追查数据窃贼(2)
工作原理
在设法如何清除这些恶意软件之前,了解一点这些程序的工作原理将使你受益匪浅。从技术层面来看,键盘记录工具就是要设法获取并记录键盘输入信息。你在键盘上敲出的每一个符号信息都将被获取并保存起来,而通常你都无法发现这些被获取的资料。键盘记录工具既包括软件记录工具,又包括硬件记录工具。硬件记录工具是键盘和电脑之间安插的实物设备。
软件记录工具通常都会钩进(hook)低层级系统,伪装成设备驱动器,拦截系统指令,因而能够访问键盘输入的任何信息。利用网站中下拉菜单(dropdown forms)或屏幕键盘(on-screen keyboards),这些工具甚至还能获取显示器屏幕及鼠标移动轨迹,从而使系统安全防护的努力崩溃于无形。而且,他们可能藏身于看上去很清白的软件中。
硬件记录
即使多数键盘记录工具都基于软件,这也是多数电脑用户碰到的,但还是要记住:以不到40英镑的价钱,就可以买到任何安全程序也无法检测出来的硬件键盘记录工具。安装极为容易:只要将键盘记录工具置于电脑PS/2端口和键盘插口之间即可。在最佳情形中,这就能让你获取超过25万次的击键信息。使用随硬件提供的键盘记录阅读软件从键盘记录工具中导出数据同样简单。
不到40英镑的价格就能买到硬件键盘记录工具,除开个人亲自检查机身之外 ,任何程序都无法检测出该工具。
唯一能够防止这种键盘记录工具如此做恶的方法就是检查电脑机身及其连接。即使用软件将PS/2端口锁住,通过USB端口将键盘连接起来,难以让人察觉的USB键盘记录工具也可能已连入电脑。而更让人难以检测出来的是内置于键盘内部的工具—这对于烙铁使用熟练的人来说并不是什么大难题。教你一招,如果想要电脑键盘绝对安全,在键盘背部的螺丝钉头上点上一滴指甲油,如此一来,任何篡改就一目了然了。
如果你的确担心电脑安全,那么无线键盘则给你带来了又一个潜在的问题。 不错,红外无线传输键盘需要的电量很低,而且信号在几米之外就会中断,但尽管如此,要拦截信号还是颇为容易。那种在27MHz环境下运行的享有盛名的无线键盘带来的风险则大得多,因为这种无线键盘可在最大半径为30米的范围内传输数据。借助修改过的无线键盘和CB radio(译者注,为Citizen band radio之缩写,民用对讲通讯设备),就可读取、记录所有信息。在2.4GHz环境中运行的蓝牙无线键盘,通常则更为安全,要想拦截资料,则要付出多得多的努力,这得归功于其采用的调频流程(frequency-hopping process)。然而,你也应谨慎行事,确保只在激活认证和加密的状态下使用这种键盘。
软件记录
对付软件键盘记录工具的一个最为有效的程序是我国生产的通用anti-rookit工具,叫做冰刃(Icesword)(访问http://pjf.blogone.net) ,该程序有英文界面。虽然该程序才700KB的大小,被被IT专家广为推崇,被视为是最好的rootkit(译者注,一种病毒常采用的技术)检测工具之一。该工具不仅仅指出隐藏的进程,而且能识别出Windows内核发生的变化,使通常被rootkits用做藏身之地的系统服务描述符表(SSDT, System Service Descriptor Table)的篡改无遁身之处。
然而,你应留心谨慎。由于冰刃工具本身并不会创建备份,所以用该工具执行的指令无法撤消,因此,在试图清除隐藏进程、注册表条目或驱动硬盘之前应做好备份。开始工作之前,在另外一个硬盘上或DVD上备份好根分区,或至少备份好注册表,创建系统恢复点。
可疑进程将以红标在进程和SSDT窗口显示出来。要识别真正的威胁,你需要全面掌握系统知识,这样才能分清良性和恶性对象。有些对象无法从显示它们的窗口中直接删除,但你可采用能从注册表和文件菜单中激活的内置工具。无论是从注册表还是从文件菜单中激活用户操作起来都不太方便,但这两种途径都能删除受rootkits保护的条目。
网友评论