- 締切済み
キーロガーが外部通信をする時間を教えてください
ID、パスワード、クレジットカードの番号などを取得するキーロガーがパソコンに仕込まれているとき キーロガーが外部と通信する(外部にアップロードする)のはどのようなときでしょうか? 1 ID、パスワード、クレジットカード番号を入力した直後 2 パソコン起動直後 3 アプリケーション起動直後 4 通信する時間はランダムで決まっていないが、パソコン起動後およそ数時間以内 私なりに上記の4通りを考えてみましたが、キーロガーの一般的な外部通信パターンはどのようなものでしょうか? またキーロガーを仕込まれていても、パソコン使用者がIDやパスワードなどを一度も入力したことのない場合(結果としてキーロガーがログをひとつも取得していない場合)でも、キーロガーは基本的に外部接続しているのでしょうか? マルウェアに感染しているパソコンでは、マルウェアが外部と勝手に通信していても パケットを適切に取得できないようなので、不審な通信がないか、ルータでログを取得して パソコンがキーロガーに感染しているか調べるつもりです。
- dasi555
- お礼率33% (6/18)
- ウィルス・マルウェア
- 回答数11
- ありがとう数4
- みんなの回答 (11)
- 専門家の回答
みんなの回答
- rebind
- ベストアンサー率30% (136/444)
- rebind
- ベストアンサー率30% (136/444)
- rebind
- ベストアンサー率30% (136/444)
質問者さん、すいません。 以下をごらん頂けますでしょうか。 インターバル入力欄がやけに広いので、いったいどれくらいまで可能なのかやってみました。 結果的には6桁でしたw。で、ビルドもできました。ただし、MAXでやったとしてもちゃんと機能するかどうかわかりませんが。 で、 >これはセキュリティソフトのHIPSと基本的に同じ働きをすると考えてよいですか? HIPSですよこれは。 僕はこのゼマナというソフト使ったことないですが、他の方の回答内容見るとBehavior Analysisを用いてる様子が見て取れますので。 >カスペルスキーの追加で入れるかどうか判断に迷います。 いや、いらないです。
- kuretako
- ベストアンサー率21% (93/441)
- rebind
- ベストアンサー率30% (136/444)
#1です。 予め設定しておいたログサイズで送信するタイプの例を見せてあげます。これは有名なやつなので知ってる方も居るかもしれない。 >多くのキーロガーで設定できる最長のインターバルは、下のどれに該当しますでしょうか? 僕の知ってる中では単位はminですね。したがって最長1時間ということになります。数時間とか間隔空けてたらロガーしかける意味ないと思う。金銭詐取を目的にしてるわけだから。 >○キーロガーを仕込まれたとき >○キーロガーがキーボードから入力されたIDやパスワードを保存する動作をした時 >○ログをアップロードするために外部に接続するとき >の3ケースがあると思いますが、 >カスペルスキーはそれぞれのケースをどの程度ブロックできますか? 全部。だだ、基本的に仕込もうとする段階でほとんど阻止できます。 カスペルのアンチウイルス検知を回避するように細工したロガーの例を見せてあげます。僕がテストしてます。 http://www.youtube.com/watch?v=vznnGdmZIZc ちなみに、アンチロガーの類なんかは当然グローバルフックのセットなどBehavior Analysisも使って判断してるのでマルウェアではないソフトの扱いなどでも反応することがあるのは当然です。まあ、下の方なんかは初心者級ということでこの辺知らなくても仕方ないところです。
- kuretako
- ベストアンサー率21% (93/441)
おはようございます ソフト集めの趣味な蛸です >キーロガーは基本的に外部接続しているのでしょうか? しています キーロガーを気にしているようなので 私が知る限りの対策ソフト でも完全ではないのであくまでも防除ソフトです 検出系 ゼマナ アンチロガー これはほとんどのアンチウイルスソフトと共存ができます そんなに重くないの私は使っております http://www.fli.co.jp/product/zal/top.html 防御系 インフォキーパー ID管理ソフトですが 頑固です(暗号化が) http://www.nettool.co.jp/products/apik.html ロボフォーム これもID管理ソフトです インフォキーパーと似てますが SSLのHPに対応しています 使用中w http://www.roboform.com/jp/ 参考にどうぞ
お礼
kuretakoさん、参考になるソフトを教えてくださりありがとうございます。 >検出系 ゼマナ アンチロガー これはセキュリティソフトのHIPSと基本的に同じ働きをすると考えてよいですか? カスペルスキーの追加で入れるかどうか判断に迷います。 >防御系 インフォキーパー ロボフォーム IDやパスワードなどが暗号化されるということですが、その暗号部分が解析されてIDやパスーワードがばれてしまうという正当な方法ではなく、 これらのソフトのセキュリティホールを突くことで、 暗号化されているはずのIDやパスワードが判明してしまうということはありますでしょうか?
- rebind
- ベストアンサー率30% (136/444)
#1です。 下の画像はメイン設定タブを示してますが、エクストラ設定タブの方を見せてあげます。 一番下のrandomところが難読化に関係するところです。当然、バイパスアンチウイルス目的です。 ------ なお、ここの回答者の方で当方を批判的に見る方も少なくないようですが、それは別に構わないのですが、当方のようにこのようにしてオールラウンドにセキュリティーに関係する解説できる方居ないんですよね正直。なんで当方が他の回答者を見下すような挑発的な言い方をしてるかと言いますと、実はこれは意識的にやっておりまして、理由はセキュリティー関連の話って本来はシリアスな問題なのに、あまりにも軽々しく語る回答者が多すぎるため戒めの意味を込めてあえて振舞ってます。
お礼
セキュリティソフトはカスペルスキーを使用しています。 アンチバイパスウイルスのためにウイルスチェックでキーロガーを検出できないとすれば 頼みはHIPS機能になります。 キーロガーを仕込まれてHIPSが検知する場合は ○キーロガーを仕込まれたとき ○キーロガーがキーボードから入力されたIDやパスワードを保存する動作をした時 ○ログをアップロードするために外部に接続するとき の3ケースがあると思いますが、 カスペルスキーはそれぞれのケースをどの程度ブロックできますか? カスペルスキーは高性能だと聞いているので、この3ケースのいずれかに引っかかって外部への流出は最終的にはブロックできるような気はするのですが。
- 1
- 2
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
>僕の知ってる中では単位はminですね。したがって最長1時間ということになります。 そんなに短いのですか!うれしいですね。 つまりインターバル型のキーロガーだと、少なくとも1時間に1回は外部と通信するので パソコンを起動させて1時間経過後、ルータに保存された通信ログを見て、 不審な通信がなければインターバル型のキーロガーに感染していないということですよね。 >数時間とか間隔空けてたらロガーしかける意味ないと思う。金銭詐取を目的にしてるわけだから。 IDとパスワードを取得できたらいつでもログインできるので、 インターバル設定は数日にして、数日後に感染パソコンからのアップロードによって IDとパスワードを取得しても、キーロガーを仕掛ける側からすれば問題ないようにも感じますが、そこのところはどうなんでしょう? >だだ、基本的に仕込もうとする段階でほとんど阻止できます。 残る懸念はインターバル設定タイプではなく、ログサイズによってアップロードするキーロガーだったのですが、仕込もうとする段階でほとんど阻止できるのならば、キーロガーに関してはそんなに心配する必要はなさそうですね。