Keylogger - von Christian Koch
Transcription
Keylogger - von Christian Koch
Keylogger Christian Koch [email protected] 30. August 2006 Christian Koch ([email protected]) Keylogger 30. August 2006 1 / 21 1 Funktionsweise Tastatureingabe 2 Software-Keylogger 3 Hardware-Keylogger 4 Schlußbemerkungen 5 Lizenz Christian Koch ([email protected]) Keylogger 30. August 2006 2 / 21 Funktionsweise Tastatureingabe IBM-PC-Tastaturschnittstelle Daten +5V Takt 0V Taktfrequenz: 10. . . 30 kHz Takt- und Datenleitung: passiver High-Pegel durch Pull-Up-Widerstand bidirektionale, serielle Übertragung nicht hot-plug-fähig Christian Koch ([email protected]) Keylogger 30. August 2006 3 / 21 Funktionsweise Tastatureingabe PS/2-Buchsenbelegung 1. . . Daten (6) 2. . . reserviert 5 3. . . Masse, 0 V 4. . . Betriebsspannung, + 5 V 4 3 5. . . Takt (2) 6. . . reserviert 1 Abbildung: Frontansicht Christian Koch ([email protected]) Keylogger 30. August 2006 4 / 21 Funktionsweise Tastatureingabe Protokoll Tastatur zum PC 0 0 0 1 1 1 0 0 0 0 1 Daten Takt Startbit low acht Datenbits, LSB zuerst, im Beispiel 11100b Paritätsbit für ungerade Parität Stopbit high Christian Koch ([email protected]) Keylogger 30. August 2006 5 / 21 Funktionsweise Tastatureingabe Scancode am Beispiel (Scancode Set 2) Taste A wird gedrückt 1 Tastatur sendet make code 1Ch an Tastaturcontroller im PC 2 Tastaturcontroller übersetzt 1Ch in 1Eh 3 Tastaturcontroller setzt Interrupt IRQ1 4 Tastaturtreiber liest Scancode 1Eh an Port 60h aus 5 warte entsprechend der Wiederholrate und springe ggf. zu Punkt 1 Taste A wird losgelassen 1 Tastatur sendet break code F0h 1Ch an Tastaturcontroller im PC 2 Tastaturcontroller übersetzt F0h 1Ch in 9Eh 3 Tastaturcontroller setzt Interrupt IRQ1 4 Tastaturtreiber liest Scancode 9Eh an Port 60h aus Christian Koch ([email protected]) Keylogger 30. August 2006 6 / 21 Software-Keylogger Software-Keylogger Vorteile geräteunabhängig funktioniert auch mit integrierten Tastaturen ggf. gespeicherte Eingaben erfaßbar ggf. aus der Ferne installier- und steuerbar praktisch unbegrenzter Speicher Nachteile betriebssystemabhängig u. U. schwierige Implementierung ggf. durch Scan-Software erkennbar Christian Koch ([email protected]) Keylogger 30. August 2006 7 / 21 Software-Keylogger Implementierungen MS Windows SetWindowsHookEx(WH_KEYBOARD, ...); AttachThreadInput(...); GetKeyboardState(...); IoAttachDevice(...); IoSetCompletionRoutine(...); Linux iopl(3); inb(0x60); XQueryKeymap(...); ttysnoop Christian Koch ([email protected]) Keylogger 30. August 2006 8 / 21 Hardware-Keylogger Hardware-Keylogger Vorteile betriebssystemunabhängig dadurch auch Eingaben vor dem Booten erfaßbar softwaretechnisch nicht erkennbar Nachteile gerätespezifisch nur vor Ort installierbar Speicher relativ begrenzt (je nach Geldbörse) Christian Koch ([email protected]) Keylogger 30. August 2006 9 / 21 Hardware-Keylogger Passiver Keylogger NVRAM Keylogger µC PC Tastatur Keylogger wird zu den vier Tastaturleitungen parallelgeschalten bei Widergabe muß Tastatur abgeklemmt werden mögliche Anbringung: im PC, Zwischenstecker am PC elektrisch praktisch nicht detektierbar Christian Koch ([email protected]) Keylogger 30. August 2006 10 / 21 Hardware-Keylogger Aktiver Keylogger NVRAM Keylogger µC PC Tastatur Keylogger wird in Reihe zur Takt- und Datenleitung geschalten bei Widergabe braucht Tastatur nicht abgeklemmt zu werden Menüsteuerung z.B. in einem Text-Editor möglich mögliche Anbringung: im PC, Zwischenstecker am PC, in der Tastatur elektrisch durch Messung der Verzögerung detektierbar Christian Koch ([email protected]) Keylogger 30. August 2006 11 / 21 Hardware-Keylogger Hybrider Keylogger NVRAM Keylogger µC PC Tastatur Keylogger wird in Reihe zur Takt- und Datenleitung geschalten bei Aufnahme werden Takt- und Datenleitung durchgeschleift bei Widergabe braucht Tastatur nicht abgeklemmt zu werden Menüsteuerung z.B. in einem Text-Editor möglich mögliche Anbringung: im PC, Zwischenstecker am PC, in der Tastatur elektrisch praktisch nicht detektierbar Christian Koch ([email protected]) Keylogger 30. August 2006 12 / 21 Hardware-Keylogger Passiver DIY-Keylogger Idee: http://www.keelog.com/diy.html speichert ca. 60 000 Bytes entsprechend 20 000 Tastenanschlägen nichtflüchtiger Speicher ist als Ringspeicher organisiert letzte Speicheradresse wird alle zehn Sekunden gespeichert eingebauter Taster startet und stoppt Widergabe bei Widergabe werden Scancodes nicht RAW sondern HEX-kodiert an PC übertragen Löschen des Ringspeichers ist in der µC-Software nicht vorgesehen Christian Koch ([email protected]) Keylogger 30. August 2006 13 / 21 Hardware-Keylogger Analyse mit KeyGrab Christian Koch ([email protected]) Keylogger 30. August 2006 14 / 21 Hardware-Keylogger Versuchsaufbau DIY-Keylogger (1/2) Ziele: Wegfall des Tasters, schnelles Löschen des Speichers Christian Koch ([email protected]) Keylogger 30. August 2006 15 / 21 Hardware-Keylogger Versuchsaufbau DIY-Keylogger (2/2) Veränderungen gegenüber Keelog-DIY-Keylogger: kein Taster mehr erforderlich Speicher wird durch Eingabe von ec3le in fünf Sekunden gelöscht Widergabe wird bei Eingabe von c3le nach 10 Sekunden gestartet; Wartezeit, um Tastatur abzuklemmen Stop der Widergabe durch Abklemmen des Keyloggers Christian Koch ([email protected]) Keylogger 30. August 2006 16 / 21 Hardware-Keylogger Versuchsaufbau DIY-Keylogger mit Atmel AVR nächster Schritt: Miniaturisierung, weniger Bauelemente, Vereinfachung der µC-Programmierung, bessere Speichernutzung Christian Koch ([email protected]) Keylogger 30. August 2006 17 / 21 Schlußbemerkungen Ausblick komfortables Auswerteprogramm für X Window Tastenanschläge mit Zeitstempel USB-Keylogger Wireless-Desktop-Keylogger Christian Koch ([email protected]) Keylogger 30. August 2006 18 / 21 Schlußbemerkungen Anknüpfungspunkte für Selbststudium Keyboard scancodes: http://www.win.tue.nl/~aeb/linux/kbd/scancodes.html Tastatur unter Linux: http://gunnarwrobel.de/wiki/Linux-and-the-keyboard.html xspy key logger: http://www.acm.vt.edu/~jmaxwell/programs/xspy/xspy.html Der Spion in der Tastatur: http://kai.iks-jena.de/miniwahr/pc-wanzen.html Windows Key Logging and Counter-Measures http://pachome2.pacific.net.sg/~chewkeong/keylogr.pdf Hardware Keylogger Detection: http://www.irmplc.com/Docs/KeyLoggerWP.pdf USB-Keylogger: http://www.keelog.com/kusb.html Christian Koch ([email protected]) Keylogger 30. August 2006 19 / 21 Schlußbemerkungen Ich bedanke mich für die Aufmerksamkeit. Christian Koch ([email protected]) Keylogger 30. August 2006 20 / 21 Lizenz Lizenz Dieser Inhalt ist unter einem Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen Lizenzvertrag lizenziert. Um die Lizenz anzusehen, gehen Sie bitte zu http://creativecommons.org/licenses/by-sa/2.0/de/ oder schicken Sie einen Brief an Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA. Christian Koch ([email protected]) Keylogger 30. August 2006 21 / 21