시스템에서 키로거를 어떻게 감지합니까?

52

내 시스템에 키로거가 있는지 또는 최소한 현재 키로거가 활성화되어 있는지 어떻게 알 수 있습니까?

keyboard security

— 나오미 조
소스

2

우분투에서는 이미 크랙되거나 해킹되지 않은 경우 (드문 시나리오) Keylogger가 존재하지 않습니다. 윈도우에 비해 강력하고 다른 보안 모듈이 있습니다.

— atenz

2

@atenz X.org 디스플레이 관리자를 실행하는 경우에는 사실이 아닙니다. 보안을 훼손하는 것이 얼마나 쉬운 지 알아보기 위해 Google 'GUI 격리'. 이에 비해 Windows는 Vista 이후 GUI 격리를 개선하고 있습니다.

— Nanashi No Gombe

44

키로거가 지금 실행 중입니까?

먼저, X가 설치했고 항상 X의 통제를받는 스톡 우분투 시스템을 사용한다고 가정합니다. 여기서 X는 자신 또는 절대적으로 신뢰하는 사람입니다.
이것은 주식 시스템이며 모든 소프트웨어가 공식 저장소에서 설치되었으므로 숨겨진 키 로거 가 없는지 확인할 수 있습니다 .
그런 다음 키로거가 실행 중이면 해당 프로세스가 표시됩니다. 을 사용 ps -aux하거나 htop실행중인 모든 프로세스 목록을보고 의심스러운 항목이 있는지 확인하기 만하면됩니다.
- 가장 일반적인 "합법적 인"Linux 키로거는 lkl, uberkey, THC-vlogger, PyKeylogger, logkeys입니다. logkeys 는 우분투 리포지토리에서 사용할 수있는 유일한 것입니다.

실수로 트로이 목마 / 바이러스 키로거를 다운로드 했습니까 ?

일반적으로이 권한은 su필요한 권한 ( )으로 인해 Ubuntu / Linux에서 매우 최소화됩니다 .
Mitch가 그의 답변 에서 언급 한 것처럼 "루트킷"검출기를 사용해 볼 수 있습니다 .
그렇지 않으면 추적 / 디버깅 프로세스, 부트 간의 파일 수정 / 타임 스탬프보기, 네트워크 활동 스니핑 등과 같은 법의학 분석이 필요합니다.

"신뢰할 수없는"Ubuntu 시스템을 사용하는 경우 어떻게합니까?

인터넷 / 사이버 카페, 도서관, 직장 등에 있다면 어떨까요? 아니면 많은 가족이 사용하는 가정용 컴퓨터입니까?

이 경우 모든 베팅은 해제됩니다. 누군가가 충분한 기술 / 돈 / 결정을 가지고 있다면 키 입력을 감시하는 것이 매우 쉽습니다.

다른 사람의 시스템에 도입하기가 거의 불가능한 커널 수정 숨겨진 키로거는 공용 컴퓨터 실의 관리자가 자신의 시스템에 배치 할 때 훨씬 쉽게 소개 할 수 있습니다.
키보드와 컴퓨터 사이에 하드웨어 USB 또는 PS / 2 키로거가 있으며 각 키 입력을 내장 메모리에 기록합니다. 키보드 나 컴퓨터 케이스 안에 숨겨져있을 수 있습니다.
키 입력을 보거나 알아낼 수 있도록 카메라를 배치 할 수 있습니다.
다른 모든 방법이 실패하면 경찰은 당신이 총구에 무엇을 입력했는지 알려주도록 강요를 한 후에 항상 그들의 goons를 보낼 수 있습니다 : /

신뢰할 수없는 시스템으로 할 수있는 최선의 방법은 자신의 Live-CD / Live-USB를 가져 와서 사용하고 자신의 무선 키보드를 사용하여 시스템 자체 키보드가 아닌 USB 포트에 연결하는 것입니다 ( 키보드에 숨겨져있는 하드웨어 로거와 컴퓨터에 숨겨져있는 해당 포트에있는 하드웨어 로거를 제거하고, 전체 시스템의 각 포트에 하드웨어 로거를 사용하지 않기를 바라며, 카메라를 숨길 수있는 방법 (숨겨진 카메라의 스팟 포함) , 그리고 경찰 상태 인 경우, 현재하고있는 일을 끝내고 현지 경찰의 대응 시간보다 짧은 시간 내에 다른 곳으로 가십시오.

— ish
소스

내 질문은 마지막 요점을 향한 방향이었습니다. 언급 한 세 가지 예는 실제로 시스템과 관련이 없으므로 라이브 CD를 사용하면 도움이되지 않습니다. 카메라 나 다른 하드웨어가 아닌 시스템 자체에 대해서만 이야기하고 있습니다. 시스템에 키를 기록하는 후크가 있는지 어떻게 알 수 있습니까?

— 나오미 조

13

나는 리눅스에 존재하지 않은 무언가를 던져주고 싶다 : 보안 텍스트 입력.

xterm에서 Ctrl+ 클릭-> "보안 키보드". 이렇게하면 xterm 키 입력을 다른 x11 앱과 격리하도록 요청합니다. 이것은 커널 로거를 막지는 않지만 단지 한 수준의 보호입니다.

— andychase
소스

2

당신의 대답은 나에게 새로운 통찰력을 준 유일한 것입니다. 나는 xterm이 이러한 가능성을 가지고 있다는 것을 몰랐다.

— shivams

9

예, 우분투는 키 로거를 가질 수 있습니다. 멀리 가져 왔지만 일어날 수 있습니다. 브라우저를 통해 악용 될 수 있으며 공격자는 사용자 권한으로 코드를 실행할 수 있습니다. 로그인시 프로그램을 실행하는 자동 시작 서비스를 사용할 수 있습니다. 모든 프로그램은 X Window System에서 누른 키의 스캔 코드를 얻을 수 있습니다. xinput명령 으로 쉽게 시연됩니다 . 자세한 내용은 GUI 격리 를 참조하십시오. ¹

Linux 키 로거는 키보드를 모니터하기 전에 루트 액세스 권한이 있어야합니다. 그들이 그 특권을 얻지 못하면 키 로거를 실행할 수 없습니다. 할 수있는 유일한 것은 루트킷을 확인하는 것입니다. 이를 위해 CHKROOTKIT 을 사용할 수 있습니다

^{¹ 출처 : superuser.com}

— 미치
소스

1

약간 혼란 스러워요. "모든 프로그램은 X 윈도우 시스템에서 누른 키의 스캔 코드를 얻을 수 있습니다." vs. "리눅스 키 로거는 키보드를 모니터하기 전에 루트 액세스 권한이 있어야합니다." 모순이 아닙니까?

— guntbert

1

그리고 단지 까다롭게하기 :이 사람이 (참조 존재하는 유효 사용 사례가 있기 때문에 환매 특약의에서 키로거 있습니다 packages.ubuntu.com/raring/logkeys는 ) 그래서 ;-)까지 가져 왔습니다

— Rinzwind

모든 chkrootkit C 프로그램, 특히 "chkrootkit"스크립트의 소스 코드를 검토하여 루트킷 또는 키 로거로 컴퓨터를 감염시키지 않도록하는 사람은 누구입니까?

— Curt

@guntbert X가 실행 중이면 기본적으로 X 세션에 액세스 할 수있는 모든 소프트웨어가 키를 기록 할 수 있습니다. 그렇지 않으면 Linux 이벤트 장치에 직접 액세스 할 수있는 권한이 있어야합니다 (루트 만 일부 구성에 있음).

— L29Ah

1

Linux 키로거는 시스템과 호환되는 언어로 만들 수 있으며이 데이터를 기록하기 위해 로컬 파일 스토리지를 사용해야하며, 프로그래밍 된 경우 수동으로 프로그래밍하거나 다운로드 한 키로거가있는 경우 운영 체제 인 경우 실제로 파일 일 수 있으며 시스템의 어느 곳에서나 시스템 파일처럼 보이도록 이름이 바뀔 수 있습니다.

지난번에 시스템에서 키로거를 만들거나 가지고 있었을 때 상황이었고,이를 쉽게 감지하고 제거 할 수 있었지만 소스를 수동으로 찾는 작업이 포함되었고 시간이 조금 걸렸습니다.

이 유형의 키 로거가있는 경우 키로거를 찾아 제거하려고 시도하지만 실제로 다운로드하거나 설치 한 것이면 Linux가 일반적으로 의심되지 않는 안전한 운영 체제이므로 가능성이 거의 없습니다. 일반적으로 Windows 시스템에서 발견되는 바이러스 형태.

— 코사크 맨
소스