Кейлоггеры могут применяться во:
Размер аппаратных кейлоггеров не превышает типоразмера батареек АА. При этом, данное устройство устанавливают к клавиатуре таким образом, чтобы клавиатурный шпион мог перехватывать данные с клавиатуры.
Наиболее популярный метод избежания последствий несанкционированного проникновения программного клавиатурного шпиона в операционной системе Microsoft Windows – использование экранной клавиатуры (osk.exe). Однако, даже этот метод может быть отслежен и проанализирован при помощи функции снимков (скриншотов) экрана.
Данное программное обеспечение предназначено для работы в операционных системах целевого компьютера. С технической точки зрения существует 5 категорий программных кейлоггеров.
На основе гипервизора
Теоретически такие клавиатурные шпионы могут являться частью вредоносного ПО, работающего под управлением операционной системы, которая остается нетронутой. Данные кейлоггеры фактически становятся виртуальными машинами.
На основе ядра
Этот тип ПО отличается методом внедрения, сложностью обнаружения и удаления кейлоггера с компьютера пользователя. Клавиатурные шпионы, внедренные в ядро системы особенно трудно обнаружить пользовательскими приложениями (антивирусами, анти-руткитами, пр.). Keylogger часто создается как руткит и предназначается для внедрения в операционную систему пользователя с целью получения доступа к аппаратным средствам. Помимо этого, такие программы сложно (практически невозможно) удалить не имея прав администратора.
Данные кейлоггеры могут быть созданы в качестве драйвера клавиатуры и, как результат - получают доступ к любой информации, набранной на клавиатуре и сохраненной в операционной системе.
На основе API
Программы на основании API имеют некие «API-крючки» способные перехватывать информацию, набранную с клавиатуры. При этом, клавиатурные шпионы каждый раз при нажатии клавиатурной клавиши в автоматическом режиме их записывают и передают администратору. API-кейлоггеры в Windows используют для изучения активности клавиатуры функции перехвата GetAsyncKeyState (), GetForegroundWindow () и пр.
На основе перехвата трафика
Шпионы данного типа фиксируют любую внесенную информацию с клавиатуры через перехват трафика. Т.е. за действиями пользователя ведется интернет-мониторинг. При этом перехватывается информация и при HTTPS шифровании.
Анализаторы пакетов
Такие клавиатурные шпионы перехватывают сетевой трафик связанный с деятельностью HTTP POST. Они созданы для получения паролей без предварительного их шифрования.
Анализаторы также известные как снифферы являются приложениями, которые позволяют просматривать трафик данных в компьютерных сетей. Помимо этого, анализаторы пакетов могут перехватывать как исходящие, так и входящие сетевые пакеты данных, а также подробную информацию о содержании RFC или иных характеристик. Исходя из структуры сети, любая из сторон может быть подвержена перехвату информации.
Удаленная связь между администратором и кейлоггером может быть достигнута с помощью одного из следующих методов:
Часто современные клавиатурные шпионы имея ряд дополнительных функций выполняют перехват информации, не только вводимой с клавиатуры, но и поступающей из других источников. Например, клавиатурный шпион NeoSpy способен перехватывать информацию:
Также программа NeoSpy осуществляет фотографирование экрана, т.е. считывает графическую информацию с пользовательского компьютера. Шпион делает скриншоты с заданной периодичностью и с определенным качеством изображения.
Аппаратные кейлоггеры не зависят от установленного ПО, т.к. они размещаются на уровне аппаратных средств в компьютерной системе.
На основании микропрограмм
Устройства считывают клавиатурные события на уровне BIOS. При этом аппаратный кейлоггер должен иметь функциональные коды программных клавиатурных шпионов.
На основании встроенных элементов
Аппаратные кейлоггеры используются для записи нажатия клавиш через серию устройств, размещенных между клавиатурой и компьютером в местах разъема кабеля клавиатуры. При необходимости скрытного мониторинга такие устройства встраиваются внутрь стандартной клавиатуры. Как результат – визуально клавиатурный шпион практически незаметен.
Основное преимущество аппаратных кейлоггеров – это независимость от операционной системы, установленной на целевом компьютере. При этом такое устройство не вмешивается в работу программ и не обнаруживает свое присутствие в системе. На данный момент созданы аппаратные кейлоггеры, которые управляются при помощи беспроводной связи.
Беспроводная клавиатура и сниффер
Снифферы позволяют собирать пакеты данных, передаваемые от беспроводной клавиатуры приемнику. Т.к. шифрование может быть не использовано при обеспечении беспроводной связи между двумя устройствами, этот нюанс может быть использован при увеличении скорости перехвата и декодирования полученной информации.
Накладные клавиатурные кнопки
Некоторые злоумышленники используют для достижения своих целей накладные клавиатурные кнопки, размещенные поверх настоящих. Широко известны случаи перехвата PIN-кодов банковских карт при помощи таких клавиш в банкоматах.
Акустический кейлоггер
Акустический криптоанализ может быть использован для мониторинга звуков, созданных во время введения символов с клавиатуры. Каждая клавиша на клавиатуре может делать различные тональные сигналы позволяя при этом считать введенные символы используя статистические методы анализа (например, частоты).Такие устройства способны реагировать на изменение акустических тонов клавиш, определять время между нажатиями клавиш на клавиатуре и записывая иную контекстную информацию, которая может быть использована для определения языка. Единственный недостаток такого метода считывания данных – большой объем записи (как минимум 1000 символов) необходимый для корректного распознавания и расшифровки данных.
Использование электромагнитных излучений
При помощи аппаратных клавиатурных шпионов можно перехватить электромагнитные излучения исходящее от клавиатуры на расстоянии до 20 метров без необходимого подключения дополнительных устройств к клавиатуре. Недостаток использования – дорогостоящее оборудование.
Оптическое наблюдение на самом деле не является кейлоггером, однако данный подход также может быть использован для считывания паролей, PIN-кодов. Данный способ применяется злоумышленниками для перехвата конфиденциальной информации через скрытые камеры наблюдения.