Size: a a a

2018 January 17

IA

Ilyas Arinov in Sys-Admin Help
кейлоггер это внедрение в систему
источник

IA

Ilyas Arinov in Sys-Admin Help
исходя из двух концепций дистрибьюции
источник

IA

Ilyas Arinov in Sys-Admin Help
1. доверительные источники и доверительные носители установки
источник

YG

Yevgeniy Goncharov in Sys-Admin Help
и как вычленить перехваты нажатия клавиш?*
источник

IA

Ilyas Arinov in Sys-Admin Help
2. это не легитимные кейлоггеры (известные)
источник

IA

Ilyas Arinov in Sys-Admin Help
получаем следующие два подхода
источник

IA

Ilyas Arinov in Sys-Admin Help
а) искать спецсредствами, руткит детекторами и тд (нубское говно, которое на самом деле имеет низкий шанс срабатываения)
источник

IA

Ilyas Arinov in Sys-Admin Help
б) делать расследование (трассировать процессы, отлаживать)
источник

IA

Ilyas Arinov in Sys-Admin Help
сложность в том, что замастированный кейлоггер, уже внедренный в систему не использует никаких нелегальных механизмов
источник

IA

Ilyas Arinov in Sys-Admin Help
он фактически работает одним из двух методов
источник

YG

Yevgeniy Goncharov in Sys-Admin Help
вот имеено, в этом вся боль расследования (
источник

IA

Ilyas Arinov in Sys-Admin Help
а) перехватывает сигналы с устройств клавиатуры
источник

IA

Ilyas Arinov in Sys-Admin Help
б) читает память
источник

IM

Ilyas M in Sys-Admin Help
мышкой печатай)
источник

IA

Ilyas Arinov in Sys-Admin Help
проблема в том, что линукс не является операционной системой
источник

YG

Yevgeniy Goncharov in Sys-Admin Help
Ilyas M
мышкой печатай)
умно... беру на вооружение
источник

IA

Ilyas Arinov in Sys-Admin Help
это помойка говна, которая по сути довольно уникальна уже даже после установки, а тем более в процессе жизнедеятельности дистра оно еще обрастает гнильем всяким
источник

IA

Ilyas Arinov in Sys-Admin Help
поэтому нет эталона с которым можно было бы сравнить систему, кроме стоковой конфигурации после установки
источник

IA

Ilyas Arinov in Sys-Admin Help
в rhel/centos работа кейлоггеров практически невозможна без повышения привилегий, потому что при включенном selinux у любой программы извне нет контекстов безопасности
источник

IA

Ilyas Arinov in Sys-Admin Help
в sles/sled есть механизм, который помогает отследить изменения на файловой системе, в том числе и подмену программ
источник