Bluetooth микрокамера
Методики перехвата функций api подробно рассматривались в статье, посвященной rootkit.
Разница между rootkit и клавиатурным шпионов в данном случае невелика – шпион будет перехватыватьфункции с целью мониторинга, а не с целью модификации принципов работы и результатов вызова. Простейшим способом может быть перехват функций getmessage, peekmessage и translatemessage библиотеки user 32, что позволит вести мониторинг всех сообщений, получаемых gui приложениями. Клавиатурный шпион на базе драйвера данный метод еще более эффективен, чем описанные выше методы.
Возможны как минимум два варианта реализации этого метода – написание и установка в систему своего драйвера клавиатуры вместо штатного или установка драйвера - фильтра.
Применение драйвера - фильтра на мой взгляд является наиболее корректной методикой, хороший вариант реализации описан на сайте www.
Другой вариант можно найти в windows ddk (пример называется kbfiltr).
Аппаратные клавиатурные шпионы в ходе решения задач по защите bluetooth микрокамера от утечки информации часто рассматривают только различные программные средства для шпионажа за работой пользователя. Однако кроме программных возможны и аппаратные средства: установка устройства слежения в разрыв кабеля клавиатуры (например, устройство может быть выполнено в виде переходника ps /2); встраивание устройства слежения в клавиатуру; считывание данных путем регистрации пэмин (побочных электромагнитных излучений и наводок); визуальное наблюдение за клавиатурой аппаратные клавиатурные шпионы встречаются намного реже, чем программные.
Однако при проверке особо ответственных компьютеров (например, применяемых для совершения банковских операций) о возможности аппаратного слежения за клавиатурным вводом не следует забывать.
Пример клавиатурного шпиона данная программа может регистрировать клавиатурный ввод (с регистрацией заголовка окна и микрокамера для фото имени программы), снимать скриншоты экрана по bluetooth микрокамера расписанию, регистрировать запуск/останов программ, следить за буфером обмена, принтером, создаваемыми пользователем файлами.
Кроме того, в программе реализовано слежение за интернет-соединениями и посещаемыми сайтами.
Actualspy выбран в качестве примера программа имеет простейшую маскировку от обнаружения bluetooth микрокамера – она не видна в стандартном списке задач windows.
Для анализа собранной информации программа формирует протоколы в формате html.
Принцип работы программы actualspy основан на ловушке, регистрирующей события клавиатуры. Этот список можно продолжать очень bluetooth микрокамера долго, однако в большинстве случаев современные клавиатурные шпионы имеют примерно одинаковую базовую функциональность и различаются сервисными функциями и качеством маскировки в системе.
Методики поиска клавиатурных шпионов поиск по сигнатурам.
Данный метод не отличается от типовых методик поиска вирусов.
Сигнатурный поиск позволяет однозначно идентифицировать клавиатурные шпионы, при правильном выборе сигнатур вероятность ошибки практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее известные и описанные в его базе данных объекты; эвристически алгоритмы. Как очевидно из названия, это методики поиска клавиатурного шпиона по его характерным особенностям.
Как микрокамеры микрокамера jk sony показала практика, этот метод наиболее эффективен для поиска клавиатурных шпионов самого распространенного типа – основанных на ловушках.
Однако подобные методики дают много ложных срабатываний. Мои исследования показали, что существуют сотни bluetooth микрокамера безопасных программ, не являющихся клавиатурными шпионами, но устанавливающих ловушки для слежения за клавиатурным вводом и мышью.
Наиболее распространенный примеры - программы punto switcher. Программное обеспечение от мультимедийных микрокамера саратов клавиатур и мышей; мониторинг api функций, используемых клавиатурными шпионами.
Данная методика основана на перехвате ряда функций, применяемых клавиатурным шпионом – в частности, функций setwindowshookex, unhookwindowshookex, getasynckeystate, getkeyboardstate.
Вызов данных функций каким либо приложением позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных срабатываний будут аналогичны методу 2; отслеживание используемых системой драйверов, процессов и сервисов. Это универсальная методика, применимая не только против клавиатурных шпионов.
В простейшем случае можно применять программы типа kaspersky inspector или adinf. Которые отслеживают появление в системе новых файлов.
Программы для поиска bluetooth микрокамера и удаления клавиатурных шпионов любой антивирусный продукт.
Все антивирусы в той или иной мере могут находить клавиатурные шпионы, однако клавиатурный шпион не является вирусом и в результате пользы от антивируса мало; утилиты, реализующие механизм сигнатурного поиска и эвристические механизмы поиска. Сочетающая сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек; специализированные утилиты и программы, предназначенные для обнаружения клавиатурных шпионов и блокирования их работы.
Подобные программы наиболее эффективны для обнаружения и блокирования клавиатурных шпионов, поскольку как правило могут блокировать практически все разновидности клавиатурных шпионов.
Интерфейс программы anti-keylogger показан на рисунке: программа anti-keylogger работает в фоновом режиме и производит обнаружение программ, подозреваемых в слежении за клавиатурой.
В случае необходимости можно вручную разблокировать работу любой из обнаруженных программ (например, на рисунке видно, что в список «шпионов» попали msn messanger bluetooth микрокамера и программа зачачки из интернет flashget ). Для обнаружение клавиатурных шпионов не применяются базы сигнатур, обнаружение ведется эвристическими методами.
Тестирование программы показало, что она эффективно противодействует клавиатурным шпионам, основанным на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.
В режиме обучения данная программа по логике работы напоминает firewall – при обнаружении подозрительной активности выводится предупреждение с указанием имени и описания программы. Пользователь может выбрать действие на сеанс (разрешить, запретить), или создать постоянное правило для правило для приложения.
В ходе тестов advanced anti keylogger уверенно обнаружил все bluetooth микрокамера основные разновидности клавиатурных шпионов (на базе ловушки, циклического опроса, драйвера-фильтра). Настройки программы защищаются паролем, который задается в ходе инсталляции.
Клавиатурный шпион не является вирусом, но, тем не менее, представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя.
Опасность клавиатурного шпиона может существенно возрасти при его сочетании с rootkit -технологией, которая позволит замаскировать присутствие клавиатурного шпиона.
Еще более опасной является троянская или backdoor программа, содержащая клавиатурный шпион – его наличие существенно расширяет функции троянской программы и ее опасность для пользователя.