Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Weitere Magazine

Empfehlungen

Info

Allgemeines BearbeitungsschemaDas Raw-Input-ModellDie bis hier dargestellten Abläufe der Tastatureingaberoutinelassen sich in einem einzigen Algorithmus derSignalübertragung zusammenfassen – von der Betätigungeiner Taste durch den Anwender bis zum Erscheineneines Zeichens auf dem Bildschirm: Beim Starten erzeugt das Betriebssystem im Systemprozesscsrss.exe einen Raw Input Thread und eineSystem-Hardware-Eingabe-Queue. Der RIT sendet dem Tastaturklassentreiber Leseanfragen,die bis zum Eintreten eines Tastaturereignissesim Wartezustand verbleiben. Drückt oder löst der Anwender eine Taste auf derTastatur, wird das Drücken oder Lösen vom Mikrocontrollerder Tastatur festgehalten, und der Scan-Code der gedrückten Taste sowie eine Interruptanforderungwerden an die CPU gesendet. Der System-Tastaturcontroller empfängt den Scan-Code, wandelt ihn um, macht ihn am Eingabe-Ausgabe-Port60h verfügbar und generiert einen Hardware-Interruptder CPU. Der Interrupt-Controller ruft die Interrupt-Behandlungs-RoutineIRQ 1 auf, eine IRS, die im Systemdes Tastaturfunktionstreibers i8042prt registriert ist. Die IRS liest die aus der inneren Queue des Tastaturkontrollerserscheinenden Daten, übersetzt denScan-Code in einen virtuellen Tastencode (unabhängige,vom System definierte Werte) und stellt denAufruf des Deferred Procedure Calls I8042Keyboard-IsrDpc in die Queue. Sobald wie möglich ruft das System den DPC auf,welcher wiederum die Callback-Routine Keyboard-ClassServiceCallback erzeugt, die im TastaturklassentreiberKbdclass registriert ist. Die Routine KeyboardClassServiceCallback ziehtaus ihrer Queue die zu erledigende Anfrage des RITund sendet in ihm die Informationen über die gedrückteTaste zurück. Der RIT speichert die empfangenen Informationenin der System-Queue der Hardware-Eingabe und erstelltauf deren Basis die grundlegenden Windows-Tastaturmeldungen WM_KEYDOWN und WM_KEYUP, die ans Ende der VIQ des aktiven Threads gestelltwerden. Der Bearbeitungszyklus der Threadmeldungenlöscht die Meldung aus der Queue und leitet sie andie entsprechende Fensterroutine zur Bearbeitungweiter. Dabei kann die Systemfunktion TranslateMessage ausgelöst werden, die auf der Basis dergrundlegenden Tastaturmeldungen die zusätzlichen„symbolischen“ Meldungen WM_CHAR, WM_SYSCHAR, WM_DEADCHAR und WM_SYSDEADCHAR erzeugt.Die oben beschriebenen Modelle der Tastatureingabesind aus der Sicht von Anwendungs-Programmierernin mancherlei Hinsicht unzureichend. Zum Eingabe-Empfang von Nicht-Standardgeräten muss eine Anwendungnämlich eine ganze Reihe von Operationendurchführen: Das Gerät öffnen, es periodisch abfragen,die Möglichkeit einer parallelen Nutzung des Gerätesdurch eine andere Anwendung sicherstellen und so weiter.Deshalb wurde in den letzten Windows-Versionenein alternatives Eingabe-Modell – das Raw-Input-Modell– angeboten, welches die Entwicklung von Anwendungenerleichtert, die Nicht-Standard-Eingabegeräteverwenden.Das Raw-Input-Modell unterscheidet sich von demOriginal-Eingabemodell von Windows. Beim herkömmlichenModell empfängt die Anwendung eine geräteunabhängigeEingabe in Form von Meldungen (wieetwa WM_CHAR), die an die Fenster der Anwendunggesendet werden. Das Raw-Input-Modell sieht vor,dass die Anwendung die Geräte registriert, von denensie Eingabe empfangen will. Weiterhin empfängt dieAnwendung die User-Eingabe über die Meldung WM_INPUT.Zwei Arten der Datenübertragung werden unterstützt,und zwar „Standard“ und „Gepuffert“. Zur Interpretationder eingegebenen Daten muss die Anwendung Informationenüber die Art des Eingabegerätes erhalten,was mit Hilfe der Funktion GetRawInputDeviceInfo ermöglichtwird.Verschiedene Umsetzungen von KeyloggernAusgehend von den oben beschriebenen Bearbeitungsmodellenvon Tastatureingaben unter Windowswerden im Folgenden die grundlegenden Methodenzur Umsetzung von Keyloggern näher betrachtet. Istder Aufbau des Modells klar, ist auch leichter zu verstehen,welche Mechanismen von Keyloggern ausgenutztwerden können.Keylogger können an jeder beliebigen Stelle des Bearbeitungszykluseindringen und Daten über gedrückteTasten abfangen, die von einem Bearbeitungs-Subsystemzu dem nächsten Subsystem in der Editor-Chainübermittelt werden. Wir haben die zu untersuchendenMethoden der Umsetzung von Software-Keyloggern insolche des User-Mode und in solche des Kernel-Modeunterteilt. In der Abbildung auf der folgenden Seite linksoben sind alle Bearbeitungs-Subsysteme der Tastatureingabeund ihre Wechselbeziehungen miteinanderdargestellt.Keylogger14
Installation des Hooks für TastaturmeldungenHierbei handelt es sich um den wohl am weitesten verbreitetenTyp von Keyloggern. Durch den Aufruf derFunktion SetWindowsHookEx installiert der Keyloggereinen globalen Hook auf die Tastaturereignisse füralle Threads im System. Die Filterfunktion des Hookspositioniert sich in diesem Fall in einer einzelnen dynamischenBibliothek, die in alle Prozesse eindringt, diean der Bearbeitung der Meldungen beteiligt sind. Beider Auswahl aus der Message-Queue eines beliebigenThreads der Tastaturmeldung ruft das System die installierteFilterfunktion auf.Der Vorteil dieser Abfang-Methode liegt unter anderemin ihrer Einfachheit und der Garantie, dass sämtlicheTastenbetätigungen abgefangen werden. Die Nachteilebestehen darin, dass eine Datei der dynamischenBiblio thek vorhanden sein muss, und dass die Entdeckungauf Grund des Eindringens in alle Systemprozesserecht einfach ist.Allgemeines Bearbeitungsschema von Tastatureingaben imBetriebssystem WindowsDieser Abschnitt beschäftigt sich nicht mit Hardware-Methoden zur Umsetzung von Keyloggern. Es sei lediglicherwähnt, dass es drei grundlegende Spielartenvon Hardware-Keyloggern gibt: Keylogger, die in dieTastatur selbst eingebaut werden, Keylogger, die ineine Unterbrechung des Kabels gebaut werden, dasdie Tastatur und den Systemblock miteinander verbindetund Keylogger, die in den Systemblock des Computersmontiert werden. Am weitesten verbreitet ist derzweitgenannte Typ von Hardware-Keyloggern. Einesder bekanntesten Beipiele hierfür ist der KeyGhostUSB Keylogger.Leider sind derzeit nur wenige Antivirus-Lösungen aufdem Markt erhältlich, die das Sicherheitsniveau gewährleisten,das zum Schutz vor der potentiellen Gefahr,die Keylogger in sich bergen, dringend notwendigist. Zu diesen Lösungen gehören die Produkte vonKaspersky Lab. Genauere Informationen hierzu findenSie in dem dritten und letzten Abschnitt dieses Whitepapersüber den „Schutz vor Keyloggern mit den Produktenvon Kaspersky Lab“ ab Seite 19.User-Mode-KeyloggerKeylogger, die im User-Mode arbeiten, sind sowohl inder Umsetzung als auch in der Entdeckung die simpelstenihrer Art. Zum Abfangen nutzen sie Aufrufe bekannterund wohl dokumentierter Funktionen der ProgrammierschnittstelleWin32 API.Zu Keyloggern dieser Machart gehören unter anderem:AdvancedKeyLogger, KeyGhost, Absolute Keylogger,Actual Keylogger, Actual Spy, Family Key Logger,GHOST SPY, Haxdoor, MyDoom.Kaspersky Internet Security erkennt derartige Keyloggermit Hilfe des proaktiven Schutzmechanismus alsInvader (Loader) (die Option Eindringen von Hooksin Fenster des Subsystems Aktivitätsanalyse für Anwendungenim Modul Proaktiver Schutz muss aktiviertsein).Zyklische Abfrage des TastaturzustandsDie im Folgenden beschriebene Methode zur Umsetzungvon Keyloggern rangiert bezüglich ihrer Verbreitungauf Platz zwei. Der Zustand aller Tasten wird inkurzen Intervallen mit Hilfe der Funktionen GetAsyncKeyState oder GetKeyState abgefragt. Diese Funktionensenden die Datenfelder des asynchronen odersynchronen Tastaturzustands zurück. Deren Analysegibt Aufschluss darüber, welche Tasten nach der letztenAbfrage gedrückt oder gelöst wurden.Von Vorteil ist, dass diese Methode einigermaßen einfachumzusetzen ist und kein zusätzliches Modul benötigtwird. Die Nachteile liegen darin, dass die Aufzeichnungaller Tastenbetätigungen nicht garantiert istund es zu Lücken kommen kann. Überdies kann einsolcher Keylogger leicht entdeckt werden – durch dieÜberwachung der Prozesse, die die Tastatur mit hoherFrequenz abfragen.Diese Methode wird unter anderem in den folgendenKeyloggern eingesetzt: Computer Monitor, KeyboardGuardian, PC Activity Monitor Pro, Power Spy, PoweredKeylogger, Spytector, Stealth KeyLogger, Total Spy.Keylogger15
Seite 1 und 2: W H I T E P A P E RKeylogger: Funkt
Seite 3: Verfügen die Kriminellen erst einm
Seite 9 und 10: Interaktion auf der unteren Ebene m
Seite 11 und 12: tung aller Typen von Ein- und Ausga
Seite 13: über den Eingabe-Zustand. Bezügli
Seite 17 und 18: Die Vorteile dieses Ansatzes: Alle
Seite 19 und 20: Schutz vor Keyloggern mit Produkten
Seite 21 und 22: Der letzte, fünfte Reiter enthält
Seite 23 und 24: Verborgene Registrierungsschlüssel
Seite 25 und 26: Hat der Anwender der Desinfektion e
Seite 27: Kaspersky LabKaspersky Lab reagiert

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?