Долой кейлоггеры dl // 23.11.03 04:51 Центр информационной безопасности сообщает о выпуске PrivacyKeyboard 2.0, основное назначение которой - противодействие всевзможному "шпионскому" софту, кейлоггерам и т.п. [Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/11/32.html] Программа использует эвристические алгоритмы, учитывающие основные принципы, присущие всем мониторинговым программам, и включает в себя модули защиты от перехвата клавиатуры, от захвата текста/графики из окон, от аппаратных и программных кейлоггеров.
> захвата текста/графики из окон, от аппаратных и программных > кейлоггеров. Аппаратные они тоже разные бывают. Если к нему дравер какой прилагается - теоретически можно поймать. А если нет?
Например:
http://www.thinkgeek.com/gadgets/security/5a05/
Контроллер клавиатуры тоже в некотором роде управляемый девайс. В том смылсе что и команды принимает и отклик дает.
Если замерить временнЫе характеристики некоторых манипуляций с контроллером, то я практически уверен, что при внедрнении девайса все поменяется (появится лаг, то бишь изменится и мат ожидание и дисперсия времени отклика). Хотя бы потому, что мощный контроллер в кейкетчер не втыкнешь и вещи он делает наверное не совсем в реалтайме.
В свое время я думал и над методикой обнаружения таких вот "железных" закладок. Причем именно таких, то бишь совсем без софта. Работы свернул за "недостатком финансирования" :-). Теории теориями, а пока это не проверено на реальной железке - выеденного яйца не стоят. Ну а покупать железку не сильно хотелось
тема - разработка софта для контроллера жучка клавиатурного. интересно как можно обнаружить программно жучок который никак не управляется с компа? (штучка включается в провод клавы и пишет все в свою энергонезависимую память)
Я именно о такой и написал02.12.03 02:12 Автор: amirul <Serge> Статус: The Elderman
> тема - разработка софта для контроллера жучка > клавиатурного. интересно как можно обнаружить программно > жучок который никак не управляется с компа? (штучка > включается в провод клавы и пишет все в свою > энергонезависимую память) Вводная: ограниченные размеры и низкое энергопотребление. Следует: достаточно медленный контроллер + достаточно медленная память (энергонезависимая память это вам не DDR). Вывод: если замерять временнЫе параметры общения компа с клавой, то будет заметная разница между статистическими параметрами (медиана и дисперсия) отклика между клавой без закладки и ТОЙ ЖЕ клавой на ТОМ ЖЕ компе с закладкой.
Один из вариантов поддержания trusted computing (то бишь сначала нужно вручную убедиться, что нет закладки, и только потом система возьмет на себя обязанность поддержания) в случае с клавой - как раз измерение параметров.
Как я уже говорил, этот кейкетчер так и не попал ко мне. Возможно изменения параметров находились бы в пределах простого шума. А может быть они бы отличались на порядок-другой от всех клав и не пришлось бы возиться с начальным измерением, а сразу говрить есть закладка или нет.
Но это же идиотизм! Я в своих программах довольно часто использую SetWindowsHookEx - и не для шпионских целей, а для удобства работы с клавиатурой. Теперь, значит, стараниями параноиков они не будут работать? :-)
> Долой кейлоггеры > Центр информационной безопасности [...] > и включает в себя модули защиты от перехвата клавиатуры,
А кто тебе сказал, что они ловят хуки?29.11.03 15:41 Автор: amirul <Serge> Статус: The Elderman
> Но это же идиотизм! Я в своих программах довольно часто > использую SetWindowsHookEx - и не для шпионских целей, а > для удобства работы с клавиатурой. Теперь, значит, > стараниями параноиков они не будут работать? :-) Скажи, драйверы хуки ставят? Я тебе назову три кейлоггера, которые ставят свой драйвер и перехватывают ввод оттуда: KeyKey, Spector и PC Acme. Попробуй ловятся ли они. :-)
подробно о проекте
Анализ криптографических сетевых...
