追查数据窃贼(3)
冰刃Icesword是查杀键盘记录工具和其他rootkits工具的最有效的程序之一
冰刃Icesword可以红色显示挂钩(hook)—即软件可能截取系统进程的点。由于冰刃Icesword无法分清哪些挂钩属于防火墙,哪些属于恶意程序,因此,你得在网络搜索,找到那些“寄生虫”是什么名字来伪装起来的。举例来说,在测试中,我们发现:vsdata.sys文件属于Zone Alarm Desktop Firewall;另一个可疑文件名为systemrootsystem32driverscrusoe2k.sys,没有在Windows Explorer中显示出来。我们用Rootkit Revealer再次进行检查,该工具同样“指控”那个可疑文件。如果你想要执行更为彻底的检测,我们建议你使用Metasploit恶意程序检测工具(http://metasploit.com/research/misc/mwsearch/index.html)。访问www.castlecops.com/t165203-Icesword_Instructions_in_English_Illus-
trated.html,你也可以找到冰刃Icesword使用指导,可一步一步教你如何使用该工具。
消灭“害虫”
一旦你知道了“寄生虫”在哪里,它使用哪些文件,你就能开始展开清除行动,这相对来说较为容易。因为利用了rootkit技术,它们将自己藏匿得十分隐蔽,在电脑运行时唯一可以追查到键盘记录工具的方式就是用冰刃Icesword或类似工具。另外一种方式就是,你可用不含任何间谍软件的干净的CD启动盘启动电脑,然后从硬盘中将键盘记录工具删除。举例来说,你可以用WindowsUltimate Boot CD展开此种清除行动。用冰刃Icesword清除键盘记录工具十分简单:只要激活菜单条目,然后从文件浏览器中找到crusoe2k.sys删除了事。另外一种方式就是,使用冰刃Icesword工具找到那些文件,用CD启动系统后将那些文件手动删除。
在系统重启之后,键盘记录工具应不会还处于活动状态,现在,你可以展开更多后续清除行动,并修复任务,如,定位日志文件等。如果你不知道这些文件的名称,这个过程则可能十分冗长、乏味—有时,唯一要做的事就是在Windows注册表中(通常在子目录system 32中)找到那些体积最大和最近使用的文件,然后尝试将其重命名,待系统再启动后,将它们全部删除。如果你要清除一台陌生电脑的键盘记录工具,可能也没有管理员权限,因此,要清除恶意工具,可能性不大。你要做的,不是花上数个小时去尝试把系统弄干净,最有可能的胜算可能是假定系统已被感染,并避开感染区域工作,如,使用虚拟键盘可让你安全地使用可能已经中招的电脑。
Windows内部配置了这项功能。只要选择“开始”|“运行”然后输入 “OSK”,用鼠标操控的虚拟键盘就会出现在屏幕上。
www.myplanetsoft.com上推出的免费的Mouse Only键盘则更进了一步,所有用鼠标输入的字符信息都用星号隐藏了起来。然而,由于你不能绝对确定键盘记录工具是否利用互联网浏览器中的浏览器辅助对象(BHO, Brower Helper Object)正在持续地生成屏幕截图或截取表格数据(form data),这种手段的有效度值得怀疑。
从另一个方面来看,如果你对所使用的电脑拥有安装权限,那么你几乎可以清除所有键盘记录工具。我们已测试过几种产品,它们甚至能即时使内核级的键盘记录工具瘫痪。这意味着,即使此类间谍软件处于活动状态,也能用Advanced Anti Keylogger(高级反键盘记录工具,60美元,http://logger.net上销售)这类程序将其查杀。安装高级反键盘记录工具之后,电脑将重新启动,内核级的所有工作程序则均被隔离。然后,你可为这些程序设置简单的规则,包括是否让它们运行。
预防胜于
治疗
键盘记录工具是最危险的IT威胁之一。无论是疑心重重的合作伙伴、公司雇主,还是那些意欲盗取你的信用卡和网上银行密码的数据窃贼,它们使用该工具来窃取那些毫无察觉的用户的资料已日渐司空见惯。虽然多数享有盛名的病毒或间谍软件检测工具已开始纳入检测键盘记录工具的功能,但仍然无法提供防护键盘记录工具所需的足够保护措施。将他们铲除的唯一办法就是使用高级的anti-rookit工具。
为了阻止他人在你的电脑上安装键盘记录工具,你应该管理好电脑访问权限,如,采取安全的BIOS密码,并定期检查是否存在硬件键盘记录工具。专业桌面防火墙,如Zone Alarm Pro,在防止键盘记录工具数据方面不成问题,但它并不能提供完美的防护方案,因为最高级的键盘记录工具仍然能传送其数据资料。
Mac和Linux keyloggers
Linux发布的Tinfoll类工具旨在协助用户保护电脑数据
如果你认为运行Mac OS X或Linux这类操作系统能防止键盘记录工具之害,那么你想错了。具备键盘记录功能的病毒和木马在这些操作系统平台中也日益普遍。然而,它们在这些系统中的传播范围要小得多,而且,Linux推出的Tinfoil(http://tinfoilhat.shmoo.com )这类程序也让数据窃贼在使你的电脑中招方面倍感困难。
应对键盘记录
工具的六个步骤
如果键盘记录工具已悄然潜入你的系统,这并不是世界末日。以下策略可以帮你解决该问题。
第一步,做最坏打算—认为你的系统已完全为内核级的键盘记录工具所监视。为受感染的硬盘做一个映射。
第二步,分别用Spybot、Rootkit、Rootkit Revealer和Icesword先后扫描检测系统,追查数据窃贼。然后终止其进程并安全地将其日志文件删除。
第三步,如果你不确定你是否成功删除了所有文件,也不想忽视之前检测行动导致的损害程度,那么将硬盘格式化,再重装操作系统,更改所有密码。
第四步,确保你是拥有安全访问电脑权限的唯一用户。结合smartcard或USB Token与加密启动分区专门配合使用。
第五步,如果这不太奏效,你可用反键盘记录程序(Anti-Elite Keylogger, Advanced Anti Keylogger)保障你的系统安全;使用Processguard这类工具(www.diamondcs.com.au ),则系统的安全更有保障,因为该工具是基于行为的,可阻止所有主动篡改系统结构的进程和程序。
第六步,如果因为技术和组织方面的原因,你无法执行上述这些保护性措施,那么你不应信任装有任何资料的的电脑,这些资料一旦被非法使用,将给你个人造成损失。
网友评论