Keylogger – Wikipedia Tiếng Việt

Keylogger phần mềm

Keylogger dựa trên phần mềm là chương trình máy tính được thiết kế để ghi lại mọi thông tin nhập từ bàn phím.[15] Keylogger được sử dụng trong các tổ chức CNTT để khắc phục sự cố kỹ thuật với máy tính và mạng doanh nghiệp. Gia đình và doanh nhân sử dụng keylogger hợp pháp để theo dõi việc sử dụng mạng mà không cần người dùng biết trực tiếp. Microsoft đã công khai tuyên bố rằng Windows 10 có keylogger tích hợp trong phiên bản cuối cùng "để cải thiện dịch vụ nhập và viết".[16] Tuy nhiên, những cá nhân có ý đồ xấu có thể sử dụng keylogger trên máy tính công cộng để đánh cắp mật khẩu hoặc thông tin thẻ tín dụng. Hầu hết các keylogger không bị chặn bởi mã hóa HTTPS vì điều đó chỉ bảo vệ dữ liệu khi truyền giữa các máy tính; keylogger phần mềm chạy trên máy tính của người dùng bị ảnh hưởng, đọc trực tiếp dữ liệu nhập từ bàn phím khi người dùng nhập.

Theo góc độ kỹ thuật, có một số loại:

• Dựa trên trình quản lý ảo: Về mặt lý thuyết, trình ghi phím có thể nằm trong trình quản lý ảo phần mềm độc hại chạy bên dưới hệ điều hành, do đó vẫn không bị ảnh hưởng. Về cơ bản, nó trở thành một máy ảo. Blue Pill là một ví dụ về khái niệm.
• Dựa trên hạt nhân: Một chương trình trên máy có được quyền truy cập root để ẩn trong hệ điều hành và chặn các lần nhấn phím đi qua hạt nhân. Phương pháp này khó viết và khó chống lại. Các keylogger như vậy nằm ở cấp hạt nhân, khiến chúng khó bị phát hiện, đặc biệt là đối với các ứng dụng chế độ người dùng không có quyền truy cập root. Chúng thường được triển khai dưới dạng rootkit để phá hoại hạt nhân hệ điều hành để có được quyền truy cập trái phép vào phần cứng. Điều này làm cho chúng trở nên rất mạnh mẽ. Ví dụ, một trình ghi phím sử dụng phương pháp này có thể hoạt động như một trình điều khiển thiết bị bàn phím và do đó có thể truy cập vào bất kỳ thông tin nào được nhập trên bàn phím khi thông tin đó đi đến hệ điều hành.
• Dựa trên API: Các keylogger này ghim các API bàn phím vào bên trong một ứng dụng đang chạy. Keylogger ghi lại các sự kiện gõ phím như thể đó là một phần bình thường của ứng dụng chứ không phải là phần mềm độc hại. Keylogger nhận được một sự kiện mỗi khi người dùng nhấn hoặc nhả phím. Keylogger chỉ ghi lại sự kiện đó.
  • Các API Windows như GetAsyncKeyState(), GetForegroundWindow(), v.v. được sử dụng để thăm dò trạng thái của bàn phím hoặc để đăng ký các sự kiện bàn phím.[17] Một ví dụ gần đây hơn chỉ đơn giản là thăm dò BIOS để tìm mã PIN xác thực trước khi khởi động chưa được xóa khỏi bộ nhớ.[18]
• Dựa trên Form grabbing: Keylogger dựa trên Form grabbing ghi lại các lần gửi biểu mẫu Web bằng cách ghi lại dữ liệu biểu mẫu trên các sự kiện gửi. Điều này xảy ra khi người dùng hoàn thành biểu mẫu và gửi, thường là bằng cách nhấp vào nút hoặc nhấn enter. Loại keylogger này ghi lại dữ liệu biểu mẫu trước khi dữ liệu được truyền qua Internet.
• Dựa trên JavaScript: Một thẻ script độc hại được đưa vào trang web mục tiêu và lắng nghe các sự kiện chính như onKeyUp(). Các script có thể được đưa vào thông qua nhiều phương pháp khác nhau, bao gồm cả cross-site scripting, man-in-the-browser, man-in-the-middle, hoặc xâm nhập trang web từ xa.[19]
• Dựa trên Memory-injection: Các keylogger dựa trên Memory Injection (MitB) thực hiện chức năng ghi nhật ký của chúng bằng cách thay đổi các bảng bộ nhớ được liên kết với trình duyệt và các chức năng hệ thống khác. Bằng cách vá các bảng bộ nhớ hoặc tiêm trực tiếp vào bộ nhớ, kỹ thuật này có thể được tác giả phần mềm độc hại sử dụng để vượt qua UAC (Kiểm soát tài khoản người dùng) của Windows. Trojan Zeus và SpyEye chỉ sử dụng phương pháp này.[20] Các hệ thống không phải Windows có cơ chế bảo vệ cho phép truy cập vào dữ liệu được ghi cục bộ từ một vị trí từ xa.[21] Có thể đạt được giao tiếp từ xa khi sử dụng một trong các phương pháp sau::
  • Dữ liệu được tải lên trang web, cơ sở dữ liệu hoặc máy chủ FTP.
  • Dữ liệu được gửi qua email định kỳ đến một địa chỉ email được xác định trước.
  • Dữ liệu được truyền không dây bằng hệ thống phần cứng được đính kèm.
  • Phần mềm cho phép đăng nhập từ xa vào máy cục bộ từ Internet hoặc mạng cục bộ để lưu trữ nhật ký dữ liệu trên máy mục tiêu.