web-dev-qa-db-fra.com

Détecter des Keyloggers inconnus

Sur un système Linux, est-il possible de détecter des Keyloggers inconnus? KeyLoggers neufs et ne l'ont pas fait dans la base de données d'un logiciel de détection?

4
oshirowanen

Oui, il est possible de détecter des keyloggers inconnus et d'autres logiciels malveillants, généralement à travers Computer Forensics ( volatilité ou encase Sont un logiciel bien connu pour le faire. ).

La détection de keylogger, en ce qui concerne les virus et autres malwares, peut fondamentalement être réalisée grâce à deux méthodes (je simplifie la clarté de la réponse):

  • Détection basée sur la signature
  • Détection à base d'heuristique

Évidemment, un keylogger inconnu ne sera pas attrapé par des produits de détection basés sur la signature (cela peut être, en cas de réutilisation de code pour ex.), Et vous devrez compter sur l'heuristique ou la détection comportementale, qui généralement Générer un résultat plus faux positif.

Heureusement, la chose est que les développeurs de Keylogger s'appuient généralement sur des méthodes bien connues pour développer leur code malveillant, ce qui permet au chercheur de les trouver rapidement et de les détecter rapidement. De telles méthodes sont par exemple:

Mais généralement, si votre système a été compromis au niveau du noyau par un logiciel malveillant inconnu, la seule chose que vous pouvez faire est de vous en débarrasser et de réinstaller une couleur propre, car les modifications de niveau du noyau peuvent être presque impossibles à détecter si elles sont correctement correctes.

Vous pouvez lire ceci ESET Paper sur détecter les malwares inconnus ou Celui-ci de Symantec ou simplement Google pour l'un des nombreux articles/articles intéressants sur ce sujet.

7
ack__

Oui. Vous pouvez, par exemple, effectuer un audit de code pour identifier le logiciel qui est hors de propos.

Ou vous pourriez être capable de détecter les données car elle se déroule à l'attaquant.

1
Graham Hill

L'élément clé est de savoir si vous SAVOIR s'il existe un keylogger (ou si vous avez des suspicions raisonnables) ou si vous souhaitez simplement le détecter automatiquement.

Dans le premier cas, une enquête est très susceptible de mener à bien quelque chose: les données voyageant à l'attaquant (comme d'autres l'ont souligné), des dispositifs suspects, des preuves de la falsification, etc.

Dans ce dernier cas, la probabilité de détecter automatiquement un keylogger est très petite: utilisez-vous des produits hors tension? Pouvez-vous mesurer le chronométrage de tous les composants de systèmes et comparer avec des valeurs connues et bonnes? Pouvez-vous isoler le système dans une cage Faraday pour éviter les touches de frappe passives qui transmettent des données en arrière lorsqu'elles sont irradiées (A-la NSA TAO)? Avez-vous le contrôle de toutes les couches d'abstraction de démarrage à l'interface graphique et pouvez-vous vérifier cryptographiquement le logiciel qu'il fonctionne (via une forme de démarrage de confiance)?

0
lorenzog

Oui mais normalement pas une tâche facile

Il y a un cadre exactement pour cela appelé volatilité: tas d'outils écrits en python

il va ramper dans la mémoire pour déterminer si des Keyloggers vérifient le chèque à l'adresse https://code.google.com/p/volatiality/

j'espère que cela pourra aider

0
user3484698

En théorie, vous pouvez arrêter toutes les applications que vous connaissez produisent du trafic réseau, puis écrivez un petit morceau de code pour simuler de nombreux événements de frappe de clés et surveiller le trafic réseau pour rechercher un bavardage accru sur le fil. Même si le trafic est crypté et envoyé dans des packages en vrac, vous avez toujours pu obtenir une idée générale sur ce que vos applications font et si vous étiez la cible d'un logiciel Keylogger. À partir de ce moment, il appartiendrait à vous d'enquêter plus avant, de trouver l'application malveillante et de prendre des mesures pour vous protéger activement et peut-être peut-être revenir en arrière à la source.

0
Thyamarkos