[HaBo]

Keshali

Anzeige

Hallo erstmal,


habe mich dank Google über eure Hürde gekämpft und bin neugierig ob ich nun im Plantschbecken lande. :-))

Aber vielleicht finde ich hier ein paar kluge Köpfe die mir folgende Frage beantworten können.

Gibt es eine simple Möglichkeit mit der ich Keylogger auf meinen Rechner erkennen kann, und ich meine intern installierte, solche die Firmen ihren Mitarbeitern draufhauen.

Es geht um eine "Streitfrage", ich behaupte die gängige Free/Shareware wird von Ad-aware, Spybot, PestPatrol erkannt und auch entfernt, als Gegenargument wird mir gegeben, dass die wirklich guten Tools nicht auffindbar sind.
(Bitte unterscheidet von der Spyware die aus dem Net kommen, ich meine die Progs. die direkt am PC installiert werden).

Mein Argument ist das dies die wenigsten benutzen werden, weil teuer und nicht immer Anwenderfreundlich (im Sinne das die Daten die ausspioniert werden auch erstmal richtig gelesen werden müssen).

Also, nur für diejenigen die es ganz genau nehmen, ich weiß das ich Firmeninterne Keylogger nicht entfernen darf, und darum geht es auch nicht.

Mich würden nur Tipps interessieren wie bzw. ob ich denoch erkennen kann wenn sich so ein Prog. auf meinem Rechner befindet, auch wenn es sich verschlüsselt.
Einfach weil ich gerne ein bischen rechthaberisch gegenüber einen "Fachmann" sein möchte (na hoffentlich treibt der sich nicht auch hier rum).

Danke im Voraus
Keshali

Imrahil

Nein, du wirst kein solches tool finden...
Da ein Tool das deine Firma installiert wohl kaum ein x-beliebiges sein wird ist es wohl kaum in den Viren Datenbanken von Norton oder irgendeinem Anti-Spyware Programm.
Die Wirksamkeit dieser Programme halte ich sowieso für sehr gering.
Und die Erkennungsschemata mit denen unbekannte Viren und Spyware gefunden werden sollen sind bestenfalls unsicher, schlimmstenfalls schrott.
Und wenn das von jemandem gemacht wird der auf deinen PC zugriff hat, dann wirst du sowieso nichts finden, denn Windows ist nunmal ein OS bei dem derjenige mit mehr Rechten dem mit weniger Rechten auf die Finger tritt...
Imrahil

Keshali

Danke für die Antwort, habe mich wohl etwas verstrickt.
Das es für die guten Progs. keine Tools gibt war mir klar, ich meinte ob es andere Möglichkeiten gibt einen Keylogger auf meinen Rechner zu finden, z.B. mit einem "hijackthis".

Die Firmensoftware war ein fiktives Beispiel, um zu verdeutlichen das direkt installiert wurde, genausogut könnte auch Papa dem Söhnchen so ein Teil draufgehauen haben um ihn zu überwachen und vor schädlichen ;-) Einfluss zu bewahren, bzw. der eifersüchtige Ehemann seine Frau überwachen wollen.
D.h. es sollten keine Adminrechte auf dem Rechner vergeben sein.


Genauer gefragt, kann ich auf Protokollen o.ä. diese Programme entdecken, die verschlüsselt im Hintergrund arbeiten.

LG
keshali

SUID:root

Hallo Keshali und willkommen im HaBo.

Deine Frage ist eine verdammt gute Frage und ich gebe zu, diese nicht eindeutig beantworten zu können.
Kommerzielle Software wird normalerweise nicht von Anti-Spyware-Tools und Virenscannern erkannt, würde ich behaupten. Bei dieser Aussage handelt es sich um eine reine Vermutung, die ich dir aber gern anhand von Tests in den nächsten Tagen genauer beatnworten kann.
Grundsätzlich würde es natürlich gehen, solche Tools, sonfern sie nicht selbstgesrickt sind, zu erkennen.
Denn Signaturen lassen sich dafür auf alle Fälle anlegen.

Du hast da ein gutes Thema aufgegriffen, das ich gern weiterverfolgen werde.
Eine Aussage kann ich aber ganz sicher treffen:

Die Überwachung der Arbeitnehmer ist in Deutschland nur dann zulässig wenn diese öffentlich bekannt gemacht wurde und bestimmte Gesetzesvorgaben beachtet wurden. Bei gößeren Unternehmen ist dies auch erst nach Zustimmung durch den Betriebsrat zulässig.
Eine Überwachung ohne den Betroffenen einzuweihen ist in keinem Fall legal und hätte für den Arbeitgeber weitreichende Konsequenzen.

Das Gleiche gilt auch für die Überwachung durch Cams, Email-Überwachung, etc..

Um auf den Kern deiner Frage zurückzukommen:

Jede installierte Software lässt sich auch ausfindig machen da sie sich zwangsläufig, wenn auch in getarnter Form, auf der Festplatte befindet.
Das Gleiche gilt auch für den Prozess, der irgendwie ausgeführt werden muss und dann, möglichweise ebenfalls getarnt, im Taskmanagerläuft.

Möglicherweise hat er einen harmlosen Namen oder aber versteckt sich in einer anderen Anwendung.
Mit HiJackThis sind deine Chancen gar nicht so schlecht, den Prozess ausfindig zu machen.

Hast du eine konkrete Vermutung?

Gruss

root

The Dude

naja, also wenn mans ganz genau nimmt ist das vielleicht nicht unbedingt immer ganz sicher so. der taskmanager (und jede andere software) nutzt funktionen des betriebssystems (des kernels) um seine arbeit zu tun. wenn man die software auf einem computer beliebig manipulieren kann, kann man auch diese funktionen (sog. system calls, kurz syscalls) manipulieren.
wenn man seinem kernel nicht mehr vertrauen kann hat man verloren.
was man machen kann ist die festplatte in einen rechner einbauen von dem man sicher ist, dass das betriebssystem nicht kompromittiert ist und die platte da drin untersuchen.
um sicher zu sein, dass der rechner keinen ungewollten netzwerktraffic verursacht muss man ebenfalls einen vertrauenswuerdigen rechner ans netz klemmen und mit einem sniffer nachsehen.

ist moeglicherweise etwas inkonsitent was ich da geschrieben hab. zwischendurch noch irc und icq... bla

SUID:root

Hallo Dude,

Hui, jetzt wirds aber sehr theoretisch.
Was aber nicht meint, dass deine Aussage unwahr ist.

Allerdings wäre das extrem aufwendig und mir ist bis heute kein einziger Fall oder gar Software untergekommen, bei der sich deine Theorie bestätigt hätte.
Trotzdem ist es bestimmt mit genügend Aufwand machbar, die Software dann entprechend gut zu tarnen.

In Bezug auf den Taksmanager hast du da wohl Recht, doch bliebe die Software auf dem System und auf der Festplatte.

Letztendlich kann alles was auf einem System existiert, getarnt werden. Die Frage ist nur mit wie viel Aufwand dieses Ziel verfolgt wird.
Umgekehrt gilt aber das Gleiche: Alles was existiert, kann enttarnt werden.

Ich für meinen Teil verwende in solchen Fällen gelegentlich auch Live-CDs in Form von BartPE oder Knoppix.


Gruss

root

The Dude

ja, ist nicht unbedingt praxisrelevant. aber wenn man nur paranoid genug ist, dann ist irgendwann theorie = praxis. die openbsd leute sind von dieser denkweise jedenfalls nicht allzu weit entfernt.

ist natuerlich genauso gut. mein post erweckt den eindruck, dass man andere hardware braucht. wenn man ein anderes betriebssystem bootet hat das aber natuerlich den gleichen effekt.

das verbiegen von syscalls ist aber gar nicht mal sooo theoretisch. sog. "personal firewalls" machen das ja auch...

Keshali

Hey danke für die Resonance,


muß mich auch ein wenig um mein Kind, Hund etc. kümmern, daher habe ich gerade nicht soviel Zeit um ausführlicher zu schreiben.

Wie gesagt, ich gehe vom 0815-PC aus, es sind keine Adminrechte vergeben.

Nun habe ich den Verdacht das mein Papa oder wer auch immer mich überwacht, okay?
Was haltet ihr von der Möglichkeit, dass ich nun selbst einen Keylogger installiere um sozusagen die Spionage mit Gegenspionage "abzuwehren".
Ist mir nur noch heute Nacht eingefallen, wäre das eine Möglichkeit?

LG
Keshali

NeonZero

Wenn ein Rechner von jemandem untersucht wird, der sich mit Infiltrierungstechniken auskennt, dann schaut er sich zunächst nach verwendeten Systemhooks um. Im Fall eines Keyloggers sucht er also nach einem Hook im Tastaturpuffer. Es gibt viele Tools, um solche Hooks aufzuspüren und die dazu gehörenden Prozesse und Threads zu orten. Für den Anfang empfehle ich den Prozessexplorer von den sysinternals (das Teil ist sogar Freeware). Dieser Art der Suche funktioniert unabhängig vom verwendeten Keylogger und ist deshalb wesentlich effizienter als ein Malwarescan. Allerdings sollte man schon wissen, was ein (System-) Hook ist. Sonst hilft einem der Prozessexplorer wenig.

@ Dude & root
Denkt nicht so kompliziert. Um einen Prozess effizient zu verstecken, reicht es schon, die internen Features von XP zu nutzen. Hängt eure Routinen doch einfach als Thread in den svchost. ?Ne kleine dll, ein reg Eintrag, fertig.
Oder (auch immer wieder gerne genommen): Einen eigenen Prozess mit Systemrechten einbinden. Dann den Explorer der angemeldeten Kennung infiltrieren und dort einen eigenen Thread im Adressraum des Explorers starten (mit Systemrechten ist das kein Problem). Nun läuft eure eigene Routine im Kontext der angemeldeten Kennung, weil als Thread des Explorers (ohne Kennwortangabe oder sonstigen Schnickschnack). Alles was eure Routine macht, macht sie also im Namen des Anwenders. Und eurer eigener Prozess verhält sich dabei unauffällig, da er seine Arbeit bereits erledigt hat. Er könnte sich z.B. schon längst beendet haben oder eben einfach NICHTS tun, um auffällig zu werden. Und eure Routine läuft nicht als eigener Prozess, sondern versteckt innerhalb des Explorer-Prozesses (als Thread des Explorers). So, und nun setze Dich mal als Admin hin und suche den Übeltäter ?

Bye, nz

SUID:root

@NeonZero:

Genau das meinte ich in meinem ersten Beitrag. Damit bezog ich mich auf Injection-Methoden in der DLLs an eine vertraute Anwendung anheften. War aber vielleicht nur so ersichtlich.


In Bezug auf deine Injection-DLL:

Das ist nicht wirklich ein Problem. Ich muss nur sehen, welche Tasks welche Module/DLLs geladen haben.
Dazu vernwende ich beispielsweise "Prozess-Radar". Damit sehe ich explizit, welche Prozesse, welche DLLs nutzen und in welchem Verezichnis diese liegen.

Der Beitrag von The_Dude bezog sich hierbei auf die nahezu perfekte Tarnung, die genau das unmöglich machen soll. Mit genügend Aufwand wäre das auch sicher kein Problem. Allerdings gibt es eben auch dort die Möglichkeit, mit separater Software, in diesem Fall BartPE das System zu durchleuchten. Womit wir wieder am Anfang wären: Alles was auf einem System existiert, kann auch gefunden werden. Die Frage ist nur, wie intensiv man suchen muss.

Und wie du schreibst, gibt es genügend Programme für Forensic, mit denen man noch tiefer ins System gehen kann weil sie speziell für diese Tätigkeit ausgelegt sind.

Aber bevor das jetzt hier zu sehr vom Kern der Frage abkommen:

Keshali:

Die Idee ist nich die beste. Denn wenn der PC jetzt bereits überwacht wird, dann würde die entsprechende Person dein Vorgehen aufzeichnen. Damit ist dir nicht geholfen.
Wenn du keine Adminrechte hast, wird es sowieso schwer, den Logger zu installieren, da Zugriffe auf die Registry unterbunden sind und eine Installation fehlschlagen würde.

In diesem Fall wäre es zunächst hilfreich, mal mit HiJackThis und ggf. ProzessRadar mal das System genauer unter die Luoe zu nehmen. Beide Programme laufen ohne Installation.
Normalerweise wäre auch ein Blick in bestimmte Systemdateien und die Registry angebracht, doch das dürfte sich aufgrund der eingeschränkten Rechte schwiergi gestalten.

Prozess-Radar findest du unter www.delphi-soft.de und ist Freeware.
HiJackThis findest du beispielsweise bei www.chip.de

Mit beiden Programmen habe ich bisher alle Malware/Spyware entfernen können. Allerdings wirst du ggf nur feststellen könne, ob du überwacht wirst, nicht aber alles unterbinden können. Denn auch hier wären mehr Rechte von Vorteil.

Was ich aber nicht ganz verstehe:

So wie su schreibst, bist du ja kein Kind mehr (selbst Hund und Kind), wirst aber noch von deinem Vater überwacht und nutzt einen Rechner der keine Admin-Rechte hat?
Wie passt das denn zusammen?
Und wenn du wirklich überwacht wirst, wird dein Vater das hier alles mitlesen und kann rechtzeitig entsprechende Massnahmen einleiten, damit du niemals fündig wirst.
Das ist dir aber schon bewusst?

Viele Grüsse

root

Keshali

Hallo root,

Also, zur Erklärung: Ich habe fiktive Beispiele gewählt um zu verdeutlichen, dass der Logger nicht von irgendwo übers Netz auf den Rechner gekommen ist.
Und da die meiste Free-Ware mit dem Papa/Sohn Beispiel für ihr Produkt/ihre Software wirbt habe ich es zur Erklärung herangezogen.
Es geht um eine Diskussion in einem anderen Forum, die Frau hat sich verabschiedet weil sie erfahren hat, dass ihr Rechner überwacht wird vom Mann.
Daraufhin war ein Threat wie man sich dagegen schützen kann, später kam es dann rauß das diese Frau in der Firma ihres Mannes arbeitet, und dort der Keylogger installiert ist.
Da ich mich schon ein bischen "schlau" gemacht habe, konnte ich ihr schon sagen das sie den Logger aufgrund dieses Umstandes nicht entfernen darf, weil sie ja informiert wurde.
So, meine persönliche Meinung ist ja, dass die Ehe schon ziemlich den Bach runter ist, wenn man zu solchen Mitteln greift, aber das geht vom Thema weg.

Wie es dann halt so ist, fragen sich daraufhin mehrere wie man sich gegen diese Übergriffe schützen kann, daraufhin schaltete sich ein "Spezialist" ein der meine bisherigen (zugegeben Möchtegern-) Ratschläge als Blödsinn abgetan hat (Deframentierung laufen lassen, die springt ab wenn ein Programm im Hintergrund läuft etc.).

Dieses weckte einfach meinen Ehrgeiz.....ist das verständlicher?

Noch ein Mißverständniss, ich meinte mit "keine Adminrechte" vergeben,.....dass der betroffene PC diese Maßnahme nicht benutzt (der Rechner steht jedem zur Verfügung, beim Normalo-Anwender wird denke ich selten der Admindienst eingerichtet)....ist vielleicht blöd ausgedrückt von mir, doch ich meinte nicht: "Ich habe keine Adminrechte", ...sorry für Verwirrung :-))).


Nächster Punkt, meine Idee als Maßnahme selbst einen Keylogger zu installieren basierte eher auf dem Gedanken dass beide Programme dann nicht kompatibel miteinander sind und sich so gegenseitig verraten könnten,....oder wenn ich zufälligerweise die gleiche Software erwische, eine Meldung kommt, dass das System schon läuft.
Ich versuche einfach simple Lösungen zu finden, es kann ja sein das die Programmierer die Möglichkeit übersehen haben, dass mehrere Keylogger installiert sein könnten.
Aber sagt ruhig wenn das Blödsinn ist, vielleicht noch mit einer Erklärung dazu, da ich gerne ein wenig schlauer aus der Geschichte rauskommen möchte. ;-)


Zum restlichen geschriebenen, habt Dank alle miteinander, Wikipedia begrüßt mich zwar schon als Stammgast, da ich sonst nicht mal 50% verstehe von euren Antworten, aber darum bin ich ja hier.

Und es hat auch den Vorteil, dass ich Google besser nutzen kann, mit dem Wort "Keylooger" spukt es doch nur die Sites aus, die Freeware sind.

Mit Tastaturpuffer und Hook als Eingabe komme ich schon auf die Seiten, die die Funktionsweise von Keyloggern erklären.

:-)))

LG
Keshali

NeonZero

@root

Dem ersten Satz stimme ich voll zu. Zum zweiten Satz möchte ich anmerken, dass der Erfolg nicht nur von der Intensität der Suche abhängt, sondern auch vom Wissen des Suchenden über das System und die verwendete Software. DAS ist ein riesiges Problem. Oder anders formuliert: Wie viele Menschen kennst Du, die wirklich in der Lage sind, ein Tool eines erfahrenen leets zu finden, der es ernsthaft darauf abgesehen hat, dass eben niemand das Tool findet? Die Möglichkeiten, die sich ihm bieten, sind einfach zu komplex.

Zum Thema:
@ Keshali

Wie sollten sie das können? Ein zweiter Keylogger wird nicht verraten, dass da noch ein anderer Keylogger mitlauscht (vorausgesetzt die Keylogger sind nicht buggy programmiert und reichen die Events korrekt weiter, sonst könnte es durchaus zu den von Dir vermuteten Fehler kommen ? aber das ist sehr unwahrscheinlich).

Es gibt Tools, welche testen, ob ein Keylogger im System installiert wurde. Sie kontrollieren die Systemhooks und die Integrität der Device- und Filtertreiber der Tastatur (Kernel-Keylogger). Zumindest sollten sie das. ?Keylogger Hunter? glaube ich macht das so (das weiß ich jetzt aber nicht genau und ich habe das nie getestet!). Bei der Suche eines solchen Tools solltest Du aber darauf achten, dass das Tool nicht einfach nur nach bekannten Keyloggern scant, sondern auch das System entsprechend analysiert.

@All: Kennt jemand von euch ein gutes Produkt, was das Aufspüren von Keyloggern per hook-fishing (+driverscan) noob-kompatibel macht?

Bye, nz

SUID:root

Natürlich. Es ist verständlich und lobenswert.

Hat NeonZero schon gut erklärt. Stimme ich uneingeschränkt zu. Software kann in x Instanzen nebeneinander laufen.

Es ist noch kein Meister vom Himmel gefallen. Deine Fragen sind absolut begründet. Wenn du etwas nicht verstehst, dann frage bitte. Hier wird dir das niemand übel nehmen -> Supportboard
Um weiter auf deine Frage einzugehen was "solche Übergriffe" angeht:

Wenn man an einen System arbeitet, das einem nicht gehört, bei dem man möglicherweise auch keine Adminrechte hat, sollte man immer vom Schlimmsten ausgehen und denken, das System sei bereits kompromitiert.
Mit anderen Worten: Immer äußerste Vorsicht bei fremden Systemen.

Beim eigenen System kann durch bestimmte Verhaltensweisen und Schutzmechanismen das Risiko reduzieren.


@NeonZero:

Antwort: Einige wenige, die das beruflich machen. Alle anderen finden es nicht. Stimmt. Nur suchen die auch gar nicht danach, weil sie nicht einmal merken, dass da was im Hintergrund läuft. Denn da beißt sich die Katze in den Schwanz.
Merke ich was oder habe ich einen Verdacht, finde ich es auch. Merke ich nichts, suche ich auch nicht.
Mit "ich" meine ich den Otto-Normal-User.

Leider nein. Aber wäre mal interessant, eine Recherche zu starten.

Keshali

Morgen,


mit den "neuen" Wörtern die ihr mir jetzt "ausgespuckt" habt, findet Google die interessantesten Seiten wieder hier am Habo, also was sagt euch das. ;-)

Keshali

PS. Neben dem Umstand das ich die "Suchen"- Funktion zu wenig genutzt habe. :-)))

SUID:root

Wir sind allwissende Halbgötter?
Na, das wussten wir schon die ganze Zeit

Nein, mal ersnthaft. Das HaBo ist mittlerweile eine wirklich große Datenbank mit Unmengen an nützlichen Informationen. Und über die Suche findest du wirklich sehr sehr viele brauchbare Informationen.
Ich denke, du findest hier schon ein sehr gutes und fundiertes Wissen, in das du dich die nächsten Tage mal einlesen solltest, wenn es deinen Ehrgeiz geweckt hat.

Grüsse

root