So che alcuni dei migliori keylogger non possono essere visualizzati dal Task Manager.
Dove si può vedere se tali keylogger sono in esecuzione sul sistema? Saranno nei servizi di Windows o sono nascosti anche da lì?
La classe di malware che impedisce a se stessa o agli altri programmi di essere visti è chiamata rootkit. Funzionano sostituendo le chiamate di sistema chiave che vengono utilizzate per rilevare ciò che sta accadendo nel sistema. Ad esempio, quando si accede a Task Manager, Task Manager chiede a Windows un elenco di programmi in esecuzione sul sistema, ma si supponga che un altro programma non valido sia stato in grado di sostituire quella richiesta con uno che diceva "quali programmi sono in esecuzione diversi da" my bad programma ". Questo è fondamentalmente ciò che fa un kit di root.
Fatto correttamente, fa in modo che, indipendentemente da come provi a chiedere le informazioni che ti dicono cosa sta succedendo, viene intercettato dal codice errato che dice che non c'è niente di sbagliato. Non c'è alcun modo per dire con certezza se ne hai uno e non c'è modo di dire per certo che li hai puliti tutti se sei stato infettato da uno. Questa è una delle ragioni della filosofia del "nuke it orbit" che potresti aver sentito da queste parti dicendo che dovresti reinstallare completamente un sistema se è compromesso da qualcosa di più del malware più semplice.
Il modo più semplice ed efficace per rilevare un kit di root è quello di avviare da qualcosa conosciuto come LiveCD. Si tratta di un sistema operativo su un CD o DVD che può essere avviato e scansionato il tuo disco rigido da una configurazione ben funzionante. Ci sono alcune cose là fuori che possono aggirare anche questo infettando gli stessi componenti hardware, ma sono comunque (per fortuna) estremamente rare e abbastanza specifiche per il dispositivo.
A parte questo, ci sono anche keylogger che sono veri pezzi di hardware che si trovano sulla linea per la tastiera e in grado di rilevare (o addirittura alterare) tutte le sequenze di tasti senza che nessun software sia in esecuzione sul sistema. Questi sono anche eccezionalmente rari.
Stai parlando di rootkit che funzionano integrandosi nel kernel del sistema operativo; possono eseguire il keylogging in modo completamente trasparente, possono anche fare molte altre cose.
Se un rootkit è scritto in modo competente, non è possibile rilevarlo dal sistema in esecuzione. Solo un'attenta analisi forense di dischi rigidi e altre aree di memorizzazione permanente può aiutare a rilevare i rootkit; una volta che un rootkit è lì il tuo sistema non è più tuo.
I keylogger possono anche essere semplici come una DLL caricata nella memoria di un processo esistente, magari sotto forma di un plug-in del browser. Non si visualizzerebbero come un'attività di registrazione delle chiavi separata, ma si visualizzerebbero in un elenco di moduli caricati. E sono favolosamente facili da scrivere, richiedono solo due chiamate API Windows per caricare il registratore e un'altra mezza dozzina di linee per implementarlo.
Potrebbero anche non essere nominati come "KeyLogger.DLL", ma se dovessi eseguire DEPENDS.EXE su tutti i tuoi moduli caricati, potresti cercare SetWindowsHookEx, che è una routine che le applicazioni più comuni non avrebbero bisogno di chiamare.
Leggi altre domande sui tag windows keyloggers web-service