如何检测系统上的键盘记录器？

Question

我怎么知道我的系统中是否有键盘记录器，或者至少有一个现在处于活动状态？

Answer 1

键盘记录器现在正在运行吗？

• 首先，我们假设您使用的是 X 安装的库存 Ubuntu 系统，并且该系统始终处于 X 的控制之下——其中 X 是您自己或您绝对信任的人。

• 由于这是一个库存系统，并且所有软件都已从官方存储库安装，您可以确定其中没有隐藏的键盘记录器，例如有人专门修改内核以监视您，因此很难检测到。

• 然后，如果键盘记录器正在运行，它的进程将是可见的。您需要做的就是使用ps -aux，或者htop查看所有正在运行的进程的列表并找出是否有任何可疑之处。

  • 最常见的“合法”Linux 键盘记录器是lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys是 Ubuntu 存储库中唯一可用的。

我是不是不小心下载了木马/病毒键盘记录器？

• 通常这种风险在 Ubuntu/Linux 上非常小，因为su需要特权 ( )。
• 您可以尝试使用 Mitch 在他的回答中指出的“rootkit”检测器。
• 否则，它归结为取证分析，例如跟踪/调试过程、查看启动之间的文件修改/时间戳、嗅探网络活动等。

如果我在“不受信任”的 Ubuntu 系统上怎么办？

那么，如果您在互联网/网吧、图书馆、工作等场所呢？甚至是许多家庭成员使用的家用电脑？

那么，在这种情况下，所有的赌注都没有了。如果有人有足够的技能/金钱/决心，就很容易窥探你的击键：

• 当您是公共计算机实验室的管理员并将它们放在您自己的系统上时，那些几乎不可能引入其他人系统的内核修改隐藏键盘记录器更容易引入。
• 键盘和计算机之间有硬件 USB 或 PS/2 键盘记录器，可将每次击键记录到内置存储器中；它们可以隐藏在键盘内，甚至隐藏在电脑机箱内。
• 可以放置摄像头，以便您的按键可见或可以计算出来。
• 如果一切都失败了，警察国家总是可以在你之后派他们的暴徒强迫你告诉他们你在枪口下打的是什么：/

因此，对于不受信任的系统，您能做的最好的事情就是使用您自己的 Live-CD/Live-USB 并使用它，将您自己的无线键盘插入 USB 端口而不是系统自己的键盘所在的端口（消除隐藏在键盘中的硬件记录器，以及隐藏在计算机中的那个端口上的硬件记录器，希望他们没有为整个系统的每个端口使用硬件记录器），学会发现摄像头（包括隐藏摄像头的可能位置） ，如果您处于警察状态，请在比当地警察的响应时间更短的时间内完成您正在做的事情并到达其他地方。

Answer 2

我只想加入一些我不知道在 Linux 上存在的东西：安全文本输入。

在 xterm 上，Ctrl+单击 ->“安全键盘”。这提出了将 xterm 击键与其他 x11 应用程序隔离的请求。这不会阻止内核记录器，而只是一种保护级别。

Answer 3

是的，Ubuntu 可以有一个键盘记录器。它牵强，但它可能发生。它可以通过浏览器被利用，攻击者可以使用您的用户权限运行代码。它可以使用在登录时运行程序的自动启动服务。任何程序都可以获取 X Window 系统中按键的扫描码。用xinput命令很容易演示。有关更多详细信息，请参阅GUI 隔离。¹

linux 键盘记录器需要有 root 访问权限才能监视键盘。除非他们没有获得该特权，否则他们无法运行键盘记录器。您唯一能做的就是检查rootkit。为此，您可以使用CHKROOTKIT

^{1来源： superuser.com}