محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی 6 نوع کیلاگر که باید بشناسید : انواع Keylogger نرم افزاری

خوب قبلا در مورد ماهیت Keylogger و همچنین نحوه عملکرد انواع آن صحبت کرده ایم و در عین حال در خصوص Keylogger های سخت افزاری مختلف نیز مطالبی در وب سایت ITPRO قرار داده ایم اما جالب است بدانید که تنوع در بین Keylogger های نرم افزاری بعضا بیشتر از Keylogger های سخت افزاری است و آنها حداقل شش دسته بندی دارند و به مراتب امکان نصب و کنترل از راه دور بهتری را در اختیار هکرها قرار می دهند که در این مطلب به معرفی تک تک آنها می پردازیم ، هر چند تعاریف ما کلی است اما به شما در این خصوص قطعا دید خوبی می دهد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

نوع اول : Application Keyloggers

وقتی صحبت از Application می شود یعنی برنامه ای که برای خودش رابط کاربری قابل لمس داشته باشد و قطعا Application Keylogger ها نیز نوعی Keylogger هستند که در لایه هفتم از مدل OSI و در عین حال دارای یک رابط گرافیکی برای ارتباط با هکر هستند. این نوع Keylogger به هکر اجازه می دهند که تقریبا هر چیزی که توسط کیبورد تایپ می شود را ثبت و ضبط و ارسال کند ، از جمله آنها می توانیم به محتویات ایمیل ها ، چت ها ، پسوردها و نام های کاربری ، محتویات فایل ها و همچنین محتویات سایر Application های مورد استفاده توسط کاربر اشاره کنیم. با استفاده از این نوع Keylogger ها شما می توانید حتی فعالیت های اینترنتی کاربر را نیز بصورت کامل نظارت و مانیتور کنید . این نوع Keylogger اساسا بسیار مخفی است و همه چیز در همه جای شبکه شما را ثبت و ضبط و برای مهاجم یا مدیر ناظر سازمان ارسال می کند.

نوع دوم : Kernel Keyloggers

وقتی صحبت از Kernel یا هسته سیستم عامل می شود ، در واقع در خصوص لایه خاصی از برنامه نویسی صحبت می کنیم که اصلا ساده و آسان نیست و به همین دلیل به ندرت این نوع Keylogger ها مورد استفاده قرار می گیرند زیرا بسیار نوشتن این نوع بدافزار سخت و دشوار است و سطح بالایی از درک برنامه نویسی را می طلبد. از لحاظ حساسیت نیز این نوع Keylogger ها حساس ترین نوع هستند زیرا با داشتن کوچکترین مشکلی می توانند باعث شوند که سیستم عامل شما Crash کند . اما از لخاظ امنیتی شناسایی این نوع Keyloger ها تقریبا برای لایه کاربری و نرم افزارهای آنتی ویروسی که در لایه کاربری فعالیت می کنند تقریبا غیرممکن است . این نوع Keylogger ها معمولا برای قرارگیری در Kernel سیستم عامل ها خودشان را به عنوان یک درایور کیبورد ( Keyboard Driver ) به سیستم عامل معرفی می کنند و در نتیجه هر چیزی که در کیبورد سیست مورد نظر تایپ شود در اختیار مهاجم قرار خواهد گرفت.

نوع سوم : Rootkit Keylogger ها

این نوع Keylogger ها که با همان مفهوم بدافزار Rootkit شناخته می شوند در واقع یک درایور جعلی دستگاه به سیستم عامل معرفی می کنند که تمامی فعالیت های کیبورد را ثبت کند. با توجه به اینکه این نوع Keylogger با استفاده از مکانیزم Rootkit فعالیت می کند شناسایی آن بسیار بسیار سخت است و توسط ابزارهای ساده شناسایی بدافزار شناسایی نمی شوند. در واقع همه فاکتورهایی که در بدافزارهایی از جنس Rootkit وجود دارد در این نوع Keylogger هم وجود دارد.

نوع چهارم : Device Driver Keylogger

این نوع Keylogger ها رسما خودشان را به جای درایور اصلی سخت افزار کیبورد شما معرفی می کنند و جایگزین می شوند. در حقیقت آنها قسمت ثبت و ضبط و ارسال اطلاعات خودشان را با قسمت ورودی و خروجی یا I//O کیبورد شما جایگزین می کنند. تمامی کلیدهای فشرده شده بر روی کیبورد در یک فایل مخفی log برداری شده و بعدا از طریق دسترسی به اینترنت برای مهاجم ارسال می شود. حتی فایل لاگی که این نوع کیلاگر درست می کند نیز آنقدر خوب مخفی می شود که توسط مکانیزم های ساده نمایش فایل های مخفی و سیستم قابل دیدن نیست و به همین دلیل براحتی برای مهاجم بدون دیده شده ارسال می شود.

نوع پنجم : Hyper-Visor Based Keyloggers

این نوع Keylogger ها از نظر من بسیار جالب هستند ، آنها مستقیما بر روی سیستم عامل یا سیستم نصب نمی شوند بلکه به نرم افزار مجازی ساز یا Hypervisor ای که لایه واسط بین سیستم و سیستم عامل های مجازی هستند نصب و اجرا می شوند و بنابراین با ضدبدافزارهای تحت سیستم عامل اصلا تعاملی ندارند که شناسایی بشوند !! آنها راحتی کلیه فعالیت های ماشین های مجازی موجود بر روی Hypervisor را ثبت و ضبط و برای مهاجم ارسال می کنند. جالب است بدانید که برخی از تولید کنندگان آنتی ویروس در دنیا به همین دلیل ضدبدافزارهایی در لایه Hypervisor ارائه کرده اند.

نوع ششم : FormGrabber Based Keylogger

این نوع Keylogger ها در جایی نصب نمی شوند بلکه آنها یک صفحه وب هستند که دارای فرم های متنوعی بر اساس فعالیت شما هستند ، ممکن است فرمی شبیه به صفحه لاگین بانک شما باشد یا پرداخت الکترونیک و ... بعد از اینکه این فرم برای کاربر باز شود ، کاربر اطلاعات مورد نیاز امنیتی را وارد می کند اما پیغام خطایی برایش نمایش داده می شود که اطلاعات اشتباه است و مجددا باید وارد شود و این اطلاعات ثبت شده و برای هکر ارسال می شد. هرچند این نوع کیلاگر بر روی صفحه وب وجود دارد اما معمولا در قالب Ad—On ها بر روی مرورگرهای کاربران نصب می شود. امیدوارم مورد توجه شما عزیزان قرار گرفته باشد.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات