Сейчас просматривают тему: 0 -> --, и гостей: 1

Защита от клавиатурных шпионов

Какой антивирус вы одобряете?

Касперский - 35 (30%)

Dr.Web - 15 (13%)

Norton AntiVirus - 3 (3%)

Network Associates (McAfee) - 0 (0%)

Eset (NOD32) - 41 (35%)

другой - 23 (20%)


Всего проголосовало: 117

 
Ссылка на пост #51 Добавлено: 24 мая 2009 21:07
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

santess,
Рубленая или нет незнаю, взял из софта, а пользуюсь своей. А настройки полюбому нужно изменить, доступ в нет должен быть через прокси. Если эта некатит попробуй 3.0 v по слухам рубит отлично
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 2 : ORN, santess
Ссылка на пост #52 Добавлено: 25 мая 2009 18:21
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

Защита от клавиатурных шпионов

Подавляющее большинство клавиатурных шпионов использует
для мониторинга нажатий клавиш hook-процедуру WH_KEYBOARD.
Чтобы клавиатурное сообщение не попало в установленную ловушку,
достаточно перехватить вызов этой hook-процедуры и отменить его.
Это можно сделать, установив свой hook - WH_DEBUG. Процедура
этого hook'а будет получать управление при вызове других
hook-процедур.
Таким образом, мы устанавливаем hook для других hook'ов, получая,
в результате, достаточно мощное средство.

Приступим к написанию. Создайте новый DLL-проект; VCL можно отключить.
Код процедуры в DLL:

extern "C" __export LRESULT CALLBACK
DebugProc(int nCode, WPARAM wParam, LPARAM lParam)
{
if(nCode == HC_ACTION)
{
if(wParam == WH_KEYBOARD)
{
if(MessageBox(NULL, "Do you want to pass keyboard message to WH_KEYBOARD
hook-procedure?",
"Confirmation",
MB_YESNO | MB_ICONQUESTION | MB_DEFBUTTON2 |
MB_TOPMOST | MB_SYSTEMMODAL) == IDNO)
return 1;
}
}

return CallNextHookEx(NULL, nCode, wParam, lParam);
}



Мы проверяем тип вызываемой ловушки на соответствие WH_KEYBOARD,
и, если равенство верное, запрашиваем подтверждение на вызов этой процедуры.
Если в пропуске отказано, возвращаем ненулевое значение.

Код приложение, ответственное за установку и снятие этой ловушки.

// Глобальные переменные:
HMODULE hDLL = NULL;
HHOOK hHook = NULL;

//--------------------------------------
-------------------------------------

void __fastcall TForm1::Button1Click(TObject *Sender)
{
if(hHook != NULL)
{
ShowMessage("The Hook has already been set.");
return;
}

hDLL = LoadLibrary("hook.dll");
if(hDLL == NULL)
{
ShowMessage("Can't load hook.dll. Reason: " + SysErrorMessage(GetLastError()));
return;
}

typedef LRESULT __import (CALLBACK *fnType)(int, WPARAM, LPARAM);
fnType DebugProc = (fnType)GetProcAddress(hDLL, "DebugProc");

if(DebugProc == NULL)
{
FreeLibrary(hDLL);
hDLL = NULL;
ShowMessage("Can't find "DebugProc" in hook.dll.");
return;
}

hHook = SetWindowsHookEx(WH_DEBUG, (HOOKPROC)DebugProc, hDLL, 0);
if(hHook == NULL)
{
FreeLibrary(hDLL);
hDLL = NULL;
ShowMessage("Can't set WH_DEBUG hook. Reason: " + SysErrorMessage(GetLastError()));
return;
}
}
//--------------------------------------
-------------------------------------

void __fastcall TForm1::FormDestroy(TObject *Sender)
{
if(hDLL)
FreeLibrary(hDLL);
if(hHook)
{
UnhookWindowsHookEx(hHook);
hHook = NULL;
}
}

Не забудьте переименовать DLL (или изменить её имя в коде).
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Ссылка на пост #53 Добавлено: 25 мая 2009 18:36
Посетители
Азъ: мимоход
Возраст: --
Пол:
С нами: 14 лет 10 месяцев
Сообщений: 9
Поблагодарил: 69
Благодарностей: 4
Предупреждений: 0

Репутация:

Награды:


Вованыч,
У меня есть огромная просьба, жена пользуясь компом забыла свой пароль, может подскажеш как его узнать. А то неможет ввойти, а у неё там документы какие то и фотки. Думаю тебе под силу такое сделать, прошу поделись опытом. Заранее благодарен.

Мой телевизор:

Мой ресивер:

Мои спутники:

Ссылка на пост #54 Добавлено: 25 мая 2009 18:47
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

ORN,
Надеюсь это небудет уроком хакерства, хотя это я думал знает каждый.
Сброс паролей пользователей в режиме администратора
Все версии Windows XP имеют учетную запись "administrator". Это имя дает пользователю полный доступ к системе и возможность сбрасывать пароли всех остальных пользователей. Это может вас спасти, если вы по какой-либо причине не можете зайти под своим обычным паролем пользователя. Специфика использования пароля администратора зависит от версии Windows XP:
XP Professional. Пароль администратора задается во время установки операционной системы. Если вы его записали или просто нажали enter, оставив его пустым, то вы легко войдете в систему как администратор и сбросите пароли пользователей. Чтобы войти в систему в режиме администратора, на экране с приветствием системы нажмите два раза CTRL+ALT+DEL, появится окно для ввода пароля администратора.
Когда компьютер загрузится, зайдите в 'startcontrol paneluser accounts' (пускпанель управленияучетные записи пользователей) и измените необходимый пароль. Коль вы уже здесь, это хорошая возможность исправить свою ошибку, если вы оставили пароль администратора пустым. Кроме того, желательно изменить название учетной записи 'adminisrator'. Это название известно всем, и его используют первым, чтобы получить доступ к вашему компьютеру. Для изменения названия учетной записи нажмите правой кнопкой мыши на 'my computer' (мой компьютер) и выберите 'manage' (управление). Раскройте 'local users and groups' (локальные пользователи и группы) и откройте папку 'users' (пользователи). Нажмите правой кнопкой мыши на запись 'administrator' и измените ее.
XP Home. Эта система не даст вам просто так получить доступ к компьютеру в режиме администратора. Сначала понадобится загрузить компьютер в режиме защиты от сбоев. Для этого: перезагрузите компьютер; сразу же после тестирования BIOS нажмите несколько раз F8; в появившемся меню выберите 'start Windows XP in safe mode' (загрузить Windows XP в режиме защиты от сбоев). Когда компьютер загрузится, зайдите с именем пользователя 'administrator'. Пароль по умолчанию отсутствует. Теперь вы можете изменять пароли пользователей, зайдя в 'startcontrol paneluser accounts' (пускпанель управленияучетные записи пользователей). Когда вы закончите, перезагрузите компьютер обычным способом.
Попозже напишу детальнее. Удачи
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Ссылка на пост #55 Добавлено: 25 мая 2009 18:52
Посетители
Азъ: мимоход
Возраст: --
Пол:
С нами: 14 лет 10 месяцев
Сообщений: 9
Поблагодарил: 69
Благодарностей: 4
Предупреждений: 0

Репутация:

Награды:


ОГРОМНОЕ спасибо! Выручил! А я этого в самом деле незнал recourse

Мой телевизор:

Мой ресивер:

Мои спутники:

Ссылка на пост #56 Добавлено: 25 мая 2009 19:11
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

Клавиатурные шпионы. Принципы работы и методы обнаружения.

В феврале 2005 года бизнесмен из Флориды Джо Лопес (Joe Lopez) подал иск против Bank of America: неизвестные хакеры украли у американского предпринимателя с его банковского счета в Bank of America 90 тыс. долларов, которые каким-то образом были переведены в Латвию.
В результате расследования выяснилось, что на компьютере Лопеса присутствовал вирус Backdoor.Win32.Apdoor (Backdoor.Сoreflood), который фиксирует все клавиатурные нажатия пользователя и через Интернет направляет их злоумышленникам. Именно таким образом к хакерам попали пароль и логин Джо Лопеса, который регулярно работал через Интернет со своим счетом в Bank of America.
Однако суд отказал истцу в возмещении ущерба, указав на то, что г-н Лопес пренебрег элементарными мерами предосторожности при работе со своим банковским счетом через Интернет: детектирование указанного вируса было добавлено в антивирусные базы почти всех производителей антивирусного ПО еще в 2003 году.
Исчезновению 90 тыс. долларов со счета Джо Лопеса помог обычный кейлоггер.

Что такое кейлоггер

В переводе с английского keylogger — это регистратор нажатий клавиш. В большинстве источников можно найти следующее определение кейлоггера: кейлоггер (клавиатурный шпион) — программное обеспечение, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий. Это определение не совсем верно, так как в качестве кейлоггеров может использоваться как программное обеспечение, так и аппаратные средства. Аппаратные кейлоггеры встречаются значительно реже, чем программные, однако при защите важной информации о них ни в коем случае нельзя забывать.

Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» (hotkeys) или, например, для переключения неправильной раскладки клавиатуры (как Keyboard Ninja). Существует масса легального ПО, которое используется администраторами для наблюдения за тем, что делает работник в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем компьютере. Однако где проходит грань между «законным» использованием «легального» ПО и его использованием в криминальных целях? То же «легальное» ПО зачастую используется и в целях умышленного похищения секретных данных пользователя — например, паролей.

Большинство существующих на данный момент кейлоггеров считаются «легальными» и свободно продаются, так как разработчики декларируют множество причин для использования кейлоггеров, например:
для родителей: отслеживание действий детей в Интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых» (parental control);
для ревнивых супругов: отслеживание действий своей половины в Сети в случае подозрения на «виртуальную измену»;
для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время;
для службы безопасности организации: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации;
для различных служб безопасности: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;
другие причины.

Однако это скорее привычное, чем объективное положение вещей, так как для решения всех указанных задач существуют и другие способы, а ЛЮБОЙ легальный кейлоггер может использоваться во вредоносных целях, и в последнее время именно кража информации пользователей различных систем онлайновых платежей стала, к сожалению, главным применением кейлоггеров (для этих же целей вирусописателями постоянно разрабатываются новые троянцы-кейлоггеры).

Кроме того, многие кейлоггеры прячут себя в системе (т.к. имеют функции руткита), что значительно облегчает их использование в преступных целях. Такое использование делает задачу обнаружения кейлоггеров одной из приоритетных для антивирусных компаний. В классификации вредоносных программ «Лаборатории Касперского» существует специальная категория Trojan-Spy (шпионские программы), в которую попадают программы, содержащие функции клавиатурных шпионов. Согласно определению Trojan-Spy, «эти троянцы осуществляют электронный шпионаж: вводимая с клавиатуры зараженного компьютера информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику».

Чем опасны кейлоггеры

В отличие от других типов вредоносного программного обеспечения, для системы кейлоггер абсолютно безопасен. Однако он может быть чрезвычайно опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, пароли к учетным записям в online-играх, адреса, логины, пароли к системам электронной почты и так далее.

После получения конфиденциальных данных пользователя злоумышленник может не только банально перевести деньги с его банковского счета или использовать учетную запись пользователя в online-игре. К сожалению, наличие таких данных в ряде случаев может приводить к последствиям более серьезным, чем потеря некоторой суммы денег конкретным человеком. Использование кейлоггеров позволяет осуществлять экономический и политический шпионаж, получать доступ к сведениям, составляющим не только коммерческую, но и государственную тайну, а также компрометировать системы безопасности, используемые коммерческими и государственными структурами (например, с помощью кражи закрытых ключей в криптографических системах).

Кейлоггеры, наряду с фишингом и методами социальной инженерии (см. статью «Кража собственности в компьютерных сетях»), являются сейчас одним из главных методов электронного мошенничества. Однако если в случае фишинга бдительный пользователь может сам себя защитить — игнорировать явно фишинговые письма, не вводить персональные данные на подозрительных веб-страницах, — то в случае с клавиатурными шпионами никаким другим способом, кроме использования специализированных средств защиты, обнаружить факт шпионажа практически невозможно.

По словам Кристины Хойперс (Cristine Hoepers), менеджера бразильской команды немедленного компьютерного реагирования (Brazil's Computer Emergency Response Team), работающей под эгидой Комитета регулирования Интернета Бразилии (Internet Steering Committee), кейлоггеры оказались самым распространенным способом кражи конфиденциальной информации, передвинув фишинг на второе место, и действуют все более избирательно: отслеживая веб-страницы, к которым обращается пользователь, они записывают нажатия клавиш только при заходе на сайты, интересующие злоумышленников.

В последние годы отмечается значительный рост числа различных вредоносных программ, использующих функции кейлоггеров. От столкновения с киберпреступниками не застрахован ни один пользователь сети Интернет, в какой бы точке земного шара он ни проживал и в какой бы организации ни работал.

Примеры использования кейлоггеров злоумышленниками

Одним из самых известных недавних случаев использования кейлоггеров стала кража более 1 млн. долларов со счетов клиентов крупнейшего скандинавского банка Nordea. В августе 2006 года клиентам шведского банка Nordea стали приходить от имени этого банка электронные письма с предложением установить антиспам-продукт, якобы содержащийся в приложении. При попытке получателя письма скачать прикрепленный файл на свой компьютер устанавливался специальный вариант широко известной троянской программы Haxdoor, который активировался при регистрации жертвы в онлайн-сервисе Nordea и выводил на экран сообщение об ошибке с просьбой о повторной регистрации. После этого клавиатурный шпион, встроенный в троянскую программу, записывал вводимые пользователем данные и передавал их на сервер злоумышленников. Собранные таким образом персональные данные использовались мошенниками для снятия денег со счетов доверчивых клиентов банка. Создателя этого троянца помог вычислить один из экспертов по безопасности компании Symantec. По заявлению автора троянской программы, haxdoor использовался и в атаках против австралийских и многих других банков.

27 января 2004 года началась эпидемия одной из самых известных вредоносных программ — червя Mydoom. Mydoom побил рекорды червя Sobig и стал причиной самой масштабной эпидемии в истории Интернета на сегодняшний день. Червь распространялся по электронной почте. Автор червя использовал самые разнообразные заголовки писем, чтобы заинтересовать пользователей с очень разными интересами. Червь провел атаку на сайт www.sco.com, из-за этого вышедший из строя на несколько месяцев, и оставлял на зараженном компьютере троянскую программу, которая использовалась для заражения другими версиями вируса, последовавшими за главной эпидемией. Однако мало кто знает, что наряду с функциональностью сетевого червя, бэкдора и организацией DoS-атаки на сайт www.sco.com, Mydoom содержал функции кейлоггера для сбора номеров кредитных карт.

В начале 2005 года лондонская полиция предотвратила одну из самых крупных попыток кражи банковской информации в Англии. С помощью атаки на банковскую систему злоумышленники планировали украсть 423 млн. долларов из лондонских офисов банка Sumitomo Mitsui. Главным компонентом троянской программы, созданной 32-летним израильтянином Иероном Болонди (Yeron Bolondi), является кейлоггер, позволяющий отслеживать все нажатия клавиш при работе с клиентской программой указанного банка.

В мае 2005 года в Лондоне израильская полиция арестовала супружескую пару по обвинению в разработке вредоносных программ, при помощи которых израильские компании шпионили за конкурентами. Поражают масштабы данного промышленного шпионажа: среди компаний, которые упоминались израильскими властями в материалах расследования, есть такие крупные компании, как операторы мобильной связи Cellcom и Pelephone, а также провайдер спутникового телевидения компания YES. Согласно материалам следствия, троянская программа была использована для шпионажа в отношении PR-агентства Rani Rahav, среди клиентов которого — второй в Израиле мобильный оператор Partner Communications и группа кабельного телевидения HOT. Израильская компания Mayer, которая занимается импортом автомобилей марки Volvo и Honda, подозревается в шпионаже против компании Champion Motors, которая занимается импортом автомобилей марки Audi и Volkswagen. Рут Эфрати, продававшая созданную ее мужем Майклом Эфрати (Michael и Ruth Efrati) троянскую программу с функциями клавиатурного шпиона, проведет в тюрьме 4 года, а сам Майкл — два.

В феврале 2006 года бразильская полиция арестовала 55 человек, причастных к распространению вредоносных программ, использовавшихся для кражи регистрационной информации пользователей и их паролей к банковским системам.

Кейлоггеры активизировались в тот момент, когда пользователи заходили на web-страницы банковских систем, и скрытно отслеживали и позднее передавали злоумышленникам все вводимые на этих страницах данные. Общая сумма денег, которая была украдена подобным образом с 200 клиентских счетов в шести банках страны, составила 4,7 млн. долларов.

Почти в то же время была арестована аналогичная преступная группа, состоявшая из молодых (от 20 до 30 лет) россиян и украинцев. С конца 2004 года они рассылали клиентам банков Франции и ряда других стран почтовые сообщения, содержащие вложенную вредоносную программу — кейлоггер. Кроме того, эти же шпионские программы выкладывались на специально созданных web-сайтах, куда заманивались пользователи методами социальной инженерии. Далее события развивались как во всех описанных выше случаях: программа активировалась при заходе на сайты банковских систем, собирала все вводимые пользователем данные и пересылала их злоумышленникам. Таким образом за 11 месяцев было украдено более 1 млн. долларов.

Примеров использования кейлоггеров злоумышленниками много — большинство компьютерных преступлений, связанных с финансами, совершается с помощью кейлоггеров, так как только использование клавиатурных шпионов делает электронную слежку наиболее результативной.

Рост популярности кейлоггеров у злоумышленников

Популярность кейлоггеров у злоумышленников подтверждают различные компании, работающие в сфере компьютерной безопасности.

В отчете компании VeriSign отмечается, что в последние годы наблюдается бурный рост числа вредоносных программ, имеющих функциональность кейлоггера.


В одном из отчетов компании Symantec сообщается о том, что около половины вредоносного ПО, найденного ее аналитиками за последний год, не представляет прямой угрозы для компьютеров, а используется киберпреступниками с целью сбора персональной информации владельцев ПК.

В соответствии с расчетом, проведенным аналитиком института SANS Джоном Бамбенеком (John Bambenek), только на территории США к концу 2004 года около 10 млн. компьютеров были заражены одной из вредоносных программ, содержащих функции кейлоггера. На основе этого расчета сумма, которую американские пользователи электронных платежных систем рискуют потерять, составляет ни много ни мало 24,3 миллиарда долларов.

«Лаборатория Касперского» постоянно фиксирует появление новых вредоносных программ с функциями клавиатурных шпионов. Одно из первых вирусных предупреждений о вредоносной программе с функцией кейлоггера — троянской программе TROJ_LATINUS.SVR — было опубликовано «Лабораторией Касперского» на специализированном ресурсе www.viruslist.com 15 июня 2001 года. После этого стабильно появлялись новые версии кейлоггеров. В настоящий момент в антивирусных базах «Лаборатории Касперского» присутствует информация более чем о 300 семейств специализированных кейлоггеров. В эту цифру не входят кейлоггеры, включенные в сложные вредоносные программы, в которых функциональность клавиатурного шпиона не является главной.

Большинство современных вредоносных программ представляет собой гибридные угрозы, в которых используется множество технологий, поэтому почти в любой категории вредоносных программ могут быть программы, одной из функций которых является слежение за клавиатурным вводом.

Принципы построения кейлоггеров


Принципиальная идея кейлоггера состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия пользователем клавиш на клавиатуре до появления символов на экране — это может быть видеонаблюдение, аппаратные «жучки» в самой клавиатуре, на проводе или в системном блоке компьютера, перехват запросов ввода-вывода, подмена системного драйвера клавиатуры, драйвер-фильтр в клавиатурном стеке, перехват функций ядра любым способом (подменой адресов в системных таблицах, сплайсингом кода функции и т.п.), перехват функций DLL в пользовательском режиме, наконец, опрос клавиатуры стандартным задокументированным способом.

Однако практика показывает, что чем сложнее подход, тем менее вероятно его применение в широкораспространяемых троянских программах и более вероятно его использование в целевых троянцах для кражи корпоративной финансовой информации.

Все кейлоггеры можно условно разделить на аппаратные и программные. Первые представляют собой небольшие устройства, которые могут быть закреплены на клавиатуре, проводе или в системном блоке компьютера. Вторые — это специально написанные программы, предназначенные для отслеживания нажатий клавиш на клавиатуре и ведения журнала нажатых клавиш.

Наиболее популярные технические подходы к построению программных кейлоггеров:
системная ловушка на сообщения о нажатии клавиш клавиатуры (устанавливается с помощью функции WinAPI SetWindowsHook, для того чтобы перехватить сообщения, посылаемые оконной процедуре, — чаще всего пишется на C);
циклический опрос клавиатуры (с помощью функции WinAPI Get(Async)KeyState, GetKeyboardState — чаще всего пишется на VisualBasic, реже на Borland Delphi);
драйвер-фильтр стека клавиатурных драйверов ОС Windows (требует специальных знаний, пишется на C).

Мы очень детально рассмотрим различные методы построения кейлоггеров во второй части нашей статьи. Пока же приведем немного статистики.

Примерное распределение указанных типов кейлоггеров показано на следующей диаграмме:


В последнее время отмечается тенденция использования в кейлоггерах методов сокрытия (маскировки) своих файлов — так, чтобы их нельзя было найти вручную или с помощью антивирусного сканера. Такие методы принято называть rootkit-технологиями. Можно выделить два основных типа технологий сокрытия, используемых кейллоггерами:
с использованием методов сокрытия пользовательского режима (UserMode);
с использованием методов сокрытия режима ядра операционной системы (KernelMode).

Примерное распределение используемых кейлоггерами технологий сокрытия показано на следующей диаграмме:


Способы распространения кейлоггеров

Способы распространения кейлоггеров в целом не отличаются от способов распространения других вредоносных программ. Можно выделить следующие методы распространения кейлоггеров (без учета случаев покупки и установки кейлоггера заботливым супругом(-ой) и использования кейллоггеров службами безопасности организаций):
при открытии файла, присоединенного к электронному письму;
при запуске файла из каталога, находящегося в общем доступе в peer-to-peer сети;
с помощью скрипта на веб-страницах, который использует особенности интернет-браузеров, позволяющие программам запускаться автоматически при заходе пользователя на данные страницы;
с помощью ранее установленной вредоносной программы, которая умеет скачивать и устанавливать в систему другие вредоносные программы.

Методы защиты от кейлоггеров

Большинство антивирусных компаний добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения: установите антивирусный продукт и поддерживайте его базы в актуальном состоянии. Однако так как большинство антивирусных продуктов относит кейлоггеры к классу потенциально опасного программного обеспечения, то следует удостовериться, что при настройках по умолчанию используемый антивирусный продукт детектирует наличие программ данного класса. Если это не так, то для детектирования кейлоггеров необходимо выставить подобную настройку вручную. Это позволит вам защититься от большинства широко распространяемых кейлоггеров.

Рассмотрим подробнее методы защиты от неизвестных кейлоггеров или кейлоггера, изготовленного специально для атаки конкретной системы.

Так как основной целью использования кейлоггеров является получение конфиденциальной информации (номера банковских карт, паролей и т.п.), то разумными методами защиты от неизвестных кейлоггеров являются следующие:
использование одноразовых паролей / двухфакторная аутентификация,
использование систем проактивной защиты, предназначенных для обнаружения программных кейлоггеров,
использование виртуальных клавиатур.

Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться. Поэтому, даже если такой пароль будет перехвачен, злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации.

Для получения одноразовых паролей могут использоваться специальные аппаратные устройства:
в виде брелка (например, Aladdin eToken NG OTP):


в виде «калькулятора» (например, RSA SecurID 900 Signing Token):

Для получения одноразовых паролей могут также использоваться системы, основанные на посылке SMS с мобильного телефона, зарегистрированного в системе, и получения в ответ PIN-кода, который нужно вводить вместе с персональным кодом при аутентификации.

В случае использования устройства генерации пароля в виде брелка, алгоритм получения доступа к защищенной информационной системе таков:
пользователь подключается к Интернету и открывает диалоговое окно для ввода персональных данных;
далее пользователь нажимает на кнопку ключа для генерации одноразового пароля, после этого пароль на 15 секунд появляется на ЖК-дисплее брелка;
пользователь вводит в диалоговом окне свой логин, персональный PIN-код и сгенерированное значение одноразового пароля (обычно PIN-код и ключ вводятся последовательно в одно поле passcode);
введенные значения проверяются на стороне сервера, после чего принимается решение о том, имеет ли право их владелец на работу с закрытыми данными.

При использовании устройства в виде калькулятора для генерации пароля пользователь набирает свой PIN-код на «клавиатуре» устройства и нажимает кнопку «>».

Генераторы одноразовых паролей широко применяются в банковской системе Европы, Азии, США и Австралии. Например, Lloyds TCB, один из самых крупных банков Великобритании, еще в ноябре 2005 года перешел на использование генераторов одноразовых паролей.

Но в данном случае компании приходится нести значительные затраты, так как необходимо приобрести и распространить среди клиентов генераторы одноразовых паролей, а также разработать/приобрести соответствующее программное обеспечение.

Более дешевым решением является использование систем проактивной защиты на стороне клиентов банка (провайдера и т.д.), которые могут предупредить пользователя об установке или активизации программных кейлоггеров.

Пример срабатывания проактивной защиты Kaspersky Internet Security.

Главный недостаток этого способа — необходимость активного участия пользователя для определения дальнейших действий с подозрительным кодом. Если пользователь недостаточно технически подготовлен, вследствие его некомпетентного решения кейлоггер может быть пропущен. Если же участие пользователя в принятии решения системой проактивной защиты минимизировать, то кейлоггер может быть пропущен вследствие недостаточно жесткой политики безопасности системы. В то же время, если политика безопасности слишком жесткая, повышается опасность блокирования полезных программ, использующих перехват ввода с клавиатуры для легальных целей.

Последний из рассматриваемых способов защиты как от программных, так и от аппаратных кейлоггеров — использование виртуальной клавиатуры. Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.

Идея экранной клавиатуры не нова: в ОС Windows содержится встроенная экранная клавиатура, вызываемая через меню Start > Programs > Accessories > Accessibility > On-Screen Keyboard.

Однако встроенная в Windows экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а для помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена вредоносной программой. Экранная клавиатура, которая может быть использована для того, чтобы обойти кейлоггеры, должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи.

Выводы

В данной статье мы рассмотрели принципы построения и использования кейлоггеров — программных и аппаратных средств, используемых для мониторинга нажатия клавиш клавиатуры.
Несмотря на то что производители кейлоггеров позиционируют их как легальное ПО, большинство кейлоггеров может быть использовано для кражи персональной информации пользователей и осуществления экономического и политического шпионажа.
В настоящее время кейлоггеры, наряду с фишингом и методами социальной инженерии, являются одним из главных методов электронного мошенничества.
Компании, работающие в сфере компьютерной безопасности, фиксируют стремительный рост числа вредоносных программ, имеющих функциональность кейлоггера.
Отмечается тенденция добавления в программные кейлоггеры rootkit-технологий, назначение которых — скрыть файлы кейлоггера так, чтобы они не были видны ни пользователю, ни антивирусному сканеру.
Обнаружить факт шпионажа с помощью кейлоггеров можно только с использованием специализированных средств защиты.
Для защиты от кейлоггеров следует использовать многоуровневую защиту:
традиционные антивирусные продукты, в которых необходимо включить функцию детектирования потенциально опасного программного обеспечения (во многих продуктах по умолчанию отключена);
средства проактивной защиты — для защиты от новых модификаций кейлоггеров;

виртуальную клавиатуру или системы генерации одноразовых паролей для защиты от программных и аппаратных кейлоггеров.
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Ссылка на пост #57 Добавлено: 27 мая 2009 22:17
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

Symantec: Спам составляет 90% электронной почты
Symantec опубликовала отчет от своей дочерней компании MessageLabs, в котором содержатся данные об уровне спама в почтовом трафике по итогам мая 2009 года. По данным компаний, за месяц произошло 5,1%-ное увеличение объемов электронного мусора и теперь на долю спама приходится 90,4% трафика электронной почты. В апреле средний показатель составил 84,9%.
Кроме того специалисты Symantec отмечают, что в мае интернет-злоумышленники сменили тактику, вернувшись к старым методам хостинга вредоносного программного обеспечения - если с начала года хакеры предпочитали размещать свои разработки на взломанных ими же сайтах, то теперь многие размещают вредоносный софт на выделенных машинах. За год количество таких выделенных серверов и их доменов выросло на 84,8%.
Также Symantec выделила и еще одну характерную тенденцию, связанную с получением пользователями спама. В зависимости от того, в каком регионе вы живете, вы будете получать спам по различному графику. Так пользователи из Европы и России получают спам примерно равномерно на протяжении всех суток, американские спамеры обеспечивают пик рассылок с 9 до 10 утра по рабочим дням, а пользователи в Азии и Австралии большую часть спама получают в первой половине дня.
Еще одним трендом апреля-мая можно назвать массовый взлом и обход различных систем CAPTCHA, предназначенных для защиты от автоматизированного использования. "До сих пор многие сайты, полагающиеся на этот механизм, существовали относительно спокойно, теперь же это не так", - говорится в отчете.
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Ссылка на пост #58 Добавлено: 28 мая 2009 11:56
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

По твоей просьбе ORN, о паролях
Вы не можете скачивать файлы с нашего форума, необходимовойтиилизарегистрироваться

БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Ссылка на пост #59 Добавлено: 29 мая 2009 17:10
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

Как обнаружить хакерскую атаку?

Есть множество способов воспользоваться большинством уязвимостей. Для хакерской атаки можно использовать один эксплойт, несколько эксплойтов одновременно, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в процессе предыдущей атаки.

Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя. В этом разделе мы постараемся сформулировать советы, способные помочь читателю определить, подвергается ли его компьютер хакерской атаке или же защита компьютера уже была взломана ранее. Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать хакерскую атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.

Windows-компьютеры:

Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.
Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.
Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения. Большинство персональных межсетевых экранов обладают подобной функцией.
Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

UNIX-компьютеры:

Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».
Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «FTP», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.
Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.
Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.

Сообщение отредактировано 29 мая 2009 17:11. Редактировалось 1 раз(а)
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Ссылка на пост #60 Добавлено: 31 мая 2009 11:42
Автор темы
Владимир
Посетители
Азъ: завсегдатай
Возраст: 44 Козерог
Пол:
С нами: 15 лет 2 месяцa
Сообщений: 198
Поблагодарил: 35
Благодарностей: 525
Предупреждений: 0

Репутация:

Награды:

 

В Microsoft DirectX найдена опасная "брешь"
Корпорация Microsoft предупреждает о наличии опасной "дыры" в одном из компонентов программного интерфейса DirectX.
Как сообщается в официальном уведомлении, проблема связана с модулем DirectShow, используемым для ввода/вывода аудио- и/или видеоданных.
Вынудив жертву открыть сформированный специальным образом медиафайл в формате QuickTime, злоумышленник может получить несанкционированный доступ к удаленному компьютеру с привилегиями текущего пользователя.
Таким образом, если владелец ПК вошел в систему в качестве администратора, нападающий сможет выполнить на машине произвольный программный код.
Уязвимость обнаружена в операционных системах Windows 2000 с четвертым сервис-паком, Windows XP и Windows Server 2003. Платформы Windows Vista и Windows Server 2008, по предварительным данным, "дыры" не содержат.
"Майкрософт" отмечает, что уже зарегистрированы случаи практической эксплуатации уязвимости - впрочем, они носят пока ограниченный характер.
Компания занимается решением проблемы. Не исключено, что "заплатка" для уязвимости войдет в следующую порцию патчей, которая будет выпущена 9 июня.
Подготовлено по материалам Microsoft.
БЛГОДАРНОСТЬ – долг, который надо оплатить, но который никто не имеет права ожидать.

Мой телевизор:

Мой ресивер: OPENBOX X820CI, Globo 7010A, SkyStar2

Мои спутники: 36E+5°E+13°E+75°E+4°W+80E+90E

Cказали Спасибо: 1 : ORN
Информация

Посетители, находящиеся в группе Гости, не могут оставлять сообщения в данной теме.

    XML error in File: https://www.tricolor.tv/rss/

    XML error: error parsing attribute name at line 236

Футбол

Франція. Ліга 1, 27 тур
29 березня 2024
22:00 Лілль Лілль -:- ЛансЛанс
Іспанія. Ла Ліга, 30 тур
29 березня 2024
22:00 Кадіс Кадіс -:- ГранадаГранада

Обновлено: 09:42 29.03.2024

Телепрограмма

СТБ
09:15 - Т/с "Дежурный врач", 6 сезон, 32 с.
10:10 - Т/с "Дежурный врач", 7 сезон, 1 с.
11:10 - Т/с "Дежурный врач", 7 сезон, 2 с.
12:05 - Т/с "Дежурный врач", 7 сезон, 3 с.
Sport 1
08:50 - Хоккей. Чемпионат Украины. Финальная серия. Кременчуг - Сокол. Матч 4.
11:10 - Баскетбол. Чемпионат Испании. АБК Лига. Обзор.
11:30 -  Спортивный покер. VBET Чемпионат Украины во Львове. День 9. Прямая трансляция.
17:30 - Бокс голыми кулаками. BKFC 58 Bulgaria в Софии.
ICTV
09:01 - "Единые новости". Телемарафон.
10:00 - "Единые новости". Телемарафон.
11:00 - "Единые новости". Телемарафон.
12:00 - "Единые новости". Телемарафон.
Кинопремьера
08:45 - Х/ф "Битва шефов".
10:15 - Х/ф "Корабль призраков".
12:20 - Х/ф "Он - это пуля".
14:15 - Х/ф "Битва на озере".
Вся телепрограмма

Мы в Вконтакте

Мы в Facebook

Голосование

Какая стоимость вашего ресивера?

до 50$
50-100$
100-150$
150-200$
200-250$
250-300$
300-350$
350-400$
400-450$
450-500$
500$ и выше...

Случайное фото

Sat-integral club

Re: Шурик

Это ж сколько надо сканировать и проверять. На перечисленных спутниках +/- три десятка пакетов... ...

Re: Sat-Integral S-1432

почекати треба.. може ще уввімкнется ))

Re: где скачать схему тюнера сат интеграл 1228

Цитата: vovanych45 от Вчера в 11:27:06... здесь в европе ... шо за европа така )) ?! скільки там ...

Re: ПО Sat-Integral S-1218-28HD / S-1248-58-68HD / S-1311 HD COMBO v3.40

Цитата: Vidok от Вчера в 19:47:06нажимаєш нуль шукаєш онлайн нажимаєш і там по 3.41 зрозуміло ...

Re: ПО Sat-Integral S-1218-28HD / S-1248-58-68HD / S-1311 HD COMBO v3.40

після оновлення перезагружав тюнер ютюб працює на1080 без буферизації а все остальне нема змін

PHP: mail() через внешние SMTP msmtp

Ситуация следующая. ...

webhook telegram Read timeout expired

Вы выполняете ...