Keyloggery - jak działają i jak można je wykryć

Przeczytaj także: Kaspersky: ataki internetowe na firmy

Najpopularniejsze metody wykorzystywane do konstrukcji keyloggerów programowych obejmują:

• moduły przechwytujące systemowe powiadomienia o naciśnięciu klawiszy (zainstalowane za pomocą WinAPI SetWindowsHook dla komunikatów wysyłanych poprzez procedurę okna. Najczęściej pisane w języku C);
• cykliczne żądania informacji z klawiatury (przy użyciu WinAPI Get(Async)KeyState lub GetKeyboardState - najczęściej pisane w języku Visual Basic, niekiedy w Borland Delphi);
• wykorzystanie sterownika filtra (wymaga specjalistycznej wiedzy; jest pisane w języku C).

Szczegółowe wyjaśnienie różnych sposobów konstruowania keyloggerów zawiera druga część artykułu (która zostanie opublikowana w niedalekiej przyszłości). Najpierw jednak warto przyjrzeć się danym statystycznym.

Poniższy diagram przedstawia przybliżony rozkład różnych typów keyloggerów: Ostatnio zwiększyła się liczba keyloggerów, które ukrywają swoje pliki, aby uniemożliwić wykrycie ich ręcznie lub za pomocą programu antywirusowego. Tego typu techniki ukrywania się nazywane są technologiami rootkit. Wyróżniamy dwie główne technologie rootkit wykorzystywane przez keyloggery:

• maskowanie w trybie użytkownika;
• maskowanie w trybie jądra.

Poniższy diagram pokazuje przybliżony rozkład technik wykorzystywanych przez keyloggery w celu maskowania swojej aktywności: