Dies hängt stark von der Implementierung des Keyloggers ab. Einige Produkte auf Unternehmensebene enthalten Rootkits, mit denen der Keylogger kaum erkannt werden kann, es sei denn, Sie kennen das verwendete Produkt und seine Konfiguration. Ein Beispiel finden Sie unter Spector Pro *. Außerdem, wie Syneticon-DJ-Notizen, ist es möglich, dass sie stattdessen einen Hardware-Keylogger verwenden, der auf eine Weise implementiert werden kann, die von der Software nicht leicht erkannt werden kann.

Wenn dies der Fall ist. Nachdem Sie Ihrem Freund die vollständigen Administratorrechte für die Box erteilt haben, sind sie entweder wirklich zuversichtlich in ihre Überwachungs- und Konfigurationssteuerungsfunktionen oder sie kennen die Auswirkungen der Gewährung solcher Berechtigungen an einen Endbenutzer nicht. Oft ist es das letztere. Wenn Sie jedoch davon ausgehen, dass Ersteres der Fall ist, sollten Sie auch davon ausgehen, dass es eine solide Rechtfertigung für ihr Vertrauen gibt.

Unabhängig davon ist es sehr wahrscheinlich, dass Ihr Freund bereits eine unterschrieben hat (und damit einverstanden ist) Richtlinien zur akzeptablen Nutzung, die eine Klausel enthalten, die alle Rechte auf Datenschutz für firmeneigene Geräte aufgibt. Darüber hinaus verfügt jedes Unternehmen, das Bedenken hinsichtlich der Einhaltung dieser Vorschriften hat, über ein Warnbanner auf dem System, das die Benutzer bei jeder Anmeldung daran erinnert, dass sie möglicherweise auf diesen Systemen überwacht werden müssen.

Fazit: Don ' Machen Sie an Unternehmensgeräten nichts, was Sie nicht sehen möchten. Nehmen Sie immer an, dass sie Tastenanschläge protokollieren, Screenshots (eine weitere häufige Spyware-Funktion) erfassen und den Netzwerkverkehr mit der möglichen Einbeziehung eines SSL-Proxys überwachen. Halten Sie Ihr Geschäft mit Geschäftshardware und persönlichen Dingen mit persönlicher Hardware, und es sollte Ihnen gut gehen.

* Hinweis: Dies ist keine Empfehlung von Spector Pro. Ich habe keine Verbindungen zum Unternehmen und habe auch kein Produkt verwendet. Dies ist nur ein Beispiel dafür, welche Art von Spyware-Tools Unternehmen zur Verfügung stehen.

Iszi gibt Ihnen im Allgemeinen einige sehr gute Ratschläge - wenn sie Überwachungssoftware verwenden, sind sie wahrscheinlich zuversichtlich.

Wird dies der Fall sein So einfach wie das Betrachten des Prozessbaums oder der Registrierung, oder verstecken sich diese Arten von Schlüsselprotokollierern besser als das?

Das Erkennen von Keyloggern ist so einfach wie das Suchen an der richtigen Stelle (welche kann oder kann) kann je nach Sichtweise nicht einfach sein). Das Problem ist zu wissen, wonach und wo gesucht werden muss. Was folgt, sind einige nicht erschöpfende Dinge, die Sie tun können, um nach Keylogging-Modulen zu suchen.

Erstens besteht die offensichtlich einfache Möglichkeit, einen Keylogger zu erstellen, darin, DLL Injection zu verwenden eine Reihe von Möglichkeiten erreicht. Die meisten davon führen dazu, dass eine DLL als dem Adressraum des Prozesses zugeordnet angezeigt wird. Schauen Sie sich dieses Bild an:

Was ist der oberste Eintrag in dieser Liste? Es ist eine pyd - oder Python-Erweiterungsdatei. Ich habe mit Python-implementierten COM-Servern herumgespielt und als Ergebnis wird die DLL in den Adressraum des Windows Explorers geladen.

DLL Durch das Injizieren der Keylogging-Variante wird die DLL in alle Zieladressräume geladen - kann nicht alles erfassen, wenn Sie nicht. Eine Sache, auf die Sie achten sollten, wären seltsame DLLs, die Sie nicht Produkten zuordnen können, deren Zweck Sie kennen. Sie werden in dieser Liste für alle Prozesse angezeigt.

Von den auf Wikipedia beschriebenen Techniken ist die einzige, die ich nicht gesehen habe, die Sorte CreateRemoteThread - ich bin unsicher, ob das Ergebnis darin besteht, einen Thread an das Bild anzuhängen oder einen Thread mit dem Namen DllMain auszuführen. Dank des Prozess-Explorers können wir immer noch sehen, welche Threads was ausführen:

Genial, oder? Nun, sie könnten so benannt werden, dass sie mit der offensichtlichen user32.dll oder einer ähnlichen übereinstimmen. Es gibt eine Reihe von Experimenten, die wir durchführen könnten, um herauszufinden, ob dies der Fall ist, wenn wir dies wollten. Diese werden dem Leser als Übung überlassen (hassen Sie es nicht einfach, wenn die Leute das sagen!).

Das deckt also den Benutzermodus-offensichtlichen-Keylogger-Modus ab. Es gibt einige weniger offensichtliche Stellen, an denen ein Keylogger eingebettet sein könnte (aber es ist unwahrscheinlich, dass es sich um globale Stellen handelt). Es wird jedoch wirklich aufregend, wenn Sie über Hooks auf Kernel-Ebene sprechen. Es gibt einen ausgezeichneten Artikel von Mark R und Bryce Cogswell zu diesem Thema, der jedoch mit der folgenden Einschränkung aktualisiert werden muss:

• 64-Bit-Windows-Kernel verfügen über einen Kernel-Patch Schutzmechanismus, der wichtige Punkte im Kernel regelmäßig auf Änderungen überprüft und das System herunterfährt, wenn sie erkannt werden.

Wenn Sie also 32-Bit-Fenster ausführen, können Sie dies immer noch tun irgendeine Form von Kernel-Level-Hooking installiert und funktioniert; Wenn Sie 64-Bit verwenden, ist dies viel weniger wahrscheinlich. Da KPP zuvor umgangen wurde und sich ständig ändert, würde ich darauf wetten, dass Sie unter x64 keine Kernel-Hooks haben, da Windows-Updates das System des Überwachungsprodukts regelmäßig zum Absturz bringen würden. Software verkauft sich auf dieser Basis einfach nicht.

Was können Sie gegenüber einem 32-Bit-Hook tun? Viele Dinge:

• Untersuchen Sie den Treiberordner auf Einträge, die verdächtig aussehen / nicht zugeordnet werden können.
• Machen Sie dasselbe, aber offline, damit der Treiber dies nicht kann verhindern, dass Sie schauen.
• Konfigurieren Sie einen Debug-Starteintrag mit bcdedit ( bcdedit / copy {current} / d "Windows im Debug-Modus" , bcdedit / debug {id} ON nach dem entsprechenden bcdedit / dbgsettings ), schließen Sie ein Firewire-Kabel an (wirklich. Verwenden Sie keine seriellen. Ich habe dies mit seriellen Kabeln entdeckt - Firewire ist viel schneller). Starten Sie dann auf Ihrem Quellcomputer kd und legen Sie einen Haltepunkt beim Laden des Moduls fest. Gehen Sie dann alle geladenen Module durch und notieren Sie sie. Ein Fahrer kann nicht viel tun, um sich vor dem Start vor Ihnen zu verstecken. Sie können es sogar von hier aus untersuchen ( g , um fortzufahren, Strg + c wird an jedem Punkt unterbrochen).

Natürlich Vorbehalte hier sind, dass keine ausführbaren Windows-Dateien direkt gepatcht wurden oder solche Fehler, die wir nicht trivial erkennen können.

Dies betrifft direkt das System, ist jedoch keine vollständige Lösung. Wenn Sie der Meinung sind, dass die Protokollierungssoftware nach Hause telefoniert, können Sie mithilfe eines transparenten Proxys feststellen, wo Sie sich beispielsweise bei vpn.mycompany.com einwählen, aber möglicherweise auch Verbindungen zum -Monitorserver sehen. mycompany.com .

Wie Sie zweifellos feststellen können, hängen viele der verfügbaren Techniken von zwei Dingen ab:

• Ihre bereits vorhandene Vertrautheit mit Ihrem Betriebssystem oder der Fähigkeit, sich schnell mit dem zu vertraut zu machen, was nicht am richtigen Ort ist, und
• der Fähigkeit und Ressource des Autors, seine Änderungen vor Ihnen zu verbergen / zu verschleiern.

Kurze Antwort: Es gibt keine narrensichere Möglichkeit, etwas dergleichen zu erkennen. Es gibt jedoch einige Stellen, an denen Sie nach Beweisen suchen können.

Verschiedene Haftungsausschlüsse:

• Die Untersuchung könnte Ihrer AUP zuwiderlaufen. Es könnte auch illegal sein, wo Sie leben.
• Wenn Sie alles versuchen, was ich vorschlage, und nichts auftauchen, befolgen Sie Iszis Rat und gehen Sie davon aus, dass jedes Überwachungsprogramm besser ist als Sie.
• Es ist unwahrscheinlich, dass Sie unter dem IT-Support und den Systemadministratoren Freunde finden, die ihre Systeme so analysieren.
• Die Sicherheit Ihrer Aktivitäten auf dem Arbeitslaptop hängt nicht nur vom Betriebssystem ab, sondern auch davon die gesamte Hardware / Software, die an der Übertragung dieser Daten beteiligt ist. Mein Punkt? Wenn Sie sich Sorgen machen (ohne zu sagen, dass Sie es sind, nur ein Beispiel), dass Ihr Arbeitgeber Sie ausspioniert, um festzustellen, ob Sie Ihren Tag mit Farmville verbringen, brauchen sie dafür keinen Keylogger - wenn Sie verbunden sind Über ihr Netzwerk sollten sie in der Lage sein, Ihre Verbindungen zu protokollieren. SSL verbirgt den Inhalt, nicht jedoch die Quelle oder das Ziel.
• Nach meiner Erfahrung stellen sich Gerüchte über Keylogger normalerweise als genau das heraus - Gerüchte. Dies basiert jedoch auf meiner statistisch ungültigen Stichprobe eines Unternehmens, in dem ein solches Gerücht existierte, auf das man sich nicht verlassen kann. Es ist klar, dass diese Produkte existieren.

1. Erstellen Sie ein GMail-Konto mit Nein 2-Schritt-Berechtigung (nicht vom Laptop eines Freundes)
.
2. Melden Sie sich mit dem Laptop Ihres Freundes an in die GMail-Weboberfläche (Benutzername eingeben / manuell übergeben)
.
3. Erstellen Sie neue E-Mails mit dem Betreff einiger Berichte aus% companyname% , und fügen Sie einige Dummy-DOCs hinzu und .pdfs, geben Sie "dave123@another-company-in-your-field.com" in das Feld "An:" ein. Klicken Sie auf "Senden".
4. Aktivieren Sie die 2-Schritt-Autorisierung und verknüpfen Sie sie mit Ihrem Telefon (nicht vom Laptop eines Freundes)
5. Melden Sie sich dann niemals von irgendwoher in diesem Konto an, sondern warten Sie nur auf eine SMS, in der die Keylogger bestätigt werden :)
ol>

Nun, einige Keylogger verstecken sich sehr gut. Einige ähneln möglicherweise einem Rootkit. Sie sollten ein gutes Antivirenprogramm erhalten, das Rootkits und Trojaner und dergleichen vom Computer erkennen und ausrotten kann, und es sollte gründlich von einem Computer gescannt werden REINIGEN Sie das System, da Sie sonst möglicherweise ein Rootkit oder andere unangenehme Dinge starten, die den Scan sauber erscheinen lassen, obwohl dies nicht der Fall ist. Ein gutes solches Programm ist das AVG Pro Antivirus- und Antirootkit-Programm, und es gibt einige andere, die behaupten, gegen Rootkits und alle anderen Arten von Trojanern, Spyware-Würmern usw., gut abzuschneiden. Eine gute Investition, wenn Sie nicht gerne jemanden beobachten Über die Schulter die ganze Zeit oder schlimmer noch, fangen Sie einen ziemlich bösen "Bug", also machen Sie einen Scan mit etwas wie AVG von einem CLEAN-System ... das sich um all die Dinge kümmern sollte, die ich erwähnt habe, und behalten Sie Ihr Antivirus / Antirootkit Software ebenfalls auf dem neuesten Stand

Grundsätzlich gibt es keine andere Möglichkeit, dies zu erkennen, als das System auseinanderzunehmen und mit einer vertrauenswürdigen Implementierung zu vergleichen.

Es hat sich als theoretisch unmöglich erwiesen, ein Programm zu erstellen, das in der Lage ist, ein beliebiges Stück Code zu analysieren und zu bestimmen, ob es bei einer bestimmten Eingabe irgendwann anhalten oder für immer ausgeführt wird ( Anhalten) Problem), was wiederum eine ganze Menge für Scanner bedeutet, die bestimmen sollen, ob eine beliebige Binärdatei Ihre Maschine in einen bestimmten unerwünschten Zustand versetzt.

Als weitere Komplikation Schlüssel Logger müssen keine Software sein, die in Ihrem Betriebssystem installiert ist - sie können auch eine Hardwarekomponente sein.