Oltre alla risposta informativa di Philipp.
I logger chiave sono molto apprezzati dagli aggressori, questo è l'oro da tenere d'occhio. Sono stati fatti molti progressi, fino a sostituire una tastiera con una tastiera 'tappata' o persino un mouse 'tappato' messo in posizione.
Più avanzati sono quasi dispositivi 'invisibili' che proxyano i dati usando il bluetooth. La cosa frustrante dei keylogger è che il codice richiesto per eseguirli è quasi follemente piccolo, anche l'hardware necessario per eseguirli.
--- aggiunto dopo un commento da Shantnu
La domanda in sé è generica, ci sono centinaia se non migliaia di key logger. La menzione di XSS è anche auto-contenente la risposta (s)
-
sì, un xss può essere usato per installare un keylogger sul tuo sistema. Scaricarebbe un componente per facilitare l'iniezione del keylogger nel browser o nel sistema operativo o qualsiasi altro componente vulnerabile in grado di rilevare.
-
sì, un XSS può causare la caduta di un keylogger sul server, anche se ciò significherebbe che fosse scelto come target.
Comunicare con "casa" molto probabilmente avverrebbe contattando un server command-and-control, inviando messaggi di messaggistica istantanea, inviando e-mail anche inviando una richiesta icmp speciale. Esistono molti modi. Nel caso in cui un keylogger sia stato "rilasciato" su un server, potrei semplicemente accedere a un file di testo che sarebbe disponibile per tutti i visitatori che conoscono l'indirizzo.