システムでキーロガーを検出するにはどうすればよいですか？

52

システムにキーロガーがあるかどうか、または少なくとも現在アクティブになっている場合はどうすればわかりますか？

keyboard security

— 直美
ソース

2

Ubuntuでは、既にクラックまたはハッキング（まれなシナリオ）されていない限り、キーロガーの存在は不可能です。Windowsと比較して、異なる堅牢なセキュリティモジュールがあります。

— atenz

2

@atenz X.orgディスプレイマネージャーを実行している場合は正しくありません。セキュリティを侵害するのがいかに簡単かを見るために、グーグル「GUI分離」それに比べて、WindowsはVista以降、GUIの分離を向上させてきました。

— ナナシのゴンベ

44

キーロガーは現在実行中ですか？

まず、我々はあなたがXがインストールされていることを株式Ubuntuシステムを使用していると仮定しますと、それは常にXの制御下にあった- Xは、自分自身でどこかの誰かあなたが絶対の信頼を。
これはストックシステムであり、すべてのソフトウェアが公式リポジトリからインストールされているため、そこに隠されたキーロガーが存在しないことを確認できます。
次に、キーロガーが実行されている場合、そのプロセスが表示されます。必要なのは、を使用するps -auxかhtop、実行中のすべてのプロセスのリストを見て、疑わしい点があるかどうかを調べることだけです。
- 最も一般的な「正当な」Linuxキーロガーはlkl, uberkey, THC-vlogger, PyKeylogger, logkeysです。logkeysは、Ubuntuリポジトリで使用できる唯一のものです。

誤ってトロイの木馬/ウイルスキーロガーをダウンロードしましたか？

通常、Ubuntu / Linuxでは、特権（su）が必要なため、このリスクはごくわずかです。
Mitchが回答で指摘したように、「ルートキット」検出器の使用を試すことができます。
それ以外の場合は、プロセスのトレース/デバッグ、ブート間のファイル変更/タイムスタンプの確認、ネットワークアクティビティのスニッフィングなどのフォレンジック分析になります。

「信頼できない」Ubuntuシステムを使用している場合はどうなりますか？

インターネット/サイバーカフェ、図書館、職場などにいる場合はどうでしょうか？または、多くの家族が使用している家庭用コンピューターでさえも？

その場合、すべての賭けはオフです。誰かが十分なスキル/お金/決定力を持っている場合、キーストロークをスパイするのはかなり簡単です：

他の人のシステムに導入するのがほとんど不可能なカーネル変更隠しキーロガーは、あなたが公共のコンピューターラボの管理者であり、自分のシステムに導入している場合に導入するのがはるかに簡単です。
キーボードとコンピューターの間にあるハードウェアUSBまたはPS / 2キーロガーがあり、各キーストロークを内蔵メモリに記録します。キーボードやコンピューターケースの内側に隠すことができます。
カメラは、キーストロークが見えるように、または把握できるように配置できます。
他のすべてが失敗した場合、警察国家は、あなたが銃口で何を入力していたのかをあなたに強制するように強制した後、いつでも彼らの愚痴を送ることができます：/

したがって、信頼できないシステムでできる最善の方法は、独自のLive-CD / Live-USBを使用して、それを使用し、独自のワイヤレスキーボードを使用して、システムのキーボードが接続されているUSBポート以外のUSBポートに接続することです（キーボードに隠されているハードウェアロガーと、コンピューターに隠されているポート上のハードウェアロガーを排除し、システム全体の各ポートにハードウェアロガーを使用しないことを期待して）、カメラを見つけることを学習します、そしてあなたが警察の状態にある場合、あなたがしていることを終えて、地元の警察の応答時間よりも短い時間で他のどこかにいる。

— Hは
ソース

私の質問はあなたの最後の点に向けられていました。あなたが言及した3つの例は実際にはシステムに関連していないため、ライブCDを使用しても役に立ちません。カメラやその他のハードウェアではなく、システム自体についてだけ話しています。システムにキーを記録するフックがあるかどうかを知るにはどうすればよいですか？

— NaomiJO

13

Linuxに存在するとは知らなかったもの、つまりSecure Text Inputを投入したいだけです。

xtermで、Ctrl+クリック-> "Secure Keyboard"をクリックします。これにより、xtermキーストロークを他のx11アプリから分離するように要求されます。これはカーネルロガーを防止するものではありませんが、保護の1つのレベルにすぎません。

— アンディチェイス
ソース

2

あなたの答えは、私にいくつかの新しい洞察を与えた唯一のものです。xtermがこの可能性を持っているとは知らなかった。

— シヴァム

9

はい、Ubuntuはキーロガーを持つことができます。そのフェッチは、それが起こる可能性があります。ブラウザーを介して悪用される可能性があり、攻撃者はユーザー特権でコードを実行できます。ログイン時にプログラムを実行する自動開始サービスを使用できます。どのプログラムでも、X Window Systemで押されたキーのスキャンコードを取得できます。xinputコマンドで簡単にデモンストレーションされます。詳細については、GUI分離を参照してください。¹

Linuxキーロガーは、キーボードを監視する前にルートアクセスが必要です。その特権を取得しない限り、キーロガーを実行できません。できることは、ルートキットの確認だけです。そのためには、CHKROOTKITを使用できます

^{¹ソース： superuser.com}

— ミッチ
ソース

1

私は少し混乱しています。「どのプログラムでも、X Window Systemで押されたキーのスキャンコードを取得できます。」vs.「Linuxキーロガーは、キーボードを監視する前にルートアクセスが必要です。」それは矛盾ではありませんか？

— Guntbert

1

うるさいのですが、レポにはキーロガーがあります。有効なユースケースが存在するため（packages.ubuntu.com/raring/logkeysを参照）、あまり取得されません;-)

— Rinzwind

すべてのchkrootkit Cプログラム、特にスクリプト「chkrootkit」のソースコードをレビューして、ルートキットまたはキーロガーがコンピューターに感染していないことを確認したのは誰ですか？

— カート

@guntbert Xが実行されている場合、デフォルトでXセッションにアクセスできるソフトウェアはすべてキーをログに記録できます。それ以外の場合は、Linuxイベントデバイスに直接アクセスする権限が必要です（一部の構成ではルートのみが持つ）。

— L29Ah

1

Linuxキーロガーは、システムと互換性のある言語で作成でき、このデータを記録するためにローカルファイルストレージを使用する必要があります。そうするようにプログラムされている場合、これと連動するように手動でプログラムまたはダウンロードされたキーロガーがある場合オペレーティングシステムの場合、実際にはファイルである可能性があり、システム上の任意の場所でシステムファイルのように見えるように名前が変更されている場合があります。

前回システムにキーロガーを作成/作成したとき、これは状況であり、検出と削除は簡単でしたが、ソースの手動検索が含まれていたため、少し時間がかかりました。

このタイプのキーロガーがある場合、それを見つけて削除しようとしますが、実際にダウンロードまたはインストールされたものである場合、Linuxは通常は疑わない安全なオペレーティングシステムであるため、これは非常に低いと考えられますWindowsシステムで通常見られるウイルスの形態。

— コサックマン
ソース