¿Cómo funciona la “protección de entrada de contraseña / teclado”?

5

Tengo Kaspersky Internet Security (KIS) y BestCrypt Volume Encryption (BCVE) (sin relación) y ambos ofrecen algún mecanismo (KIS) para" proteger mis contraseñas mientras las ingreso ". Kaspersky lo hace principalmente cuando uso mi navegador mientras BCVE ofrece esto solo al ingresar la contraseña que protege los volúmenes de datos.

También la solución de Kaspersky realmente no cambia ningún comportamiento de ninguna manera que pueda notar mientras BCVE bloquea efectivamente mi administrador de contraseñas ( KeePass ) desde entrando la contraseña por mi Un comportamiento extraño similar se aplica cuando ingreso la contraseña de autoprotección para que Kaspersky cambie su configuración.

Mi pregunta es ahora:
¿Cómo (/ puede) esta "tecnología" de protección de contraseña funciona (conceptualmente)?

Las únicas (maneras) en las que puedo imaginar que esto funcione es desactivando temporalmente el sistema de gancho del teclado en Windows y haciendo que el portapapeles esté vacío, pero creo que hacen más (de una manera inteligente).

    
pregunta SEJPM 16.07.2016 - 15:29
fuente

1 respuesta

2

Todo es una cuestión de nivel de API: si interceptas un evento utilizando una API de bajo nivel (generalmente privilegiada), entonces puedes ocultarlo a API de nivel superior (sin privilegios).

Por lo tanto, es probable que estas dos soluciones se basen en API de bajo nivel para interceptar eventos de pulsación de teclas para que permanezcan sin ser detectados por registradores clave (con suerte) que dependen de API de nivel superior.

En el caso de BCVE, su propia pantalla parece autodocumentada y confirma explícitamente la técnica utilizada, "Anti-Keylogger utiliza funciones de Windows de bajo nivel" :

Enestecaso,laimplementaciónesrelativamentefácil,yaqueBCVEpuedeusardirectamentelaspulsacionesdetecladocapturadasdestinadasasímisma.LacuestiónesunpocomáscomplicadaparaKaspersky,yaquelaspulsacionesdetecladocapturadasdebenenviarsedealgunamaneraauncampodeformularioHTMLenunnavegadorestándar.

Paraimplementaresto,KasperskyinyectaunarchivoJavaScriptenlaspáginaswebdelusuario.EstasecuenciadecomandosactúacomounclienteyseponeencontactoconunserviciodeKasperskyqueseejecutalocalmente.Estopermitequelasecuenciadecomandosobtengalostrazosdeteclaamedidaqueseproducenyrelleneelcampodeentradaprotegidoenconsecuencia,porloquesepasaporaltolapiladeentradadetecladoestándar.

Aquíestá algunas informaciones de las personas de Kaspersky confirmando esto, pero parece que no publican mucha documentación con respecto a los productos internos.

    
respondido por el WhiteWinterWolf 16.07.2016 - 17:46
fuente

Lea otras preguntas en las etiquetas