Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Weitere Magazine

Empfehlungen

Info

Technische Umsetzung von Keyloggern unterWindowsDieser Abschnitt wendet sich an IT-Experten und anfortgeschrittene Anwender. Er enthält eine detaillierteAnalyse der technischen Aspekte bei der Entwicklungvon Keyloggern. Wie bereits im vorangegangenen Abschnitterläutert, besteht das Prinzip von Keyloggerndarin, zwischen zwei beliebigen Gliedern der Signalübertragungsketteeinzudringen – vom Drücken derTaste durch den Anwender bis zum Erscheinen desSymbols auf dem Bildschirm. Im Folgenden wird analysiert,welche Glieder in dieser Kette enthalten sind,zudem werden verschiedene Varianten von Soft- undHardware-Keyloggern genauer untersucht.An dieser Stelle sei darauf hingewiesen, dass in dervorliegenden Analyse keine Beispiele von Keylogger-Quellcode enthalten sind. Anders als manch andereFachleute auf dem Gebiet der IT-Sicherheit sind wirnicht der Meinung, dass es zweckmäßig wäre, derartigenCode zu veröffentlichen.Bearbeitung der Tastatureingaben unter Windowsder Tastatureingaben gewährleisten: Einer befindetsich auf dem Motherboard, der andere in der Tastaturselbst. Daher stellt die PC-Tastatur an sich schon einselbständiges Computersystem dar. Dieses basiert aufdem Mikrocontroller 8042, der die Tastatureingabenfortwährend scannt – unabhängig von der Aktivität aufdem zentralen Prozessor x86.Für jede Taste des Keyboards ist eine bestimmteNummer festgelegt, die eindeutig der Aufteilung derTastatur matrix zugeordnet und nicht direkt von dem aufder Oberfläche der Taste dargestellten Zeichen abhängigist. Diese Nummer wird als Scan-Code bezeichnet(diese Benennung verdeutlicht, dass der Computer dieTastatur auf der Suche nach Tasten-Betätigung scannt).Der Scan-Code ist ein zufälliger Wert, der von IBM festgelegtwurde, als das Unternehmen die erste Tastaturfür einen PC herstellte. Der Scan-Code entspricht nichtdem ASCII-Code der Tastatur. Weitere Infos und eineÜbersicht aller Scan-Codes finden Sie unter http://de.wikipedia.org/wiki/Scancode.Es existieren verschiedene grundlegende Technologienzum Abfangen von Tastatureingaben oder mit der Mausausgeführten Aktionen, auf die die meisten Keyloggeraufbauen. Vor einer näheren Untersuchung der konkretenKeylogger-Typen ist es allerdings unumgänglich,sich zunächst einmal mit dem Bearbeitungs schema derTastatureingaben im Windows-Betriebssystem vertrautzu machen. Zur Beschreibung des gesamten Schemas– von der Betätigung einer Taste auf dem Keyboardbis hin zur Auslösung des Systeminterrupts desTastatur-Controllers und der Darstellung der NachrichtWM_KEYDOWN in einem aktiven Fenster – wurdendrei Quellen hinzugezogen: das Buch „Apparatnoe obespečenie IBM PC“ vonAlexander Frolov, Grigorij Frolov, Band 2, Buch 1:Dialog-MIFI, 1992 (Kapitel 2 „Tastatur“ beschreibtdie Funktionsprinzipien der Tastatur, die verwendetenPorts und den Hardware-Interrupt der Tastatur) der Abschnitt „Human Input Devices“ der MSDNLibrary, in dem der Teil der unteren Ebene (Treiber)des Bearbeitungsschemas von Tastatureingabenbeschrieben wird das Buch „Entwicklung effektiver WIN32-Anwendungenunter Berücksichtigung der Besonderheitender 64-Bit Windows-Versionen“ von Jeffrey Richter(in Kapitel 27 „Das Hardware-Eingabemodell undder lokale Eingabezustand“ wird die obere Ebenedes Bearbeitungsschemas der Tastatureingaben imUser-Mode beschrieben)Funktionsprinzip der Tastatur als physisches GerätHeutzutage sind die meisten Tastaturen eigenständigeGeräte, die über Schnittstellen – zumeist PS/2 oderUSB – mit dem Computer verbunden werden. Es gibtzwei Mikrocontroller, die den BearbeitungsprozessDie Tastatur generiert zwei Scan-Codes für jede Taste,einen beim Drücken, den anderen beim Loslassen.Das Vorhandensein von zwei Scan-Codes ist wichtig,weil einige Tasten nur dann sinnvoll sind, wenn sie gedrücktwerden (Shift, Control, Alt).Vereinfachtes TastaturschemaBetätigt der Anwender eine Taste auf dem Keyboard,löst er einen elektrischen Kontakt aus. Als Folge registriertder Mikrokontroller beim nächsten Scan-Vorgangdie Betätigung einer bestimmten Taste und schickt denScan-Code der gedrückten Taste und eine Interrupt-Anfrage an die CPU. Analoge Aktionen werden durchgeführt,wenn der Anwender die vorher gedrückte Tasteloslässt.Der zweite Mikrocontroller empfängt den Scan-Code,wandelt ihn um und macht ihn am Eingabe-Ausgabe-Port 60h verfügbar, woraufhin er einen Hardware-Interrupt des zentralen Prozessors generiert. Danachkann die Interrupt-Behandlungsroutine (ISR = InterruptService Routine) den Scan-Code aus dem genanntenEingabe-Ausgabe-Port empfangen. Die Tastatur verfügtüber einen internen 16-Byte-Puffer, über den derDatenaustausch mit dem Computer realisiert wird.Keylogger8
Interaktion auf der unteren Ebene mit der Tastaturüber Eingabe-Ausgabe-PortsDas Zusammenspiel mit dem Systemcontroller derTastatur erfolgt über den Eingabe-Ausgabe-Port 64h.Mit dem Lesen von Bytes aus diesem Port kann derStatus des Tastaturcontrollers bestimmt werden, mitdem Schreiben von Bytes wird dem Controller ein Befehlübermittelt.Die Kommunikation mit dem Mikrocontroller in derTastatur selbst wird mittels der Eingabe-Ausgabe-Ports60h und 64h umgesetzt. Die Bits 0 und 1 im Statusbyte(Port 64 im Lesemodus) ermöglichen die Steuerung derInteraktions-Routine: Vor dem Schreiben von Daten indiese Ports muss Bit 0 des Ports 64 auf 0 stehen. Sinddie Daten aus Port 60h zum Lesen verfügbar, ist Bit 1des Ports 64h gleich 1. Die On/Off-Bits der Tastatur imBefehlsbyte (Port 64h im Schreibemodus) bestimmen,ob die Tastatur aktiviert ist und ob der Tastaturcontrollereinen Interrupt im System auslöst, wenn der Anwendereine Taste drückt.In den Port 60h geschriebene Bytes werden an den Tastaturcontrollergesendet, wogegen in den Port 64h geschriebeneBytes an den Systemkontroller der Tastaturgeschickt werden. Eine Übersicht der erlaubten Befehle,die an den Tastaturcontroller geschickt werdenkönnen, finden Sie beispielsweise in dem Dokument„8042 Keyboard Controller IBM Technical ReferenceManual“ oder aber unter www.arl.wustl.edu/~lockwood/class/cs306/books/artofasm/Chapter_20/CH20-2.html.Aus Port 60h gelesene Bytes kommen von der Tastatur.Während des Lesens enthält Port 60h den Scan-Code der als letztes gedrückten Taste, und im Schreibmoduswird er zur erweiterten Steuerung der Tastaturverwendet. Bei Verwendung des Ports zum Schreibenstehen dem Programm die zusätzlichen Optionen zurVerfügung:► Einstellen der Zeitspanne, nach der die Tastatur inden Modus Autowiederholung übergeht► Einstellen der Tastatur-Wiederholungsrate des Scan-Codes im Modus Autowiederholung► Steuerung der auf der Außenabdeckung der Tastaturgelegenen Lichtdioden – Scroll Lock, Num Lock,Caps Lock.Zusammenfassend lässt sich also feststellen, dasses ausreichend ist, die Werte der Eingabe-Ausgabe-Ports 60h und 64h ablesen zu können, um die über dieTastatur eingegebenen Daten zu lesen. Im Windows-Betriebssystem ist es den Anwendungen im Benutzermodusallerdings nicht erlaubt, mit Ports zu arbeiten.Daher übernehmen die Treiber des Betriebssystemsdiese Aufgabe.Die Architektur interaktiver EingabegeräteWodurch werden nun die Hardware-Interrupts bearbeitet,die erzeugt werden, sobald auf Port 60h Daten vonder Tastatur empfangen werden? Offensichtlich durchdasselbe Programm, das die Behandlungsroutine desHardware-Interrupts der Tastatur registriert hat. UnterWindows wird die Bearbeitung von dem Treiber i8042.sys durchgeführt. Anders als zu MS-DOS-Zeiten, alsjede Systemkomponente praktisch eigenständig war,folgt der Aufbau der Komponenten unter Windows einergenauen Architektur. Sie funktionieren nach striktenRegeln, die in den Programmschnittstellen verankertsind. Bevor wir uns also genauer mit dem Treiberi8042pr beschäftigen, betrachten wir die Architekturvon interaktiven Eingabegeräten, im Rahmen dereralle Programmkomponenten funktionieren, die mit derBearbeitung von Eingaben über die Tastatur (oder derMaus) in Zusammenhang stehen.Geräte, die zur direkten Steuerung von Operationenauf dem Computer verwendet werden, heißen im Windows-Betriebssysteminteraktive Eingabegeräte (InteractiveInput Devices). Neben Maus, Joystick, Trackball,Cyberhelm und anderen gehört auch die Tastatur zudieser Gerätekategorie.Die Steuerungsarchitektur für interaktive Eingabegerätebasiert auf dem Standard USB Human InterfaceDevice (HID), vorgeschlagen vom USB ImplementersForum. Allerdings ist die Architektur nicht allein aufUSB-Geräte beschränkt, sondern unterstützt auchandere Typen von Eingabegeräten wie etwa die Bluetooth-Tastatur,über den PS/2-Port angeschlosseneTastaturen und „Mäuse“ sowie über den Spiele-Port(I/O-Port 201) verbundene Geräte.Im Folgenden werden unter anderem die Aufbauprinzipiendes Treiber-Stacks und des Geräte-Stacks fürPS/2-Tastaturen näher betrachtet, da diese historischgesehen die ersten Gerätetypen sind. USB-Tastaturenverwenden eine Reihe von Elementen, die mit der Entwicklungder Programmunterstützung von PS/2-Tastatureneingeführt wurden.Kernel-Mode-Treiber für PS/2-TastaturenTreiber-Stack für System-EingabegeräteTastaturtreiber verwenden unabhängig von der Art desphysischen Anschlusses Systemtreiber der Tastaturklassezur Bearbeitung von Operationen, die nicht vomHardwareteil abhängig sind. Solche Treiber werdenKlassentreiber genannt, weil sie die vom System geforderten,von der Hardwareumsetzung unabhängigen Anforderungenan die konkrete Geräte-Klasse erfüllen.Der entsprechende Funktionstreiber (Porttreiber) realisiertdie vom konkreten Gerät abhängige Durchführungder Eingabe-Ausgabe-Operation. In Windows-Keylogger9
Seite 1 und 2: W H I T E P A P E RKeylogger: Funkt
Seite 3: Verfügen die Kriminellen erst einm
Seite 11 und 12: tung aller Typen von Ein- und Ausga
Seite 13 und 14: über den Eingabe-Zustand. Bezügli
Seite 15 und 16: Installation des Hooks für Tastatu
Seite 17 und 18: Die Vorteile dieses Ansatzes: Alle
Seite 19 und 20: Schutz vor Keyloggern mit Produkten
Seite 21 und 22: Der letzte, fünfte Reiter enthält
Seite 23 und 24: Verborgene Registrierungsschlüssel
Seite 25 und 26: Hat der Anwender der Desinfektion e
Seite 27: Kaspersky LabKaspersky Lab reagiert

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?