ВУЗ:
Составители:
12
зователь пытался зарегистрироваться в системе. Если второе приглашение
(окно регистрации) присутствует на экране компьютера долгое время, это мо-
жет оказаться признаком присутствия в системе программной закладки . Опре-
деленную защиту от перехватчиков паролей первого рода может обеспечить
рекомендация всегда начинать работу с системой с нажатия <Ctrl-Alt-Del> не-
зависимо от того, какое приглашение отображается на экране.
Перехватчики паролей второго рода (“фильтры”, клавиатурные монито -
ры , кей - логгеры ) перехватывают все данные, вводимые пользователем с кла -
виатуры .
Программы , регистрирующие нажатия клавиш клавиатуры и перехваты -
вающие данные, вводимые с клавиатуры , называются клавиатурными монито -
рами или кей - логгерами . Эти закладки представляют собой резидентные про-
граммы , перехватывающие прерывания процессора, имеющие отношение к ра-
боте с клавиатурой . Полученная информация записывается в специальный
файл, сохраняемый на жестком диске , причем часто предусматривается воз-
можность пересылки этой информации по сети . Более совершенные закладки
анализируют перехваченные данные и отфильтровывают информацию, заведо-
мо не имеющую отношения к паролям .
Одним из наиболее известных является клавиатурный шпион IKS (Invisible
KeyLogger Stealth – невидимый клавиатурный шпион), который, внедряясь в
ядро системы , действует подобно драйверу клавиатуры и способен перехваты -
вать и записывать в журнальный файл все нажатия клавиш , даже при входной
регистрации в системе [9]. Выявление этой программы возможно по наличию
файла iks.sys, если он не был переименован злоумышленником для сокрытия
программы . Другой способ обнаружения кей - логгера основан на анализе сис-
темного реестра, так как файл iks.sys прописывается не только в каталог
WINDOWS\system32\drivers, но и регистрируется в реестре. Именно записи в
системном реестре позволяют выявлять кей - логгеры с помощью антивирусных
программ и программ поиска троянцев ; эффективно находит кей - логгеры , на -
пример, программа The Cleaner [9]. Некоторые кей - логгеры , например, 007
Stealth Monitor инициируют процессы , которые видны в диспетчере задач
Windows. Переименование файлов клавиатурных мониторов является одним из
основных приемов скрытия их наличия в системе.
Как показано в [4], если операционная система допускает переключение
раскладки клавиатуры при вводе пароля, то для этой операционной системы
можно написать перехватчик паролей второго рода, так как любой русификатор
клавиатуры , работающий в среде Windows, перехватывает всю информацию,
вводимую пользователем с клавиатуры , в том числе и пароли .
Защита от перехватчиков паролей второго рода требует выполнения в сле-
дующих условий [4]:
- невозможность переключения раскладки клавиатуры в процессе ввода
пароля;
- наличие только у администратора системы возможности конфигурирова-
ния цепочки программных модулей , участвующих в получении операци -
12 зователь пытался зарегистрироваться в системе. Если второе приглашение (окно регистрации) присутствует на экране компьютера долгое время, это мо- жет оказаться признаком присутствия в системе программной закладки. Опре- деленную защиту от перехватчиков паролей первого рода может обеспечить рекомендация всегда начинать работу с системой с нажатияне- зависимо от того, какое приглашение отображается на экране. Перехватчики паролей второго рода (“фильтры”, клавиатурные монито- ры, кей-логгеры) перехватывают все данные, вводимые пользователем с кла- виатуры. Программы, регистрирующие нажатия клавиш клавиатуры и перехваты- вающие данные, вводимые с клавиатуры, называются клавиатурными монито- рами или кей-логгерами. Эти закладки представляют собой резидентные про- граммы, перехватывающие прерывания процессора, имеющие отношение к ра- боте с клавиатурой. Полученная информация записывается в специальный файл, сохраняемый на жестком диске, причем часто предусматривается воз- можность пересылки этой информации по сети. Более совершенные закладки анализируют перехваченные данные и отфильтровывают информацию, заведо- мо не имеющую отношения к паролям. Одним из наиболее известных является клавиатурный шпион IKS (Invisible KeyLogger Stealth – невидимый клавиатурный шпион), который, внедряясь в ядро системы, действует подобно драйверу клавиатуры и способен перехваты- вать и записывать в журнальный файл все нажатия клавиш, даже при входной регистрации в системе [9]. Выявление этой программы возможно по наличию файла iks.sys, если он не был переименован злоумышленником для сокрытия программы. Другой способ обнаружения кей-логгера основан на анализе сис- темного реестра, так как файл iks.sys прописывается не только в каталог WINDOWS\system32\drivers, но и регистрируется в реестре. Именно записи в системном реестре позволяют выявлять кей-логгеры с помощью антивирусных программ и программ поиска троянцев; эффективно находит кей-логгеры, на- пример, программа The Cleaner [9]. Некоторые кей-логгеры, например, 007 Stealth Monitor инициируют процессы, которые видны в диспетчере задач Windows. Переименование файлов клавиатурных мониторов является одним из основных приемов скрытия их наличия в системе. Как показано в [4], если операционная система допускает переключение раскладки клавиатуры при вводе пароля, то для этой операционной системы можно написать перехватчик паролей второго рода, так как любой русификатор клавиатуры, работающий в среде Windows, перехватывает всю информацию, вводимую пользователем с клавиатуры, в том числе и пароли. Защита от перехватчиков паролей второго рода требует выполнения в сле- дующих условий [4]: - невозможность переключения раскладки клавиатуры в процессе ввода пароля; - наличие только у администратора системы возможности конфигурирова- ния цепочки программных модулей, участвующих в получении операци-