Existe-t-il un moyen de détecter un logiciel de journalisation clé?

StackOverflow https://stackoverflow.com/questions/6033471

  •  14-11-2019
  •  | 
  •  

Question

Je pourrais écrire un programme pour détecter des logiciels malveillants (ou non malveillants) qui sont la journalisation clé (journalisation des touches pour obtenir des informations).

  1. Quelles tactiques seraient utilisées?
    • Y a-t-il un certain code à rechercher?
    • Y a-t-il certains emplacements que je devrais rechercher?
  2. Je préfère Java ou Perl car je parle couramment ces langues
    • Ces langues fonctionneraient-elles?
    • Y a-t-il une meilleure langue à utiliser pour ce cas?
  3. Que serait-il utilisé?
    • Code?
    • Algorithmes?
    • Fonction?
Était-ce utile?

La solution

Je pense que cela dépend de ce que vous essayez de faire. Si vous recherchez des programmes de keylogging connus, vous pouvez utiliser n'importe quel logiciel qui peut rechercher le système de fichiers pour afficher les signatures de fichiers. Cependant, il semble que vous souhaitiez détecter des programmes inconnus. Je ne crois pas que ce soit strictement possible. Les applications de keylogging peuvent écouter passivement les touches afin qu'il n'y ait pas de signature active que vous pouvez rechercher. Il serait probablement plus facile de comprendre le logiciel censé s'exécuter sur votre ordinateur, puis de détecter tout nouveau logiciel qui commence à s'exécuter. Ce ne serait pas nécessairement un logiciel de journalisation de Keystroke, mais ce serait un logiciel non autorisé (ou du moins encore pour être un logiciel autorisé).

Les frappes sont diffusées au système en tant qu'événements auxquels vous pouvez vous abonner dans votre application. C'est ainsi que les jeux et autres programmes utilisent l'entrée du clavier. L'ensemble du système sait quand une clé est touchée et quelle clé il s'agissait. Vous ne pouvez pas savoir qui écoute.

Pour dire les choses d'une autre manière, si cela était possible, cela tuerait les journalistes du logiciel, car chaque application antivirus et anti-spyware aurait une option pour détecter et supprimer tous ces types de logiciels. Ils ont une option similaire à celle-ci, mais il est basé sur des signatures connues des journalistes connus de Keystroke.

Autres conseils

En tant que programme qui essaie de comprendre que si elle est entrée en clé, pour les gêneurs de clés mal écrits, vous pouvez rechercher des motifs de temps, comme les retards périodiques lorsque les tampons de recyclage de l'enregistrement, mais normalement, les loggeurs de clés sont très bien Écrit et s'injectera dans la chaîne de pilotes et sera donc indiscernable à partir de la chaîne normale.

Dans ce cas, le seul espoir de détecter les enregistreurs de clés est d'inspecter la chaîne de pilotes à la recherche de pilotes non standard (mais certains loggeurs de clés peuvent infecter les pilotes standard), ce qui n'est pas particulièrement facile dans Windows-Land (une inspection aussi de faible niveau) .

Il faudrait se connecter aux crochets antivirus / anti-malware pour pouvoir vraiment accéder non seulement aux définitions de la chaîne de pilotes, mais aussi au code réel en cours, pour détecter si un logage de clé prend sa place, et c'est difficile , plein de bureaucratie, et presque autrement dans autre chose que C / C ++

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top