如何以可靠的方式检测击键记录器？

Question

我总是在我不信任的计算机上输入密码时遇到问题（想想非技术朋友的计算机），虽然我通常可以避免这样做，但有时我仍然需要使用它们。我主要担心的是我的密码被击键记录器窃取了。

所以我的问题是 - 有没有可靠的方法来检测击键记录器？

我知道像KeyGhost这样的硬件击键记录器，但我最感兴趣的是基于软件的记录器。

Answer 1

将问题标题的重点改为“如何以可靠的方式检测击键记录器？” 我下面的大部分答案都是无关紧要的。简而言之，我认为您无法以可靠的方式检测击键记录器。有一些方法可以检测其中一些，一些限制其有效性的对策以及一些绕过它们的方法，我在下面相当过时的答案中讨论了其中的一些，但没有可靠的方法来检测它们。阅读维基百科关于键盘记录方法和对策的文章。

不是一个容易的问题。

软件键盘记录

可以通过使用屏幕键盘或从基于屏幕的数据中剪切和粘贴来绕过在按下和释放键时获取键码的软件，但这不适用于在较低级别工作的软件（在某些时候操作系统必须将“模拟按键”提供给等待输入的应用程序）。

通过使用不太可能成为键盘记录软件攻击目标的操作系统，可以进一步降低风险。

如果这真的很重要并且硬件没有日志记录设备，那么如果硬件/网络所有者允许这样做并且 CD/DVD 启动已知干净操作系统的只读副本（例如校验和的实时 CD 或 DVD）是值得考虑的包含您需要的应​​用程序并且您知道所需的设置参数（密码和数据可以安装在加密的 USB 记忆棒上，在类 Unix 系统中，不允许文件执行）。使用您自己的硬件/软件，遵循良好的安全实践并定期从干净、可信、校验和的媒体重建是另一种前进的方式。

建议的机制旨在降低系统上安装键盘记录软件的风险。如果键盘记录器进入系统，那么强大的防火墙策略可能检测试图通过网络将数据发送回其“所有者”的键盘记录器，但这通常假定防火墙过程中有繁重的手动参与（例如调整系统以允许特定应用程序使用特定 IP 端口和地址）。最后，以及系统上的键盘记录器，如果数据通过网络传输或文件系统的物理完整性受到损害，则可能会看到一些已键入的内容。如何缓解这些问题超出了本问题的范围，但在考虑应用程序和系统完整性时必须包括在内。但是，监控网络可以显示敏感数据是否正常传输，也有助于识别意外传输。

一次性密码、如果密码可能已被泄露则快速更改密码、使用键盘记录软件检测器（扫描 PC 以寻找已知键盘记录软件的签名的软件）也是可能的对策之一，但所有对策都有弱点。

硬件和其他键盘记录

虽然在您的问题的直接范围之外，但需要牢记这些。它们包括观察网络流量、键盘和 PC 之间连接的设备、肩上窥探、摄像机、声学或电磁或振动监控（例如，参见TEMPEST措施）或检查 RAM 内容以获取信息（如果有人感兴趣）您可能正在输入的内容已经足够了。检测这些范围从容易到不可能。

一般的

维基百科上有一篇关于键盘记录方法和对策的有用文章，非常值得一读。