Keylogger или регистрирующее устройство


Keylogger (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре, мышки компьютера, их время нажатия.

Изначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP сервер в сети Интернет, по E-mail и т. д.

В настоящее время кейлоггеры осуществляют полный контроль за деятельностью пользователя персонального компьютера. Т.е., перехват кликов мыши, перехват буфера обмена, "фотографирование" снимков экрана и активных окон, ведение учета всех полученных и отправленных E-mail. А также перехват информации из окон, мониторинг файловой активности, мониторинг системного реестра, перехват звука с микрофона и видео-изображения с веб-камеры и т. д.
Другими словами, Keylogger отошли от своего начального значения и теперь осуществляют мониторинг программных продуктов.

Аппаратные Keylogger - это миниатюрные приспособления, прикрепляющиеся либо к клавиатуре, либо в нее встроены. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Данные Keylogger не требуют установки специального программного обеспечения на компьютер, и не нуждается в дополнительном источнике питания. Память устройства позволяют записывать до 20 миллионов нажатий клавиш, причем с поддержкой юникода.

Аппаратные кейлоггеры бывают внешние и внутренние.

Акустические кейлоггеры - аппаратные устройства, записывающие звуки, создаваемые пользователем при нажати на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

Лог-файл может храниться:

  • жесткий диск;
  • оперативная память;
  • реестр;
  • локальная сеть;
  • удаленный сервер.

Отправляться лог-файл может по E-mail, FTP или HTTP (в интернете или локальной сети), либо любым из вариантов беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости)


По методу применения
Применяться Keylogger может: несанкционированно и санкционировано.

Несанкционированное применение — установка кейлоггера происходит без ведома владельца автоматизированной системы или без ведома владельца конкретного персонального компьютера. Такие Keylogger называются шпионскими программными продуктами или шпионскими устройствами. Несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя (без физического доступа к компьютеру).

Санкционированное применение — установка кейлоггера происходит с ведома владельца автоматизированной системы или с ведома владельца конкретного персонального компьютера, и называются мониторинговые программные продукты. Данные программные продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для конфигурирования и инсталляции.


По включению в сигнатурные базы
Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей анти-шпионских и антивирусных программных продуктов.
Сигнатуры неизвестных кейлоггеров, кейлоггеров, представляющих собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов - являются неизвестными.


Цели применения
Санкционированное применение кейлоггеров позволяет владельцу:

  • определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
  • иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине;
  • определить все случаи попыток перебора паролей доступа;
  • проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить, что набиралось на клавиатуре в данное время;
  • исследовать компьютерные инциденты;
  • проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
  • восстановить критическую информацию после сбоев компьютерных систем.


Несанкционированное применение кейлоггеров позволяет злоумышленнику:

  • перехватывать чужую информацию, набираемую пользователем на клавиатуре;
  • получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа "банк-клиент";
  • получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
  • получить несанкционированный доступ к авторизационным данным кредитных карточек.


Защита от несанкционированно установленных программных кейлоггеров

  • использование антишпионских программных продуктов и антивирусных программных продуктов известных производителей, использующие для противодействия шпионским программным продуктам эвристические анализаторы, т.е. не требующие наличия сигнатурной базы;
  • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
  • тщательный внешний и внутренний осмотр компьютерных систем;
  • использование виртуальных клавиатур.