View
7
Download
0
Category
Preview:
Citation preview
Keylogger
Christian Koch
christian_koch@gmx.de
30. August 2006
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 1 / 21
1 Funktionsweise Tastatureingabe
2 Software-Keylogger
3 Hardware-Keylogger
4 Schlußbemerkungen
5 Lizenz
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 2 / 21
Funktionsweise Tastatureingabe
IBM-PC-Tastaturschnittstelle
0 V
+ 5 V Takt
Daten
Taktfrequenz: 10. . . 30 kHz
Takt- und Datenleitung: passiver High-Pegel durch Pull-Up-Widerstand
bidirektionale, serielle Übertragung
nicht hot-plug-fähig
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 3 / 21
Funktionsweise Tastatureingabe
PS/2-Buchsenbelegung
1. . . Daten
2. . . reserviert
3. . . Masse, 0 V
4. . . Betriebsspannung, + 5 V
5. . . Takt
6. . . reserviert
5
3
(2) 1
(6)
4
Abbildung: Frontansicht
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 4 / 21
Funktionsweise Tastatureingabe
Protokoll Tastatur zum PC
Daten
Takt
0 10 0 1 1 0 0 0 0 1
Startbit low
acht Datenbits, LSB zuerst, im Beispiel 11100b
Paritätsbit für ungerade Parität
Stopbit high
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 5 / 21
Funktionsweise Tastatureingabe
Scancode am Beispiel (Scancode Set 2)
Taste A wird gedrückt
1 Tastatur sendet make code 1Ch an Tastaturcontroller im PC2 Tastaturcontroller übersetzt 1Ch in 1Eh3 Tastaturcontroller setzt Interrupt IRQ14 Tastaturtreiber liest Scancode 1Eh an Port 60h aus5 warte entsprechend der Wiederholrate und springe ggf. zu Punkt 1
Taste A wird losgelassen
1 Tastatur sendet break code F0h 1Ch an Tastaturcontroller im PC2 Tastaturcontroller übersetzt F0h 1Ch in 9Eh3 Tastaturcontroller setzt Interrupt IRQ14 Tastaturtreiber liest Scancode 9Eh an Port 60h aus
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 6 / 21
Software-Keylogger
Software-Keylogger
Vorteilegeräteunabhängig
funktioniert auch mit integrierten Tastaturen
ggf. gespeicherte Eingaben erfaßbar
ggf. aus der Ferne installier- und steuerbar
praktisch unbegrenzter Speicher
Nachteilebetriebssystemabhängig
u. U. schwierige Implementierung
ggf. durch Scan-Software erkennbar
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 7 / 21
Software-Keylogger
Implementierungen
MS WindowsSetWindowsHookEx(WH_KEYBOARD, ...);
AttachThreadInput(...); GetKeyboardState(...);
IoAttachDevice(...);IoSetCompletionRoutine(...);
Linuxiopl(3); inb(0x60);
XQueryKeymap(...);
ttysnoop
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 8 / 21
Hardware-Keylogger
Hardware-Keylogger
Vorteilebetriebssystemunabhängig
dadurch auch Eingaben vor dem Booten erfaßbar
softwaretechnisch nicht erkennbar
Nachteilegerätespezifisch
nur vor Ort installierbar
Speicher relativ begrenzt (je nach Geldbörse)
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 9 / 21
Hardware-Keylogger
Passiver Keylogger
PC
Tastatur
Keylogger
µC
NVRAM
Keylogger wird zu den vier Tastaturleitungen parallelgeschalten
bei Widergabe muß Tastatur abgeklemmt werden
mögliche Anbringung: im PC, Zwischenstecker am PC
elektrisch praktisch nicht detektierbar
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 10 / 21
Hardware-Keylogger
Aktiver Keylogger
PC
Tastatur
Keylogger
µC
NVRAM
Keylogger wird in Reihe zur Takt- und Datenleitung geschalten
bei Widergabe braucht Tastatur nicht abgeklemmt zu werden
Menüsteuerung z.B. in einem Text-Editor möglich
mögliche Anbringung: im PC, Zwischenstecker am PC, in der Tastatur
elektrisch durch Messung der Verzögerung detektierbar
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 11 / 21
Hardware-Keylogger
Hybrider Keylogger
PC
Tastatur
Keylogger
µC
NVRAM
Keylogger wird in Reihe zur Takt- und Datenleitung geschaltenbei Aufnahme werden Takt- und Datenleitung durchgeschleiftbei Widergabe braucht Tastatur nicht abgeklemmt zu werdenMenüsteuerung z.B. in einem Text-Editor möglichmögliche Anbringung: im PC, Zwischenstecker am PC, in der Tastaturelektrisch praktisch nicht detektierbar
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 12 / 21
Hardware-Keylogger
Passiver DIY-Keylogger
Idee: http://www.keelog.com/diy.html
speichert ca. 60 000 Bytes entsprechend 20 000 Tastenanschlägen
nichtflüchtiger Speicher ist als Ringspeicher organisiert
letzte Speicheradresse wird alle zehn Sekunden gespeichert
eingebauter Taster startet und stoppt Widergabe
bei Widergabe werden Scancodes nicht RAW sondern HEX-kodiert anPC übertragen
Löschen des Ringspeichers ist in der µC-Software nicht vorgesehen
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 13 / 21
Hardware-Keylogger
Analyse mit KeyGrab
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 14 / 21
Hardware-Keylogger
Versuchsaufbau DIY-Keylogger (1/2)
Ziele: Wegfall des Tasters, schnelles Löschen des Speichers
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 15 / 21
Hardware-Keylogger
Versuchsaufbau DIY-Keylogger (2/2)
Veränderungen gegenüberKeelog-DIY-Keylogger:
kein Taster mehr erforderlich
Speicher wird durch Eingabe vonec3le in fünf Sekunden gelöscht
Widergabe wird bei Eingabe vonc3le nach 10 Sekundengestartet; Wartezeit, um Tastaturabzuklemmen
Stop der Widergabe durchAbklemmen des Keyloggers
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 16 / 21
Hardware-Keylogger
Versuchsaufbau DIY-Keylogger mit Atmel AVR
nächster Schritt: Miniaturisierung, weniger Bauelemente, Vereinfachung derµC-Programmierung, bessere Speichernutzung
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 17 / 21
Schlußbemerkungen
Ausblick
komfortables Auswerteprogramm für X Window
Tastenanschläge mit Zeitstempel
USB-Keylogger
Wireless-Desktop-Keylogger
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 18 / 21
Schlußbemerkungen
Anknüpfungspunkte für Selbststudium
Keyboard scancodes: http://www.win.tue.nl/~aeb/linux/kbd/scancodes.html
Tastatur unter Linux: http://gunnarwrobel.de/wiki/Linux-and-the-keyboard.html
xspy key logger: http://www.acm.vt.edu/~jmaxwell/programs/xspy/xspy.html
Der Spion in der Tastatur: http://kai.iks-jena.de/miniwahr/pc-wanzen.html
Windows Key Logging and Counter-Measureshttp://pachome2.pacific.net.sg/~chewkeong/keylogr.pdf
Hardware Keylogger Detection: http://www.irmplc.com/Docs/KeyLoggerWP.pdf
USB-Keylogger: http://www.keelog.com/kusb.html
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 19 / 21
Schlußbemerkungen
Ich bedanke mich für die Aufmerksamkeit.
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 20 / 21
Lizenz
Lizenz
Dieser Inhalt ist unter einem Creative Commons Namensnennung-Weitergabeunter gleichen Bedingungen Lizenzvertrag lizenziert. Um die Lizenzanzusehen, gehen Sie bitte zuhttp://creativecommons.org/licenses/by-sa/2.0/de/oder schicken Sie einen Brief an Creative Commons, 559 Nathan Abbott Way,Stanford, California 94305, USA.
Christian Koch (christian_koch@gmx.de) Keylogger 30. August 2006 21 / 21
Recommended