• нужно производить анализ напредметналичияКете1Мойе-пе-рехватов и модификации машинного кода win32k.sys при помощи антируткитов;

• вследствие того что практически любой клавиатурный шпион сохраняет протоколы, мониторинг файловых операций в процессе активного ввода информации с клавиатуры позволяет обнаружить кейлоггер почти любого типа. Исключение составляют специализированные программы, протоколирующие ввод только в определенных приложениях или в заданных окнах, например в окне ввода пароля.

8.5.2.9. Программы для поиска и удаления клавиатурных шпионов

1. Любой антивирусный продукт. Все антивирусы в той или иной мере могут находить клавиатурные шпионы, однако клавиатурный шпион не является вирусом и в результате пользы от антивируса мало.

2. Утилиты, реализующие механизм сигнатурного поиска и эвристические механизмы поиска. Примером может служить утилита AVZ, сочетающая сигнатурный сканер и систему обнаружения клавиатурных шпионов на базе ловушек.

3. Специализированные утилиты и программы, предназначенные для обнаружения клавиатурных шпионов и блокирования их работы. Подобные программы наиболее эффективны для обнаружения и блокирования клавиатурных шпионов, поскольку как правило могут блокировать практически все разновидности клавиатурных шпионов.

Из специализированных программ интерес могут представлять коммерческие продукты PrivacyKeyboard и Anti-keylogger (http:// www.bezpeka.biz/). Интерфейс программы Anti-keylogger показан на рисунке 8.17.

Рис. 8.17. Anti-Keylogger

Программа Anti-keylogger работает в фоновом режиме и производит обнаружение программ, подозреваемых в слежении за клавиатурой. В случае необходимости можно вручную разблокировать работу любой из обнаруженных программ (например, на рисунке видно, что в список «шпионов» попали MSN Messanger и программа зачачки из Интернет FlashGet). Для обнаружение клавиатурных шпионов не применяются базы сигнатур, обнаружение ведется эвристическими методами.

Тестирование программы показало, что она эффективно противодействует клавиатурным шпионам, основанным на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.

Другим примером может служить программа Advanced Anti Keylogger (http://www.anti-kcylogger.net).

Рис. 8.18. Advanced Anti Keylogger

В режиме обучения данная программа по логике работы напоминает Firewall — при обнаружении подозрительной активности выводится предупреждение с указанием имени и описания программы. Пользователь может выбрать действие на сеанс (разрешить, запретить), или создать постоянное правило для правило для приложения. В ходе тестов Advanced Anti Keylogger уверенно обнаружил все основные разновидности клавиатурных шпионов (на базе ловушки, циклического опроса, драйвера-фильтра). Настройки программы защищаются паролем, который задается в ходе инсталляции.

Таким образом, хотя клавиатурный шпион не является вирусом, но, тем не менее, представляет большую угрозу для пользователей, поскольку позволяет злоумышленнику следить за работой пользователя и может применяться для похищения конфиденциальной информации, в том числе паролей пользователя. Опасность клавиатурного шпиона может существенно возрасти при его сочетании с RootKit-технологией, которая позволит замаскировать присутствие клавиатурного шпиона. Еще более опасной является троянская или backdoor программа, содержащая клавиатурный шпион — его наличие существенно расширяет функции троянской программы и ее опасность для пользователя.

8.6. Шпионские программы АНБ

В начале этого раздела рассмотрим только ту информацию, которая касается компьютеров, а затем касающуюся серверов сетевого оборудования, сетей Wi-Fi, серверов и т. п.

8.6.1. Основные программные средства АНБ

Программные средства для поражения компьютеров

GINSU — техника, позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista.

IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, ЕХТЗ и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональную часть при каждом включении целевого компьютера.