストロークを内蔵メモリに記録します。キーボードやコンピューターケースの中に隠すことができます。
  • カメラは、キーストロークが見えるように、または把握できるように配置できます。
  • 他のすべてが失敗した場合、警察国家は、あなたが銃口で何をタイプしていたかを彼らに伝えることをあなたに強制するようにした後、いつでも彼らの愚痴を送ることができます:/

したがって、信頼できないシステムでできる最善の方法は、独自のLive-CD/Live-USBを使用して、それを使用し、独自のワイヤレスキーボードを使用して、システムのキーボードが接続されているUSBポート以外のUSBポートに接続することです(キーボードに隠れているハードウェアロガーと、コンピューターに隠れているポート上のハードウェアロガーを排除し、システム全体の各ポートにハードウェアロガーを使用しないことを期待して) 、そしてあなたが警察の状態にある場合、あなたがしていることを終えて、地元の警察の応答時間よりも短い時間で他の場所にいなさい。

42
ish

Linuxに存在するとは知らなかったもの、つまりSecure Text Inputを投入したいだけです。

Xtermでは、 Ctrl+クリック->「セキュアキーボード」。これにより、xtermキーストロークを他のx11アプリから分離するように要求されます。これはカーネルロガーを防止するものではありませんが、保護の1つのレベルにすぎません。

13
andychase

はい、Ubuntuはキーロガーを持つことができます。そのフェッチは、それが起こる可能性があります。ブラウザを介して悪用される可能性があり、攻撃者はユーザー特権でコードを実行できます。ログイン時にプログラムを実行する自動開始サービスを使用できます。どのプログラムでも、X Window Systemで押されたキーのスキャンコードを取得できます。 xinputコマンドで簡単に実演できます。詳細については、 GUI分離 を参照してください。1

linuxキーロガーは、キーボードを監視する前にルートアクセスが必要です。その特権を取得しない限り、キーロガーを実行できません。できることは、ルートキットの確認だけです。これを行うには、 CHKROOTKIT を使用できます

1ソース: superuser.com

9
Mitch

Linuxキーロガーは、システムと互換性のある言語で作成でき、このデータを記録するためにローカルファイルストレージを使用する必要があります。そうするようにプログラムされている場合は、これと連動するように手動でプログラムまたはダウンロードされたキーロガーがある場合オペレーティングシステムの場合、実際にはファイルである可能性があり、システム上の任意の場所でシステムファイルのように名前が変更される可能性があります。

前回システムでキーロガーを作成/所有していたとき、これは状況であり、検出と削除は簡単でしたが、ソースの手動検索が含まれていたため、少し時間がかかりました。

このタイプのキーロガーがある場合は、それを見つけて削除しようとしますが、実際にダウンロードまたはインストールされたものであれば、Linuxは通常は疑わない安全なオペレーティングシステムであるため、これは非常にありそうにないと考えますWindowsシステムで通常見られるウイルスの形態。

1
cossacksman