Клавиатурный шпион - кейлоггер. Широко открытыми глазами. Часть 4.
- Родительская категория: Блоговая информация
- Категория: Информационная безопасность
- Опубликовано 18 Январь 2015
- Автор: HandyCat
- Просмотров: 7141
Клавиатурный шпион - кейлоггер. Понятия и термины.
В данной части рассматриваются основные понятия и термины, которые используются в работе с клавиатурными шпионами. Предназначена она в основном для тех, кто ранее не сталкивался с программами шпионами.
Кейлоггер - в начальном смысле этого слова - это реализованная на программном либо аппаратном уровне возможность отслеживать производимые пользователем нажатия клавиатурных клавиш и записывать клавиши в лог-файл (key logger). Второе название кейлоггера - клавиатурный шпион. У современных кейлоггеров гораздо больше способностей чем у "классический" собратьев. Далее мы затронем основные понятия, с которым сталкивается пользователь при работе с кейлоггерами.
Лог-файл (файл лога, лог, файл дампа, дамп, информационный файл) - файл, который является результатом работы кейлоггера. В файле накапливается вся информация, которую отслеживает в системе клавиатурный шпион. Иногда один кейлоггер собирает информацию в нескольких файлах. В одном - текст, в другом - снимки экрана (снэпшоты), в третьем - информация буффера обмена.
Информацию, отслеживаемую современными кейлоггерами можно разделить на основную и дополнительную.
-Основная - отслеживание нажатия клавиш, отслеживание информации буфера обмена, снимки экрана.
-Дополнительная - информация о программе, с которой работал пользователь (набирал текст в редакторе Word, путешевствовал по сайтам с помощью броузера Internet Explorer, вводил данные в электронные таблицы Excel), информация о времени отслеживания действий пользователя, информация о времени запуска операционной системы и времени выхода из нее, информация об установленных программах, информация о посещаемых сайтах, запускаемых программах и т.п.
Задачи, решаемые кейлоггером также можно условно разделить на основные и дополнительные.
Основная задача кейлоггера - сбор информации и размещение ее в лог-файле.
Дополнительные задачи (возможности) кейлоггера.
-Отправка лог-файла при помощи FTP - регистрируемся на FTP сервере и получаем логи.
-Отправка лог-файла при помощи E-MAIL - логи отправляются на электронную почту.
-Удаленная установка - особый способ установки, позволяющий запустить кейлоггер на машине не доступной пользователю. Фактически это сводится к запуску маленькой програмки (клиента) на машине пользователя, которая связывается со второй, более тяжеловесной программой-сервером, установленном на вашем компьютере. Запуск программы-клиента производится тремя основными способами:во-первых, пользователю дается прямое указание запустить файл кейлоггера, во-вторых файл кейлоггера соединяется с другой-независимой программой или файлом, который не воспринимается клиентом как кейлоггер (например, с исполняемым файлом броузера Opera - opera.exe или самораспоковывающемся архивом и т.п.), в третьих, при наличии сетевого или физического доступа к компьютеру пользователя, кейлоггер копируется и запускается от его имени. Удаленный кейлоггер The RatKid! не является программой-клиентом в прямом смысле этого слова. Генерируемый при помощи Control Center файл-результат является независимым клавиатурным шпионом, который будет отправлять информацию не взаимодействуя с сервером, а совершенно независимо.
-Настройки времени начала и окончания работы программы - программа начинает работать в установленное время и в назначенный срок удаляется.
-Невидимая работа программы - маскировка под другие программы.невидимость в процессах и т.п.
-Запуск кейлоггера при запуске конкретного приложения - при помощи специальных программ можно соединить программу-носитель и кейлоггер. При запаске запускаются и работают обе программы.
-Отслеживание информации при работе с конкретными отдельными программами - отслеживаются окна с конкретным сочетанием букв в названии окна либо окна конкретного приложения.
-Шифрование файла лога - ограничивает доступ к логу посторонних.
-Перехват видео и звуковых сообщений (например, разговоров Skype).
-Поиск и передача "хозяину" конкретных файлов по маске с компьютера пользователя.
-Снифферинг.
По форме програмной реализации кейлоггеры можно условно разделить на классические и нестандартные.
-Классические - кейлоггер без возможности генерирования отдельного маленького полноценного файла или файла-клиента.
-Нестандартные - клавиатурный шпион имеет возможность работать и в качестве классического кейлоггера и как отдельный крохотный исполняемый файл.
Часто встречающиеся термины.
-Невидимость в процессах - спользуютя различные "хакерские" методы, позволяющие прятать процесс. Кейлоггер, невидим в процессах процессвьюверов.
-Невидимость в реестре - Ну это понятно, невидимость в реестре Windows для большинства просмотрщиков реестра и антишпионского софта. Запись в реестре обычно нужна для автозагрузки.
-Обход фаервола - способность кейлоггера не блокироваться, а пропускаться фаерволом (встроенный в Windows, Outpost, ZoneAlarm и т.п.). Реализуется это различными способами. Чаще всего кейлоггер выдает себя за программу, которой разрешен выход в сеть.
-Сниффер - отслеживает очень подробно (вынюхивает) всю информацию, получаемую либо передаваемую пользователем в процессе нахождения в сети. С помощью сниффера можно отследить все ссылки посещаемых сайтов, кукисы, ники и пароли форумов, электронной почты, Skype и т.д. Имеется в виде дополнительной функции в отдельных кейлоггерах. Сниффер встроен в кейлоггер The RatKid! 02.
-Джойнер файлов, файловый джойнер, скрепитель файлов, склеиватель файлов - программа, которая позволяет соединить несколько исполняемых файлов в один, при этом добавив иконку по желанию пользователя. В результате получается новый файл, при запуске которого запустятся все склеенные джойнером программы. Используется для удаленной установки, с целью замаскировать программу перед пользователем.
-Технология клиент-сервер. Применяется некоторыми кейлоггерами, но для данного программного обеспечения не типична. Программа состоит из двух частей - клиентской и серверной. Клиентская часть запускается на машине пользователя, серверная на машине "хозяина". Клиент устанавливает связь с машиной хозяина, позволяя последнему совершать отдельные действия на компьютере пользователя (копирование, удаление файлов, запуск программ и т.п.).
-поиск и передача файлов "хозяину". Некоторые кейлоггеры способны осуществлять поиск любых файлов на машине пользователя, где они установлены. Для этого в настройках нужно задать условия (маску) поиска. Например: *.txt - искать все текстовые файлы, notepad.exe - найти файл с названием notepad.exe (текстовый редактор) на машине с установленным кейлоггером. Найденные файлы прикрепляются к лоргу. После его получения, лог можно распаковать и файлы извлечь. Такими возможностями обладает The Rat! 11 "Inca".
Дополнительные программы - делают работу более удобной.
-Скрепитель файлов, джойнер - соединяет два и более файлов (*.exe, *.avi, *.html)в любом сочетании. Результат - исполняемый *.exe файл, при запуске которого запустятся обе программы.
-Программа обработки Лог-файла - расшифровывают лог-файл и делают его удобно-читаемым и приспособленным для ведения поиска слов, снимков, буферов обмена.
-Программы-детекторы - производят поиск установленного в системе кейлоггера.
Остается только добавить, что клавиатурный шпион The Rat! - програмный продукт. По форме реализации является нестандартным, обладает практически всеми перечисленными выше основными и дополнительными возможностями.