A keyloggerek, vagy billentyűzetfigyelők, szoftverek vagy hardvereszközök, amelyek rögzítik a billentyűzeten leütött karaktereket. Használatuk sokrétű lehet: szülői felügyelet, munkavállalók tevékenységének monitorozása, de sajnos kiberbűnözők is előszeretettel alkalmazzák őket jelszavak, banki adatok és egyéb érzékeny információk ellopására. Ebben a cikkben nem a keyloggerek használatának etikai vagy jogi vonatkozásaival foglalkozunk, hanem arra fókuszálunk, hogyan lehet egy ilyen programot a lehető legrejtettebbé tenni.
Miért akarjuk elrejteni a Keylogger-t?
Mielőtt a technikai részletekbe merülnénk, fontos megérteni, miért is akarjuk egyáltalán elrejteni a keylogger-t. Legtöbbször azért, mert a leleplezés lelepleződéssel jár. Ha valaki észreveszi, hogy megfigyelik, a továbbiakban óvatosabban fog eljárni, ami nagymértékben rontja a keylogger hatékonyságát. Emellett a jogi következmények is súlyosak lehetnek, ha valaki engedély nélkül kémkedik mások után.
A Láthatatlanná Tétel Alapjai
A keylogger láthatatlanná tételének több rétege van. Ezek a rétegek együttesen biztosítják, hogy a program ne legyen könnyen észrevehető a felhasználó számára, és ne is keltsen gyanút.
1. A Fájl Elrejtése
Az első lépés a keylogger telepítőfájljának és magának a programnak a gondos elrejtése. Ez többféleképpen is megvalósítható:
- Átnevezés: Ne használjunk nyilvánvaló neveket, mint „keylogger.exe”. Helyette válasszunk valami ártalmatlannak tűnőt, például „updater.exe” vagy „system_process.exe”.
- Elrejtés a rendszermappákban: A Windows rendszermappái (pl. System32, Program Files) gyakran tele vannak fájlokkal, ezért a keylogger-t is elrejthetjük itt. Ügyeljünk arra, hogy olyan mappát válasszunk, amelyben nem gyanús a fájl jelenléte.
- Attribútumok beállítása: Állítsuk be a fájl attribútumait „rejtett”-re. Ehhez a Parancssorban a „attrib +h fájlnév” parancsot használhatjuk (rendszergazdai jogosultság szükséges).
2. A Folyamat Elrejtése
A keylogger által futtatott folyamat is árulkodó lehet. A Feladatkezelőben látható folyamatok nevét a felhasználók ellenőrizhetik, ezért fontos, hogy a keylogger folyamata ne legyen feltűnő.
- Átnevezés: A folyamat nevét is át kell nevezni valami ártalmatlannak tűnőre, és ami a rendszer szempontjából valószínűnek tűnik. Például: „svchost.exe” (bár ezzel vigyázni kell, mert sok legitimit folyamat neve is ez) vagy „taskhostw.exe”.
- Processtitkosítás: Használhatunk processtitkosító technikákat, amelyek megnehezítik a folyamat azonosítását a Feladatkezelőben és más monitorozó eszközökben.
- Rootkit technikák: Bár ezek bonyolultabbak és nagyobb kockázattal járnak, a rootkit technikák segítségével a keylogger folyamatát teljesen elrejthetjük a rendszer elől.
3. A Telepítés Nyomainak Eltüntetése
A telepítés során keletkezett nyomok is lelepleződhetnek. Fontos eltávolítani a telepítőfájlt, a létrehozott mappákat és a regisztrációs adatbázis bejegyzéseit is.
- Telepítőfájl törlése: A telepítőfájlt a telepítés után azonnal töröljük.
- Regisztrációs adatbázis tisztítása: A keylogger telepítése során a regisztrációs adatbázisban bejegyzések keletkezhetnek. Ezeket manuálisan is törölhetjük a regedit segítségével, de erre csak akkor vállalkozzunk, ha pontosan tudjuk, mit csinálunk.
- Eseménynapló tisztítása: A Windows eseménynaplójában is nyomai maradhatnak a telepítésnek. Ezeket is érdemes törölni, de ez is szakértelmet igényel.
4. Hálózati Forgalom Titkosítása
Ha a keylogger az adatokat interneten keresztül küldi el, a hálózati forgalmat is titkosítani kell, hogy ne legyen könnyen lehallgatható.
- HTTPS használata: A keylogger által használt szervernek HTTPS-t kell használnia a kommunikációhoz.
- Egyedi portok használata: Ne használjunk standard portokat (pl. 80, 443) a kommunikációhoz. Válasszunk egyedi, kevésbé feltűnő portokat.
- Adatok tömörítése és titkosítása: Az elküldött adatokat tömörítsük és titkosítsuk, hogy azok ne legyenek olvashatóak a hálózaton.
5. Víruskeresők Elkerülése
A modern víruskeresők képesek felismerni a keyloggerek nagy részét. Ennek elkerülése érdekében:
- Offusztráció: A keylogger kódját offusztráljuk, hogy a víruskeresők ne ismerjék fel.
- Egyedi keylogger készítése: A legbiztosabb módszer, ha egyedi keylogger-t készítünk, amely nem szerepel a víruskeresők adatbázisában.
- Víruskereső tesztelése: A telepítés előtt teszteljük a keylogger-t a célgépen futó víruskeresővel, hogy megbizonyosodjunk arról, hogy nem észleli.
Fontos Megjegyzések
Ez a cikk tájékoztató jellegű, és nem ösztönöz illegális tevékenységre. A keyloggerek használata etikai és jogi kérdéseket vet fel. Mindig győződjünk meg arról, hogy a használatuk összhangban van a helyi törvényekkel és szabályozásokkal. Továbbá, a fenti technikák alkalmazása szakértelmet igényel, és nem megfelelő használat esetén a rendszer stabilitását is veszélyeztetheti.