Парольная защита. Голуб В.А. - 12 стр.

UptoLike

Составители: 

12
зователь пытался зарегистрироваться в системе. Если второе приглашение
(окно регистрации) присутствует на экране компьютера долгое время, это мо-
жет оказаться признаком присутствия в системе программной закладки . Опре-
деленную защиту от перехватчиков паролей первого рода может обеспечить
рекомендация всегда начинать работу с системой с нажатия <Ctrl-Alt-Del> не-
зависимо от того, какое приглашение отображается на экране.
Перехватчики паролей второго рода (фильтры”, клавиатурные монито -
ры , кей - логгеры ) перехватывают все данные, вводимые пользователем с кла -
виатуры .
Программы , регистрирующие нажатия клавиш клавиатуры и перехваты -
вающие данные, вводимые с клавиатуры , называются клавиатурными монито -
рами или кей - логгерами . Эти закладки представляют собой резидентные про-
граммы , перехватывающие прерывания процессора, имеющие отношение к ра-
боте с клавиатурой . Полученная информация записывается в специальный
файл, сохраняемый на жестком диске , причем часто предусматривается воз-
можность пересылки этой информации по сети . Более совершенные закладки
анализируют перехваченные данные и отфильтровывают информацию, заведо-
мо не имеющую отношения к паролям .
Одним из наиболее известных является клавиатурный шпион IKS (Invisible
KeyLogger Stealth невидимый клавиатурный шпион), который, внедряясь в
ядро системы , действует подобно драйверу клавиатуры и способен перехваты -
вать и записывать в журнальный файл все нажатия клавиш , даже при входной
регистрации в системе [9]. Выявление этой программы возможно по наличию
файла iks.sys, если он не был переименован злоумышленником для сокрытия
программы . Другой способ обнаружения кей - логгера основан на анализе сис-
темного реестра, так как файл iks.sys прописывается не только в каталог
WINDOWS\system32\drivers, но и регистрируется в реестре. Именно записи в
системном реестре позволяют выявлять кей - логгеры с помощью антивирусных
программ и программ поиска троянцев ; эффективно находит кей - логгеры , на -
пример, программа The Cleaner [9]. Некоторые кей - логгеры , например, 007
Stealth Monitor инициируют процессы , которые видны в диспетчере задач
Windows. Переименование файлов клавиатурных мониторов является одним из
основных приемов скрытия их наличия в системе.
Как показано в [4], если операционная система допускает переключение
раскладки клавиатуры при вводе пароля, то для этой операционной системы
можно написать перехватчик паролей второго рода, так как любой русификатор
клавиатуры , работающий в среде Windows, перехватывает всю информацию,
вводимую пользователем с клавиатуры , в том числе и пароли .
Защита от перехватчиков паролей второго рода требует выполнения в сле-
дующих условий [4]:
- невозможность переключения раскладки клавиатуры в процессе ввода
пароля;
- наличие только у администратора системы возможности конфигурирова-
ния цепочки программных модулей , участвующих в получении операци -
                                    12
зователь пытался зарегистрироваться в системе. Если второе приглашение
(окно регистрации) присутствует на экране компьютера долгое время, это мо-
жет оказаться признаком присутствия в системе программной закладки. Опре-
деленную защиту от перехватчиков паролей первого рода может обеспечить
рекомендация всегда начинать работу с системой с нажатия  не-
зависимо от того, какое приглашение отображается на экране.
     Перехватчики паролей второго рода (“фильтры”, клавиатурные монито-
ры, кей-логгеры) перехватывают все данные, вводимые пользователем с кла-
виатуры.
     Программы, регистрирующие нажатия клавиш клавиатуры и перехваты-
вающие данные, вводимые с клавиатуры, называются клавиатурными монито-
рами или кей-логгерами. Эти закладки представляют собой резидентные про-
граммы, перехватывающие прерывания процессора, имеющие отношение к ра-
боте с клавиатурой. Полученная информация записывается в специальный
файл, сохраняемый на жестком диске, причем часто предусматривается воз-
можность пересылки этой информации по сети. Более совершенные закладки
анализируют перехваченные данные и отфильтровывают информацию, заведо-
мо не имеющую отношения к паролям.
     Одним из наиболее известных является клавиатурный шпион IKS (Invisible
KeyLogger Stealth – невидимый клавиатурный шпион), который, внедряясь в
ядро системы, действует подобно драйверу клавиатуры и способен перехваты-
вать и записывать в журнальный файл все нажатия клавиш, даже при входной
регистрации в системе [9]. Выявление этой программы возможно по наличию
файла iks.sys, если он не был переименован злоумышленником для сокрытия
программы. Другой способ обнаружения кей-логгера основан на анализе сис-
темного реестра, так как файл iks.sys прописывается не только в каталог
WINDOWS\system32\drivers, но и регистрируется в реестре. Именно записи в
системном реестре позволяют выявлять кей-логгеры с помощью антивирусных
программ и программ поиска троянцев; эффективно находит кей-логгеры, на-
пример, программа The Cleaner [9]. Некоторые кей-логгеры, например, 007
Stealth Monitor инициируют процессы, которые видны в диспетчере задач
Windows. Переименование файлов клавиатурных мониторов является одним из
основных приемов скрытия их наличия в системе.
     Как показано в [4], если операционная система допускает переключение
раскладки клавиатуры при вводе пароля, то для этой операционной системы
можно написать перехватчик паролей второго рода, так как любой русификатор
клавиатуры, работающий в среде Windows, перехватывает всю информацию,
вводимую пользователем с клавиатуры, в том числе и пароли.
     Защита от перехватчиков паролей второго рода требует выполнения в сле-
дующих условий [4]:
     - невозможность переключения раскладки клавиатуры в процессе ввода
     пароля;
     - наличие только у администратора системы возможности конфигурирова-
     ния цепочки программных модулей, участвующих в получении операци-