На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Регистрация нажатий клавиш

Если ни одно из вышеописанных действий не помогает найти нужную информацию или по­лучить более полный доступ к сети, злоумышленник может загрузить в систему программу для регистрации нажатий клавиш (keystroke logger) — ПО сути, красть пароли прямо с клавиатуры. Все мы ошибаемся. Поэтому мы часто используем один И тот же пароль для доступа к разным системам. Ведь легче запомнить один пароль, чем несколько. Вот почему при наших проверках нам удавалось скомпрометировать сотни систем, начав только с одного взломанного пароля.
Программы-регистраторы нажатий клавиш обычно достаточно незаметны, работают между аппаратной частью (клавиатурой) и операционной системой и регистрируют каждое нажатие клавиши. Исходные предпосьшки для их использования просты: рано или поздно кто-нибудь попытается войти из скомпрометированной системы в другую систему или в домен Windows, а регистратор перехватит использованные имя пользователя и пароль.
На сегодняшний день есть несколько про грамм-регистраторов нажатий клавиш, одна из лучших для систем Windows NT— Invisible Keylogger Stealth (IKS), ссылка на нее дана в разде­ле "Дополнительная литература и ссылки". Эту программу мы считаем лучшей потому, что она устанавливается как драйвер устройства. Это значит, что она работает всегда и может пе-


пароль для входа в систему.

 

 

 

 

 

 

 

НА ЗАНЕТНУ

Программа IKS имеет встроенный бусрер памяти с возможностью хранения

100 строк для улучшения производительности. Эта программа сохраняет строки на диск только при заполнении буфера памяти или при отсутствии на­жатий клавиш в течение 3 мин. Поэтому иногда не сразу можно увидеть толь­ко что введенные строки.
Note: IKS has a built-in one-hundred-keystroke memory buffer to improve performance.  It only dumps keystrokes to disk when the memory buffer is full or the keyboard is idle for about three minutes with keystrokes in Che buffer. So you may not see all the keystrokes you just typed in immediately.
<AltxCtrlxDel>scnm
<Alt?<CtrlxAlt><Tab>-;Alt><Ctrl>rcmd dir ik<Ctrl>ccd\ dir iks.dat /s
<Alt><Tab><Alt><Tab><Alt><Tab><Bksp><Bksp><Del>ndowshellO
there<Alt><F4>n<Alt><F4>«:Alt><Alt><Alt><Alt><rAlt><Alt><Alt>-:Alt><Alt><;F4>
-<6-30-2D03 15:39>
<ESC^<Alt><AltxAlt><:Alt><Alt>o<Alt>
■=Tab><Alt><Ctrl><Del><Alt>n0t4u2c
<Ctrl>-:Alt>
К
як пилите пплтя
IKS vnannch пр tip v пятить лажр яирл
iuup r г.мстрмр Winrtf
бинации клавиш <CTRL+ALT+DEL>, поэтому вполне реально перехватить аутентификаци­онные данные, такие как имя пользователя и пароль (n0t4u2c).
Кроме того, программа IKS позволяет выполнять удаленную инсталляцию. Единствен­ный минус: чтобы драйвер начал работу и получил возможность перехватывать нажатия кла­виш, необходимо перезагрузить систему. Конечно же, это можно сделать с помощью утилиты из пакета Resource Kit shutdown.
shutdown \\10.1-1.S /R /T:l /Y 1С
Нажатия клавиш по умолчанию записываются в файл iks. dat (но имя файла можно из­менить). Файл iks.dat можно просматривать с помощью программы datview, которая входит в пакет IKS.
Защита от использования регистраторов нажатий клавиш


Бюллетень

Нет

BID

Нет

Исправлено в SP

Нет

Фиксируется

Нет

Как и для большинства атак, рассмотренных в этой главе, лучшая зашита в данном случае — не позволить хакеру получить права администратора в системе. Но есть несколько способов вы­явить наличие регистраторов клавиатуры в системе.
Выявить регистратор нажатий клавиш — задача сложная, поскольку такие программы обыч­но работают на очень низком уровне системы (в частности программа IKS). Если вы думаете, что в системе была установлена программа 1KS, то можете попробовать поискать в реестре зна­чение LogName, которое Хранится В ветви HKLM\SYSTEM\CurrentControlSet\Services, удалить его и перезагрузить систему. Если хакер был столь ленив, что даже не изменил имя Лрайвера iks. sys перед установкой, его можно обнаружить с помощью утилиты drivers . exe (от Sysintemals.com).
flpydisJc.sys        4096    4096      О      12288    4096 Hon Mar 24 23:04:32 2003 usbhub.sys      24576    4096      0      28672    4096 Mon Mar 24 23:10:46 2003 USBD.SYS 256      128      0 896      384 Mon Mar 24 23:10:39 2003
Fs_R©c.SYS        4096    4096      0        4096    4096 Mon Mar 24 23:08:36 2003 Hull.SYS 0    4096      0        4096    4096 Mon Mar 24 23:03:05 2003
Beep.SYS        4096    4096      0 0    4096 Mon Mar 24 23:03:04 2003
iJte.SYS        2080        33      0 0      768 Hon Oct 26 01:58:32 1998
vga.sys        4096    4096      0      20480    4096 Mon Mar 24 23:06:03 2003 mnmdd.SYS 0    4096      0        B192    4096 Mon Mar 24 23:07:53 2003
RDPCDD.sys 0    4096      0        8192    4096 Mon Mar 24 23:03:05 2003
Msfs.SYS        4096    4096      0      12288    4096 Mon Mar 24 23:08:56 2003

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика