¿Qué tan efectivo es el Administrador de tareas de Windows para identificar los keyloggers?

Navega tus respuestas
3

Acabo de encontrar una idea que he usado en el pasado para distinguir dos instancias del mismo programa, una de las cuales se colgó. Mientras el Administrador de tareas está abierto, visible y ordenado por el uso de la CPU, levanto las ventanas de una de las instancias y las arrastro rápidamente. El uso de la CPU en uno de los procesos aumenta, presumiblemente cuando se llama rápidamente el mensaje de pintura de ese proceso (suponiendo que su sistema haga "Mostrar contenido de la ventana mientras se arrastra").

Hoy me pregunté si mi sistema tiene un keylogger. Imaginé un keylogger de hardware y pensé que podría haber alguna forma de detectarlo sin desmontar mi computadora, pero los resultados de búsqueda que obtuve fueron principalmente para keyloggers de software y usar software anti-Malware para detectarlo. Pero si activa el Administrador de tareas de Windows y luego presiona muchas teclas en el teclado (¡con suavidad!), Entonces cualquier proceso que las esté grabando comenzaría a usar un poco de CPU. Me pregunté si usaría suficiente CPU para llevarlo a la cima. Cuando lo pruebo, puedo hacer que aparezcan dwm.exe y csrss.exe y taskhost.exe. Creo que esto demuestra que es posible usar este método para encontrar un proceso que esté observando el teclado, pero requiere cierto discernimiento.

¿Parece esto plausible, y es esta técnica una resistente a los métodos de camuflaje que los autores de malware pueden tomar?

    
pregunta Dave Scotese 02.12.2012 - 21:29
fuente

3 respuestas

6

El malware eficiente manipulará la estructura interna del kernel para que no aparezca del todo en la lista de procesos (nuevamente, un juego de escondite entre detectores de malware y malware; vea por ejemplo esta página para obtener más información). Por lo tanto, no verá nada en el administrador de tareas.

Incluso si el keylogger no aparece como una tarea en el administrador de tareas, el registro de claves, en sus formas básicas, es extremadamente económico. Mi primera computadora pudo realizar un seguimiento de todo lo que escribí con su CPU 6809E, que se ejecuta a la velocidad de 1 MHz. Una PC básica es más de 10000 veces más rápida que eso, y por lo tanto no necesitará más de 1/10000 de su CPU para registrar pulsaciones de teclas. Para ver eso en el administrador de tareas, necesitará ojos agudos ... Para complicar la configuración, hay muchos procesos que muestran cierta actividad regular incluso cuando nominalmente están inactivos; esto es típico del proceso con actividad de recolección de basura de fondo.

Y, por supuesto, cuando observa el administrador de tareas, observa, entre la lista de procesos, el propio administrador de tareas, que utiliza la CPU para actualizar la lista como se representa gráficamente en la pantalla ...

    
respondido por el Thomas Pornin 03.12.2012 - 00:17
fuente
0

Completamente inútil contra cualquier cosa que no sea el proyecto universitario de un estudiante de seguridad informática.

Puede hacer que los procesos aparezcan como el nombre de otro proceso o no, sin demasiada dificultad. También puede obtener registradores de llave de hardware que pueden tomar la señal en bruto de su teclado y almacenarla en un dispositivo de memoria o transmitirla a través de wifi.

    
respondido por el Inverted Llama 03.12.2012 - 13:07
fuente
0

Para detectar un keylogger en la PC, abra el administrador de tareas y busque otros procesos que no sean los programas que ha instalado. También puede buscarlo en la web. Esta es la forma más efectiva. La razón por la que los keyloggers son tan difíciles de detectar es que no son ilegales. La mayoría de las personas piensan que lo son debido a la forma en que los piratas informáticos los usan (lo cual es ilegal) Sin embargo, no es ilegal instalar keyloggers en su propia computadora para monitorear a sus hijos, o monitorear a sus empleados para negocios. Debido a esas razones, se les permite que se vendan legalmente y están protegidos de ser detectados fácilmente. Existen algunos métodos de detección, pero los programadores los conocen y los modifican para que no los detecten.

    
respondido por el Daisy 09.06.2014 - 12:21
fuente

Lea otras preguntas en las etiquetas

Registradores de teclas y puntos de referencia de rendimiento ¿Qué usos de claves mejorados se requieren para las tareas de infraestructura PKI? (OID para OSPF y firma de CRL, etc.)