Sé que algunos de los mejores keyloggers no se pueden ver desde el Administrador de tareas.
¿Dónde se puede ver si tales keyloggers se están ejecutando en el sistema? ¿Estarán en los Servicios de Windows o también estarán ocultos desde allí?
La clase de malware que impide que se vea a sí misma u otros programas se llama rootkits. Funcionan al reemplazar las llamadas clave del sistema que se usan para detectar lo que sucede en el sistema. Por ejemplo, cuando va al Administrador de tareas, el Administrador de tareas le pide a Windows una lista de programas que se ejecutan en el sistema, pero suponga que otro programa malo pudo reemplazar esa solicitud con uno que decía "¿qué programas se ejecutan además de" mi malo? programa ". Eso es básicamente lo que hace un kit de raíz.
Hecho correctamente, lo hace para que, sin importar cómo intente pedir la información que le dirá lo que está sucediendo, se intercepte por el código incorrecto que dice que nada está mal. No hay ninguna manera de saber con seguridad si tiene uno y no hay manera de saber con seguridad si los ha limpiado todos si ha sido infectado por uno. Esto es parte de la razón de la filosofía de "atacar desde la órbita" que puede haber escuchado por aquí diciendo que debería reinstalar completamente un sistema si está comprometido por algo más que el malware más simple.
La forma más fácil y efectiva de detectar un kit de raíz es arrancar desde algo conocido como LiveCD. Es un sistema operativo en un CD o DVD que puede arrancar y escanear su disco duro desde una buena configuración conocida. Hay algunas cosas por ahí que pueden sortear esto incluso al infectar los componentes de hardware reales en sí mismos, pero son todavía (afortunadamente) extremadamente raros y bastante específicos del dispositivo.
Aparte de eso, también hay registradores de teclas que son piezas reales de hardware que se ubican en la línea para el teclado y pueden detectar (o incluso alterar) todas las pulsaciones sin tener ningún software ejecutándose en el sistema. Estos también son excepcionalmente raros.
Está hablando de rootkits que funcionan al integrarse en el núcleo del sistema operativo; pueden hacer keylogging de forma totalmente transparente, también pueden hacer muchas otras cosas.
Si un rootkit está escrito de forma competente, no puede detectarlo desde el sistema en ejecución. Solo un examen forense cuidadoso de los discos duros y otras áreas de almacenamiento permanente puede ayudar a detectar rootkits; una vez que hay un rootkit, tu sistema ya no es tuyo.
Los registradores de claves también pueden ser tan simples como una DLL cargada en la memoria de un proceso existente, tal vez en forma de un complemento de navegador. No aparecerían como una tarea de registro de claves por separado, pero aparecerían en una lista de módulos cargados. Y son fabulosamente fáciles de escribir, requieren solo dos llamadas a la API de Windows para cargar el registrador y otra media docena de líneas para implementarlo.
Es posible que también no tengan un nombre tan útil como "KeyLogger.DLL". Pero si ejecutara DEPENDS.EXE en todos los módulos cargados, puede buscar SetWindowsHookEx, que es una rutina que la mayoría de las aplicaciones normales no necesitarían llamada.
Lea otras preguntas en las etiquetas windows keyloggers web-service