کی لاگر (Keylogger) چیست و چگونه آن را در کامپیوتر پیدا کنیم؟

کی لاگر یک دستگاه نرم افزاری یا سخت افزاری است که تمام فعالیت های کاربری که در حال کار با کامپیوتر است را ثبت و ضبط می کند.

آیا تاکنون در مورد سرقت های بانکی آنلاین که از برنامه ای به نام کی لاگر (keyloggers) استفاده می شود چیزی به گوشتان خورده است؟ تاکنون کنجکاو شده اید درباره آن ها بدانید که چگونه به یک سیستم نفوذ می کنند و اطلاعات آن را پاک می کنند؟ تا حالا فکر کرده اید که چطور رمز عبور یا نام کاربری از وب سایت های به ظاهر امن دزیده می شوند؟ آیا می دانید که صفحه کلیدهای مختلف قادر هستند سبک نوشتن شما را یاد بگیرند و کلمه هایی که ممکن است بعدا استفاده کنید را پیش بینی کنند؟ تمام این سرقت های مخفیانه توسط ضبط کلیدهای روی کیبوردتان صورت می گیرد که روش شناخته شده به نام «keylogging» است.

در این مقاله قصد داریم به طور دقیق تر به جزئیات کی لاگرها بپردازیم و اینکه چگونه کار و به سیستم شما دسترسی پیدا می کنند.

 

کی لاگر چیست و چه وظایفی دارد؟

کی لاگر یا keystroke logging یک نرم افزار یا ابزار سخت افزاری است که با ضبط کلیدهای فشرده شده کیبورد هر عملی را کامپیوتر انجام می دهد در حافظه ذخیره می کند. کی لاگین (keylogging) با هدف دستبرد زدن به اطلاعات شخصی شما مانند، جزئیات کارت اعتباری، گواهی های حساب بانکی، گذرواژه ها، نام کاربری و دیگر اطلاعات خصوصی ایجاد شده است. تاکنون بانک های زیادی در دنیا مورد حمله این نرم افزار قرار گرفته اند به عنوان مثال در یک کلاهبرداری آنلاین بانک Nordea در سال 2007 1.1 میلیون دلار از دست داد. در این سرقت هکرها از کی لاگر برای سرقت اعتبارات کاربران استفاده کردند.

کی لاگر به عنوان یک وسیله سخت افزاری یک وسیله اتصال کوچک است که نقش واسط بین کیبورد و کامپیوتر عمل می کند. با شروع عملیات تایپ توسط کاربر، کی لاگر هر کاراکتر تایپ شده را جمع آوری می کند و به صورت متن در حافظه خود ذخیره می کند.

کی لاگرها همچنین برنامه های قانونی متنوعی دارند. آنها برای تشخیص میانبرهای کیبورد یا (hot key) استفاده می شوند. والدین می توانند با کی لاگرها  فعالیت های اینترنتی کودکان خود را نظارت کنند همچنین سازمان های اجرا قانون از کی لاگرها می توانند برای اهداف نظارتی استفاده کنند و به تجزیه و تحلیل و ردیابی رایانه های شخصی در جرایم بپردازند.

 

کی لاگرها چند نوع هستند؟

کی لاگرهای می توانند دو نوع مبتنی بر سخت افزار و نرم افزار باشند. مدل هایی مبتنی بر نرم افزار برنامه هایی هستند که با نرم افزارهای کامپیوتری هدف کار می کنند. چندین نوع کی لاگر وجود دارند که روش های مختلفی را برای ضبط کلیدهایی که توسط کاربر فشرده می شوند را بکار می برند.

برخی کی لاگرها به گونه ای طراحی شده اند که ورودی ها را در قالب های مبتنی بر وب دریافت و ضبط می کنند، به محض اینکه دکمه ارسال فشرده شود، کی لاگرها اطلاعات را قبل از اینکه مقادیر به اینترنت انتقال یابند می گیرند.

دسته دیگری از کی لاگر در سیستم عامل توسط دستیابی به دسترسی ریشه پنهان می شوند.

کی لاگرهایی که مبتنی بر جاوا اسکریپت هستند یک تگ اسکریپت را با کد مخربی به داخل صفحه وب تزریق می کنند و به رویدادهای صفحه کلید گوش می دهند و ورودی ها را ضبط می کنند.

کی لاگرهای سخت افزاری به هیچ نرم افزاری متکی نیستند و در سطح سخت افزاری کامپیوتر وجود دارند. این کی لاگرهای می توانند به طور فیزیکی به کیبورد به صورت یک جریان سخت افزاری اضافه شوند و همچنین به عنوان فریمور سطح BIOS اجرا شوند.

 

بررسی و حذف کی لاگرها از کامپیوتر

از آنجایی که کی لاگرها دارای کاربردهای قانونی و همچنین غیرقانونی هستند همیشه باید آگاه باشید که چگونه می شود آنها پیدا و حذف کرد. برخی کی لاگرها بسیار پیچیده هستند و از روش های پیچیده ای استفاده می کنند تا به عنوان اجرای فرآیندهای قانونی در پس زمینه پنهان شوند. در ادامه با چند روش برای بررسی و حذف کی لاگرها آشنا می شوید که بسیار به دردتان می خورد.

 

آنالیز فرآیند Winlogon.exe با استفاده از Task Manager

Winlogon.exe یک جزء حیاتی سیستم عامل های ویندوز است. به فرآیندی گفته می شود که بارگذاری پروفایل کاربر را هنگام ورود کنترل می کند. این فایل اجرایی همچنین ترکیب کلیدی (SAS) را قادر است کنترل کند. این ترکیب کلیدی شامل (CTRL+ALT+DELETE) است که باید در نسخه های قدیمی تر ویندوز قبل از ورود فشرده شوند. این فرآیند به شما اطمینان می دهد که وارد یک دسکتاپ امن شده اید و هیچ برنامه دیگری با جعل هویت دیالوگ ورودی یا نظارت بر رمز عبوری که تایپ می کنید وجود ندارد.

گفتنی است، ویندوز ویستا و نسخه های جدیدتر نقش این فرآیند را به کلی تغییر داده اند. در این نسخه ها باید ترکیب کلیدی (CTRL+SHIFT+ESC) را فشار دهید.

این فرایند اغلب در طول حمله های امنیتی که عملکرد آن تغییر می کند مورد هدف قرار می گیرد و کاربرد حافظه را افزایش می دهد و به عنوان یک نشانه که فرآیند در حال سازش است بکار می رود. اگر دو یا بیشتر از دوتا فرآیند تکراری Winlogon.exe وجود داشته باشد، یکی از فرآیندها ممکن است عملکرد می لاگر باشد و مدیریت وظیفه می تواند در پایان فرآیند استفاده شود. این کار را می توانید با فشردن ترکیب کلیدی (CTRL+SHIFT+ESC) در ویندوزهای 7،8 و 10 برای آوردن task manager انجام دهید. تب Processes را انتخاب کنید. اگر دو یا بیشتر از دوتا نمونه فرآیند Winlogon.exe  یافتید،  بر روی فرآیند که تکرار شده کلیک کنید و گزینه End Process را فشار دهید و آنها را برای همیشه ببندید.

 

به سراغ برنامه های نصب شده بروید

اگر هکری بی دقت باشد و کی لاگر را مخفی نگه ندارد، می توان آنها را در لیست برنامه های نصب شده پیدا کرد. می توانید بر روی Start کلیک کنید و به Control Panel بروید. از آنجا Programs and Feature یا Uninstall a Program را انتخاب کنید. برای شما لیستی از برنامه ها و نرم افزارهایی که بر روی دستگاه شما نصب شده اند نشان خواهد داد. لیست را برای هر برنامه ای که نصب نکرده اید بررسی کنید. اگر هر گونه برنامه مخرب یا ناشناسی را پیدا کردید روی آن کلیک راست کنید و سپس Uninstall را انتخاب کنید.

 

نرم افزار های ضد کی لاگر

چندین نرم افزار موجودند که برای اسکن گرفتن از کی لاگرها در سیستم طراحی شده اند. این نرم افزارها موثرتر از برنامه های آنتی ویروس کلی عمل می کنند زیرا آنها به گونه ای طراحی شده اند تا کی لاگر ها را پیدا کنند. این نرم افزارها معمولا همه فایل ها را در کامپیوترتان در مقابل یک پایگاه داده از کی لاگرها مقایسه می کنند. هر گونه رفتار مشابه ای که با مقایسه کشف شود ممکن است از وجود یک کی لاگر خبر دهد. اگر کی لاگر خیلی پیچیده است در این موقع آنتی کی لاگر می تواند آن را به خوبی تشخیص دهد. آنتی کی لاگرها اغلب در کامپیوترهای عمومی به منظور حفظ ایمنی کاربران مورد استفاده قرار می گیرند. این گونه کامپیوترها بسیار نسبت به چنین نرم افزارهایی حساس هستند از این رو باید به طور منظم از آنتی کی لاگرها استفاده شود.

 

برنامه های ضدجاسوسی و آنتی ویروس

بسیاری از این برنامه ها شروع به اضافه کردن کی لاگرهای شناخته شده با دیتابیس خود می کنند و باید مطمئن باشید که دیتابیس شما همیشه به روزرسانی می شود. این برنامه ها ممکن است قادر باشند که کی لاگرهایی را که براساس نرم افزار هستند را بررسی، پاک، غیرفعال یا قرنطینه کنند. برنامه های آنتی ویروس با مجوزها و امتیازات کمتر قادر نخواهند بود کی لاگرهایی با امتیازات بالاتر را پیدا کنند.

 

چگونه از سیستم در برابر کی لاگرها محافظت کنیم؟

اکنون که با نحوه پیدا کردن کی لاگرها و از بین بردن آنها آشنا شدید، حال باید سیستم خود را در برابر گروهی از کی لاگرها محافظت کنید. در ادامه روش های مفیدی را برایتان بازگو می کنیم که که انجام آنها باعث می شود از خود در برابر کی لاگرها محافظت کنید.

 

رمز عبور یک بار مصرف و قابلیت Two-step Authorization

رمز عبور یک بار مصرف می تواند راه حل بسیار موثری باشد زیرا رمز عبور به محض اینکه استفاده نامعتبر می شود. بنابراین با این روش می توانید به خوبی اطلاعات خصوصی خود محافظت کنید.

احراز هویت دو مرحله یا (Two-step authentication) هم یکی دیگر از روش های مفید برای جلوگیری از نفوذ کی لاگرها است. فرآیند احراز هویت دو مرحله ای کاربر را وادار به ورود اعتبارنامه خود می کند. بعد آنها کد یا رمزعبوری از طریق پیامک یا ایمیل دریافت می کنند. پس از آن کاربر باید کد را وارد کند. از آنجایی که کد یا پسورد پس از یک بار استفاده نامعتبر می شود. این روش همانند روش رمز عبور یک بار مصرف از اطلاعات حساس شما محافظت می کند. این روش در مواقعی که هکر از راه دور سیستم شما را کنترل می کند بسیار کارساز است.

 

برنامه تکمیل خودکار فرم

برای محافظت سیستم در برابر کی لاگرها می توانید اطلاعات خود را بدون نیاز به تایپ داده ها به طور خودکار پر کنید. در این صورت کی لاگر قادر به تشخیص اطلاعات نخواهد داشت. هرچند هر کسی با دسترسی فیزیکی به دستگاه شما می تواند نرم افزاری برای ضبط اطلاعاتتان از هر جایی نصب کند. اطلاعات می توانند از سیستم عامل یا هنگام انتقال در شبکه ضبط شوند.

 

کیبورد مجازی (On-screen Keyboards)

این روش بسیار رایج نیست. On-screen Keyboards می توانند برای محافظت سیستم از کی لاگرهایی که از طریق کیبورد فیزیکی وارد می شوند مفید باشند. هر چند برخی کی لاگرها هستند که قادرند از صفحه نمایش شما هنگامی که اطاعات را وارد می کنید عکس بگیرند. صفحه کلیدهای مجازی به گونه یک ابزار قابل دسترس طراحی شده اند نه برای محافظت در برابر تهدیدات سایبری.

 

تشخیص گفتار

به جای تایپ کردن اطلاعات، می توانید از گفتار برای نرم گفتگوی متنی و گفتن اطلاعات استفاده کنید. کی لاگرها هیچ اطلاعاتی زمانی که شما تایپ نمی کنید یا با موس روی بخش خاصی کلیک نمی کنید دریافت نمی کنند. نقطه ضعف این روش این است که نرم افزار می تواند صدای تشخیص داده شده را به سیستم ارسال کند در این صورت اگر این روش ناامن باشد داده ها می توانند دریافت شوند.

 

مانیتورینگ شبکه (Network Monitors)

مانیتور های شبکه هر زمان که یک برنامه تلاش می کند یک اتصال شبکه ایجاد کند هشدار می دهند. این هشدار می تواند به شما یک شانس برای شناسایی حقانیت درخواست اتصال با برنامه را بدهد و از جلو هرگونه کی لاگری را بگیرد.

 

1 دیدگاه دربارهٔ «کی لاگر (Keylogger) چیست و چگونه آن را در کامپیوتر پیدا کنیم؟;

دیدگاهتان را بنویسید