问题描述
我怎么知道我的系统中是否有键盘记录器,或者至少现在是否有一个键盘记录器?
最佳解决思路
键盘记录器现在正在运行吗?
-
首先,我们假设您正在使用X安装的Ubuntu系统并且一直受X控制 – 其中X是您自己或您绝对信任的人。
-
由于这是一个库存系统,并且所有软件都是从官方存储库安装的,因此您可以确定其中没有隐藏的键盘记录器,例如有人专门修改内核以窥探你,因此很难检测到。
-
然后,如果键盘记录器正在运行,它的进程将是可见的。您需要做的就是使用
ps -aux
或htop
来查看所有正在运行的进程的列表,并确定是否有任何可疑内容。-
最常见的”legitimate” Linux键盘记录程序是
lkl, uberkey, THC-vlogger, PyKeylogger, logkeys
。 logkeys是Ubuntu存储库中唯一可用的。
-
我是不是意外下载了木马/病毒键盘记录器?
-
通常这种风险在Ubuntu /Linux上非常小,因为需要特权(su)。
-
您可以尝试使用”rootkit”探测器作为Mitch在他的回答中提到的。
-
否则,把它归结为取证分析,如跟踪/调试过程,看着靴子之间的文件修改/时间戳,嗅探网络活动等。
如果我在”untrusted” Ubuntu系统上怎么办?
那么如果你在互联网/网吧, Library ,工作等等呢?甚至是许多家庭成员使用的家用电脑?
好吧,在这种情况下,所有的赌注都没有。如果有人有足够的技能/金钱/决心,那就很容易监视你的击键:
-
当您是公共计算机实验室的管理员并将它们放在您自己的系统上时,那些几乎不可能引入其他人系统的kernel-modifying隐藏键盘记录器更容易引入。
-
键盘和计算机之间有硬件USB或PS /2键盘记录器,每次按键记录到内置内存中;它们可以隐藏在键盘内部,甚至隐藏在电脑机箱内。
-
可以定位摄像机,以便您的击键可见或可以计算出来。
-
如果一切都失败了,一个警察国家总是可以在你之后发送他们的暴力强迫你告诉他们你用枪口打字的东西:/
因此,使用不受信任的系统可以做的最好的事情就是使用自己的Live-CD /Live-USB并使用它,使用自己的无线键盘并将其插入除系统自己的键盘之外的USB端口(消除硬件记录器隐藏在键盘中的,以及隐藏在计算机中的那个端口上的那些,希望他们没有为整个系统上的每个端口使用硬件记录器),学会发现相机(包括隐藏的相机的可能位置),如果你“处于警察状态,完成你正在做的事情,并在比当地警察的响应时间更短的时间内到达其他地方。
次佳解决思路
我只想提出一些我不熟悉的东西:安全文本输入。
在xterm上,cntrl + click – > “Secure Keyboard”。这要求将xterm键击与其他x11应用程序隔离开来。这不会阻止内核记录器,但只是一个级别的保护。
第三种解决思路
是的,Ubuntu可以有一个key-logger。它牵强附会,但它可以发生。它可以通过浏览器利用,攻击者可以使用您的用户权限运行代码。它可以使用在登录时运行程序的auto-start服务。任何程序都可以在X Window系统中获取按键的扫描码。使用xinput
命令可以很容易地演示它。有关详细信息,请参阅GUI isolation
linux密钥记录器需要具有root访问权限才能监控键盘。除非他们没有获得这种特权,否则他们无法运行密钥记录器。你唯一能做的就是检查rootkit。为此,您可以使用CHKROOTKIT
1Source:superuser.com