是否可以查看通过防火墙从计算机上传的任何文件?我一直在使用键盘记录器,我的防病毒软件今天将其标记为病毒。我想知道它是否通过互联网发送日志,而不是像应该的那样将其保存在本地。
或者,如果其他人有使用 Family Keylogger 的经验(http://www.spyarsenal.com/familykeylogger/) 您能否解释一下它是否安全?
编辑:我使用 wireshark 和 Procmon 对其进行了一段时间的监控,但没有发现任何可疑之处。根据 Procmon,该应用程序未使用任何 TCP/UDP 连接。
答案1
我一直在使用键盘记录器,我的防病毒软件今天将其标记为病毒。我想知道它是否通过互联网发送日志,而不是像应该的那样只是将其保存在本地。
您可以使用netstat它来查看记录器是否打开了套接字。请参阅netstat 命令现在可以显示进程 ID...。
相关:杀毒软件可能由于行为(嗅探按键)而标记了它。如果您同意,请将其列入白名单。
是否可以通过防火墙查看从计算机上传的任何文件?
这取决于防火墙。但您需要知道键盘记录器正在与哪个主机或服务器通信。如果您不知道,那么它可能对您没有帮助。
根据防火墙的不同,您可能有日志,也可能没有。Verizon 或 Comcast 互联网网关内置的防火墙可能由于缺乏历史记录而无法提供大量有用信息。
其他防火墙可能会做得更好。我的 m0n0wall 是可配置的,因此我可以执行远程日志记录以进行离线分析(如果需要):
AWeb 应用程序防火墙可能有助于满足您的要求。它将允许您过滤和监控更高级别的协议,例如 HTTP。
如果键盘记录器正在输出数据,那么它可以通过加密数据流来阻止某些分析。SSL/TLS 就很好用,而且随时可用。入侵美国系统的人经常输出 20 或 40 GB 的数据。而且由于他们使用 SSL/TLS,承包商甚至不知道被盗取了什么(例如,参见 Brennan 的关于脆弱的美国)。
答案2
正确设置的防火墙可以阻止所有试图与网络通信的程序,而这些程序并没有得到您的允许。(除非事情可以巧妙地通过其他途径进行)。
我使用“Windows 防火墙通知程序”程序,它可以将 Windows 自己的防火墙设置为实际工作,并使用 Windows 自己的日志记录来发出警报。然后允许和阻止(训练它)就变得很麻烦。因为大多数程序在进行任何通信之前都必须得到允许,所以我知道是否有任何程序尝试。虽然这不会提供先前的日志,但比必须查看发生的每个 I/O 要好。
好的防病毒或反恶意软件应该能够发现鼠标和按键挂钩程序,它们应该能够发现更改 RAM 位置的游戏训练程序以及更改正常 dll 和 exe 等的黑客程序。键盘记录程序是病毒获取您的信息的一种方式。
Huristic(即一种针对坏人的人工智能)应该找到这些东西并将它们标记为邪恶,即使它们的目的是好的。这样用户就知道他们安装它是有目的的,还是它在他们不知情的情况下出现在计算机上。
如果某个项目位于 AV AMW 数据库中(这些数据库主要包含特定程序或特定代码字符串),它仍然可以将任何键盘记录器视为用户想要了解的内容。完全合法的键盘记录器可能会被用于邪恶目的,因此我希望它永远不会被从举报名单中删除。
https://www.virustotal.com/上传较小的可执行文件(上传大小限制)可以帮助猜测某个程序是真正的病毒还是黑客程序,因为不同的 AV 供应商对特定恶意程序或合法程序的了解程度不同。在计算机上安装许多防病毒软件并不实际,而且让这么多程序进行主动扫描也很糟糕,因此上传到那里可能会很有用。
数以百计的合法程序和黑客被 AV 程序标记为恶意程序,因为它们具有病毒可能应用的可疑行为。人类(某些人)仍然必须(尝试)找出哪些是真正的恶意程序,哪些不是恶意程序。
除非该程序已经过用户、AV 大师或作者、用户或某些天才的测试,以某种方式向防病毒公司保证它不是病毒,因此他们可以明确地将其设置为好程序,否则它将继续被标记为坏程序。
你也可以打赌,除非所有代码都已发布,并且以某种方式全部通过,否则事情将会被遗漏。
如果他们开始遗漏键盘记录器,那么 :-)