还你公道追查数据窃贼

来源：个人电脑作者：出处：巧巧读书 2007-08-14 进入讨论组

　　商业现实

　　答案就在于，那些通常通过病毒或木马传播的黑客产品，往往也能用反病毒产品来加以查杀，而键盘记录工具则不一样，它们则存在于电脑生态环境中的另外一个部分之中，而这部分可以算是某种“受保护的物种”。

　　换言之，有些安全和反病毒产品生产商害怕键盘记录软件生产商对他们提供法律诉讼，因此就没有将他们的产品报告为恶意软件（malware）。这部分要归因为这样一个事实：相对于只会用在恶意使用环境中的病毒和木马来说，键盘记录工具在出售时却宣称他们能帮你起到监视作用，看你的爱人、小孩或员工都用电脑做了什么。用这种方式来暗中监视别人的行为可能并不符合伦理道德，但，在世界上很多地方，这完全合法。因此，如果要将这些键盘记录工具贴上恶意软件的标签，这就让反间谍软件和反病毒开发人员处于尴尬的境地。

　　因此，如果你真的要确信你的电脑很干净，而且没被监视，你就不能依赖常规安全工具。相反，你需要采用更专业的技术手段。

　　工作原理

　　在设法如何清除这些恶意软件之前，了解一点这些程序的工作原理将使你受益匪浅。从技术层面来看，键盘记录工具就是要设法获取并记录键盘输入信息。你在键盘上敲出的每一个符号信息都将被获取并保存起来，而通常你都无法发现这些被获取的资料。键盘记录工具既包括软件记录工具，又包括硬件记录工具。硬件记录工具是键盘和电脑之间安插的实物设备。

　　软件记录工具通常都会钩进（hook）低层级系统，伪装成设备驱动器，拦截系统指令，因而能够访问键盘输入的任何信息。利用网站中下拉菜单（dropdown forms）或屏幕键盘(on-screen keyboards)，这些工具甚至还能获取显示器屏幕及鼠标移动轨迹，从而使系统安全防护的努力崩溃于无形。而且，他们可能藏身于看上去很清白的软件中。

　　硬件记录

　　即使多数键盘记录工具都基于软件，这也是多数电脑用户碰到的，但还是要记住：以不到40英镑的价钱，就可以买到任何安全程序也无法检测出来的硬件键盘记录工具。安装极为容易：只要将键盘记录工具置于电脑PS/2端口和键盘插口之间即可。在最佳情形中，这就能让你获取超过25万次的击键信息。使用随硬件提供的键盘记录阅读软件从键盘记录工具中导出数据同样简单。

还你公道追查数据窃贼（图四）

　　不到40英镑的价格就能买到硬件键盘记录工具，除开个人亲自检查机身之外，任何程序都无法检测出该工具。

　　唯一能够防止这种键盘记录工具如此做恶的方法就是检查电脑机身及其连接。即使用软件将PS/2端口锁住，通过USB端口将键盘连接起来，难以让人察觉的USB键盘记录工具也可能已连入电脑。而更让人难以检测出来的是内置于键盘内部的工具—这对于烙铁使用熟练的人来说并不是什么大难题。教你一招，如果想要电脑键盘绝对安全，在键盘背部的螺丝钉头上点上一滴指甲油，如此一来，任何篡改就一目了然了。

　　如果你的确担心电脑安全，那么无线键盘则给你带来了又一个潜在的问题。不错，红外无线传输键盘需要的电量很低，而且信号在几米之外就会中断，但尽管如此，要拦截信号还是颇为容易。那种在27MHz环境下运行的享有盛名的无线键盘带来的风险则大得多，因为这种无线键盘可在最大半径为30米的范围内传输数据。借助修改过的无线键盘和CB radio(译者注，为Citizen band radio之缩写，民用对讲通讯设备)，就可读取、记录所有信息。在2.4GHz环境中运行的蓝牙无线键盘，通常则更为安全，要想拦截资料，则要付出多得多的努力，这得归功于其采用的调频流程（frequency-hopping process）。然而，你也应谨慎行事，确保只在激活认证和加密的状态下使用这种键盘。

　　软件记录

　　对付软件键盘记录工具的一个最为有效的程序是我国生产的通用anti-rookit工具，叫做冰刃（Icesword）(访问http://pjf.blogone.net) ，该程序有英文界面。虽然该程序才700KB的大小，被被IT专家广为推崇，被视为是最好的rootkit（译者注，一种病毒常采用的技术）检测工具之一。该工具不仅仅指出隐藏的进程，而且能识别出Windows内核发生的变化，使通常被rootkits用做藏身之地的系统服务描述符表（SSDT, System Service Descriptor Table）的篡改无遁身之处。

　　然而，你应留心谨慎。由于冰刃工具本身并不会创建备份，所以用该工具执行的指令无法撤消，因此，在试图清除隐藏进程、注册表条目或驱动硬盘之前应做好备份。开始工作之前，在另外一个硬盘上或DVD上备份好根分区，或至少备份好注册表，创建系统恢复点。

　　可疑进程将以红标在进程和SSDT窗口显示出来。要识别真正的威胁，你需要全面掌握系统知识，这样才能分清良性和恶性对象。有些对象无法从显示它们的窗口中直接删除，但你可采用能从注册表和文件菜单中激活的内置工具。无论是从注册表还是从文件菜单中激活用户操作起来都不太方便，但这两种途径都能删除受rootkits保护的条目。

还你公道追查数据窃贼（图五）