Keylogger (von der englischen Abkürzung „keyboard logger“) bedeutet ein Tasten-Protokollierer, aber es wäre richtiger, diese als Tastatur Spione zu bezeichnen, da es sich um eine Spyware handelt, die Ihre Aufgaben ohne Kenntnis des Benutzers und vor allem ohne seine Zustimmung oder Teilnahme ausführen.
Der Hauptzweck dieses Tools ist es, Logins und Passwörter verschiedener Benutzerkonten, E-Wallets, Bankkarten und so weiter zu sammeln. Keylogger zeichnet sich durch die Tatsache aus, dass es in der Lage ist, Tastenanschläge durch den Benutzer auf der Tastatur zu erfassen und dann die empfangenen Daten an die gewünschte Stelle zu liefern.
Moderne Tasten-Rekorder können Listen der laufenden Anwendungen verfolgen, Screenshots nach einem bestimmten Zeitplan oder Ereignis machen, heimlich den Benutzer überwachen usw. Alle gesammelten Informationen werden auf dem Datenträger gespeichert und dann als Log-Dateien aufgenommen. Dabei verwenden einige erweiterten Keylogger RootKit-Technologien, mit denen sie ihre Spuren im System maskieren.
Nun, ist es wirklich so schwierig, diese Tools mit modernen Antivirenprogrammen zu fangen? Tatsächlich betrachten die meisten Antiviren Keylogger-Software nicht als Viren, weil sie sich nicht vermehren. So ein Antivirus muss eine spezielle erweiterte Basis und zusätzliche Module haben, die speziell darauf ausgerichtet sind.
Zugunsten der Menschheit werden diese Tools oftmals von Sicherheitsdiensten verwendet. Private User, die z.B. Apps zur Kindersicherung benutzen, haben schon längst die Wichtigkeit der mSpy Keylogger Funktion verstanden.
Wie funktionieren Keylogger?
Ihr grundlegendes Prinzip besteht darin, dass Signale vom Drücken der Tasten bis zum Erscheinen des Symbols auf dem Bildschirm verfolgt werden:
Die häufigste Option ist die Installation von Tastaturfallen – der sogenannten „Hooks“, die Windows Systemnachrichten mit einem speziellen Win32API-Mechanismus abfangen. Ein großer Teil der Keylogger dieser Art verwendet das Hook WH_keyboard. Außerdem kann WH_JOURNALRECORD verwendet werden, der keine separate dynamische Programmbibliothek (DLL) erfordert, wodurch die Verteilung dieser Software über das Netzwerk vereinfacht wird.
Driver-basierte Tasten-Rekorder sind im Vergleich zu der oben beschriebenen effizienter. Zumindest ist die Methode nach zwei Szenarien zu implementieren: schreiben und installieren Sie Ihren Tastaturdriver anstelle eines normalen oder installieren Sie einen Filtertreiber. Solche bilden die überwiegende Mehrheit unter allen Keylogger.
Rootkit-Spion kann sowohl im User- als auch im Kernel-Modus realisiert werden. Im ersten Fall wird die Tastatureingabe durch Abfangen von Prozessen bei csrss.exe überwacht. Anders wird es mit Hilfe von Call-Tracking-Funktionen wie GetMessage und PeekMessage gemacht.
Wie werden Keylogger verteilt?
Grundsätzlich erfolgt dies nach dem ähnlichen Prinzip, wie bei Viren. Sie können sie solcherweise kriegen:
- aus einer Datei per E-Mail (daher lohnt es sich, daran zu erinnern: Sie müssen keine fremden Dateien herunterladen und öffnen)
- aus einem Verzeichnis, das sich im Peer-to-Peer-Netzwerk befindet
- mit einem Skript auf Webseiten, das die Besonderheiten von Internetbrowsern verwendet und es den Programmen erlaubt, automatisch zu starten, sobald der Benutzer die Seite besucht
- über ein bereits installiertes Virenprogramm
Auf jeden Fall sollte man immer vorsichtig sein, da praktisch jede Innovation bzw. Technologie zu unterschiedlichsten Zwecken verwendet wird, und Ihre Sicherheit liegt immer nur in Ihren eigenen Interessen.
Neue Kommentare