[Supermax]

Потребовалось установить защиту на админфункции с вводом пароля, но оказалось, что все "потуги" обойти кейлогер тщетны (пока). Вот и появилась у меня мысль как защититься. Хочу ее проверить в обсуждении на форуме.

Мысль заключается в установке "шума" на посыл символов в регистр клавиатуры.

Мой текущий процесс заражен (допустим), все его посылы перехватываются. Есть еще несколько дочерних процессов и они тоже заражены, но в них стоят копиия кейлогера, которые перехватывают только их посылы.
Мои действия:
Я с нерегулярной последовательностью отправляю в регистр клавиатуры случайные символы. Они, естественно возвращаются в мой интерфейс и в моим процессом анализируются. Я вижу, что это мой "мусор" и на него не реагирую.
Мои дочерние процессы так же кидаются "мусором", но перед тем как кинуть, сообщают "наверх" что собираются кидать.
Мой основной процесс анализирует и свой все чужие посылы. Естественно, когда пользователь жмет на клавишу, то его посыл проходит сквозь фильтр (даже если произошла подмена символа на символ).
Кейлогеры забиваются мусором и не работают. А если хакер забыл ограничить длинну записанных символов, так еще и выдают себя с потрохами по раздутому массиву данных.

Кейлогеры можно "центролизовать", но в системе нет отличия посылающего1 от посылающего2, что собственно и затрудняет борьбу с кейлогерами, но эта проблема - проблема и для них!

У кого какие мнения на этот счет?

[Кулик Алексей aka kpblc]

Подобные вещи у меня на работе решаются распределением прав и глобальной чисткой компа службой IT. Кстати, под "кейлоггеров" попадают даже такие программы, как Punto Switcher и Ninja - что с ними будешь делать?
ИМХО: бороться надо не со следствиями, а с причиной.

[Supermax]

Все гораздо сложнее, чем всякий программный мусор. Все тупо перехватывают API, загружают в процесс свой код и пр.
Все административные меры исчерпаны. Без интернета все, приехали.
Вся работа удаленная, люди все время то одни, то уже новые со своими компами и кривыми руками. Локальная сеть? Сисадмин? - Нету ни того, ни другого.

Есть несколько пользователей, чье решение определяет направление платежа. Каждый из них имеет пароль и я в том числе. Без моего подтверждения паролем, как и без их подтверждения, не может уйти платеж.

Есть кому сделать защиту, только надо придумать такой алгоритм, чтобы сам автор не мог его сломать.

Хочу добавить к первому посту.
"Шуметь" одним процессом безсмысленно, поскольку он заражается и все его посылы перехватываются. Кейлогер прекрасно распознает из того, что получено, то, что отправлено и отфильтровывает реальные данные. Но вот когда процессов несколько, да еще и не известно кто главный, приходится в каждом ставить фильтр и что? Одна копия кейлогера что-то отфильтровала, другая тоже. Все не совпадает. Труба, никакая централизация кейлогеров не справится, если не сможет узнать где главный процесс. А как она узнает, если общение между дочерними процессами идет не через API, а по прямым каналам?

[Солидворкер]

Цитата:

Сообщение от Supermax только надо придумать такой алгоритм, чтобы сам автор не мог его сломать.

Биометрический датчик?

[Дима_]

Вводить пароль мышью через виртуальную клавиатуру.

[Profan]

Много букв:
http://www.securelist.com/ru/analysis?pubid=204007536

[Supermax]

Profan, спасибо, замечательная ссылка, только все, что там написано уже история. Но я дам оттуда выдержку с коментариями

Цитата:

Принципиальная идея кейлоггера состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия пользователем клавиш на клавиатуре до появления символов на экране — это может быть видеонаблюдение, могет быть, могет быть, но это уже не мои проблемы аппаратные «жучки» в самой клавиатуре, на проводе или в системном блоке компьютера, тоже не моя проблема перехват запросов ввода-вывода, "шум" также имеет массу таких запросов подмена системного драйвера клавиатуры, ну и что? весь "шум" через него проходит. Пипл все схавает, так ему и надо! драйвер-фильтр в клавиатурном стеке, Аналогично перехват функций ядра любым способом (подменой адресов в системных таблицах, сплайсингом кода функции и т.п.), Аналогично перехват функций DLL в пользовательском режиме, Об чем и речь в этой теме наконец, опрос клавиатуры стандартным задокументированным способом знаем, знаем. Все посылы SendKey и SendKeys Не отличаются от нажатия клавиши в железе, а то-б давно небыло ничего, кроме аппаратных способов. Всякие ReadKeyBuffer(), GetKeyboardState() и иже с ними все скушают и не подавятся. .

[hwd]

Цитата:

Сообщение от Supermax Потребовалось установить защиту на админфункции с вводом пароля,

Смысл? Права юзера на вызов той или иной команды лучше подтверждать не вводом очередного пароля, а на основании прав, которые назначены текущему профилю Windows, под которым сидит юзер. Хочешь быть админом? Создай профиль Windows, назначив ему нужные права. А танцы с собственным обходом кейлоггера - это имхо зря потраченное время. На худой конец - можно воспользоваться виртуальной клавиатурой того же Касперского (возможно и в др. антивирусниках такое есть, но не утверждаю этого).

[Supermax]

hwd, нет у меня "пользователей" и "администратора". Есть фрилансеры и заказчики. Фрилансер выполняет работу, я проверяю и даю добро на оплату, заказчик ставит решающую подпись.
Как только начинаю качать файлы, лезет всякая мура и порядком задолбала. Я уже и винчестер внешний отключаю, касперский самый лучший стоит. Кстати о Касперском. Если ты не в курсе, его виртуальную клавиатуру давно обошли. И вообще весь экран можно сливать куда-то. Сейчас уже никто из серьезных хакеров, не расчитывает на удаленный шпионаж. Вклиниваются в трафик и видят все, что и ты. Когда ты сам данные передаешь и свой винт гоняешь, очень трудно понять активность.

И вообще, есть стратегия, есть тактика. Сейчас я хочу обсудить стратегию борьбы с кейлогерами. А где мне ее еще обсуждать? Где тусуюсь, там и советуюсь.

[hwd]

Цитата:

Сообщение от Supermax А где мне ее еще обсуждать? Где тусуюсь, там и советуюсь.

Я писал не с претензией.

[Кулик Алексей aka kpblc]

Supermax, я не очень понимаю - ты кого хочешь защитить? Себя или фрилансеров, которые на тебя работают?