可以测试设备是否包含“硬件”键盘记录器吗?
我已经检查过了如何以可靠的方式检测按键记录器?
我特别感兴趣的是,硬件键盘记录器是否可以嵌入 WiFi 鼠标或键盘的 USB 中?有没有办法测试它们?
我想补充一下这个问题:如何?如何在通用设备中检测硬件记录器?
答案1
嗯,有一种方法可以测试它,但这取决于所使用的协议。
例如,记录器的目的是将详细信息发送到某个地方,因此 Windows 中的 UAC、高级防火墙或 AV 可能可以检测到正在发送的消息。
但是,如果记录器内置有 SIM 卡或类似物,则不行!
如果它是一个物理设备,那么您可以用眼睛检测它,但我怀疑软件是否可以检测到它。
答案2
我最近问了自己同样的问题,只是针对(可能更常见的)可插入硬件键盘记录器,例如 USB 或 PS/2 键盘记录器。
为了回答这个问题,我最近买了一个 USB 键盘记录器进行实验。虽然市场上肯定有不同的设备,而且并非所有设备的工作方式都相同,但我买的那个(KeeLog USB 密钥抓取器) 似乎是一个很难检测的问题。
使用软件
我目前尝试过的(在Linux下):
lsusb和lsusb -tlshwpowertoptail -f /var/log/syslog
无论是否使用键盘记录器,这些命令均未显示任何差异。没有显示其他设备,日志中没有奇怪的错误消息,同一设备没有不同的总线地址等。
因此,我购买的键盘记录器并不像 USB 集线器或类似的东西,它似乎只是传递(并捕获)总线上的每个数据包。
但是由于键盘记录器必须插入计算机和键盘之间,因此您可能会认为任何 USB 键盘拔出事件都是可疑的。不过我预计会有相当多的误报。
到目前为止我能看到差异的唯一方法是使用附加硬件:
测量功耗
我用的是Adafruit 的 USB 充电器医生在我的计算机和键盘记录器之间进行了比较,结果显示比没有键盘记录器时多 0.04 A。但到目前为止,在使用软件(即 )时,我还没有看到这种功耗差异powertop。
但这种检测有几个缺点:
按下键盘上的 Caps-Lock 和/或 Num-Lock 也会导致其 LED 产生额外的电量消耗,根据 USB Charger Doctor 的说法,这大约在同一范围内:1 个 LED = 0.03 A,2 个 LED = 0.05 A。
如果我每次使用电脑之前都要检查 USB Charger Doctor,那么我很可能会检测到位于同一位置或附近的 USB 键盘记录器。
在同一 USB 端口上使用其他设备
如果您在亚马逊等网站上寻找键盘记录器,您会注意到,如果键盘上有 USB 集线器,某些键盘记录器将无法工作(而其他产品则声称其产品可以工作)。因此,我在键盘记录器后面放了一个简单的 USB 集线器,并将键盘插入 USB 集线器(即计算机 → 键盘记录器 → USB 集线器 → 键盘)。
结果是——至少对于我购买的键盘记录器型号而言——我的计算机不再检测到 USB 集线器和键盘,当我插入 USB 设备时,日志中没有任何痕迹。不过 USB 集线器上的电源 LED 亮着。
因此,减轻无法检测到 USB 硬件键盘记录器的风险的一种方法是使用一根 USB 延长线,从电脑背面将延长线连接到桌面上可见的位置,然后在那里插入 USB 集线器,并将键盘插入集线器。如果键盘突然停止工作,您可能会检查整个 USB 链,并可能通过这种方式发现键盘记录器。
因此我个人的建议是:
确保您可以轻松检查键盘连接器
设置您的办公桌和电脑,使键盘的连接器始终或至少经常足够可见:
如果您的 PC 位于桌面上,请将键盘插入正面的 USB 插槽。目前,键盘记录程序仍然很强大,可以通过这种方式引起注意。
如果您不需要 PC 的任何前端设备(例如 CD ROM 驱动器)并且不介意其丑陋的背面,请转动 PC,以便您在工作时可以看到所有背面连接器。
如果您的办公桌周围有足够的空间,并且您的 PC 是一个放在办公桌下面的塔式机箱,请按照这样的方式进行设置,即您可以定期将 PC 的背面放在办公桌前,并查看 PC 的背面,例如,每天早上当您到达工作地点时。
进一步讨论
StackExchange 的 IT 安全网站也在问题“检测硬件键盘记录器......优雅的解决方案?“。
答案3
将声学键盘记录器嵌入到几乎任何东西中都是可能的(无论如何在理论上),这将使这成为可能(并且无法检测到)。
答案4
我们谈论的是通用硬件还是一些应该制造的安全硬件?
第一种情况,你可能运气不佳,除非记录员犯了一些错误。
第二种情况我可以想象某种加密,这显然会破坏作为标准 HID 设备/键盘的兼容性。