IA
кейлоггер это внедрение в систему
Size: a a a
2018 January 17
IA
исходя из двух концепций дистрибьюции
IA
1. доверительные источники и доверительные носители установки
YG
и как вычленить перехваты нажатия клавиш?*
IA
2. это не легитимные кейлоггеры (известные)
IA
получаем следующие два подхода
IA
а) искать спецсредствами, руткит детекторами и тд (нубское говно, которое на самом деле имеет низкий шанс срабатываения)
IA
б) делать расследование (трассировать процессы, отлаживать)
IA
сложность в том, что замастированный кейлоггер, уже внедренный в систему не использует никаких нелегальных механизмов
IA
он фактически работает одним из двух методов
YG
вот имеено, в этом вся боль расследования (
IA
а) перехватывает сигналы с устройств клавиатуры
IA
б) читает память
IM
мышкой печатай)
IA
проблема в том, что линукс не является операционной системой
YG
мышкой печатай)
умно... беру на вооружение
IA
это помойка говна, которая по сути довольно уникальна уже даже после установки, а тем более в процессе жизнедеятельности дистра оно еще обрастает гнильем всяким
IA
поэтому нет эталона с которым можно было бы сравнить систему, кроме стоковой конфигурации после установки
IA
в rhel/centos работа кейлоггеров практически невозможна без повышения привилегий, потому что при включенном selinux у любой программы извне нет контекстов безопасности
IA
в sles/sled есть механизм, который помогает отследить изменения на файловой системе, в том числе и подмену программ