خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
چگونه وجود keylogger را در سیستم ویندوزی شناسایی کنیم
برنامه های Keylogger برنامه های خطرناکی هستند که هکرها روی سیستم ها برای Sniff کردن رمز عبور ، جزئیات کارت اعتباری و غیره نصب می کنند. همه کلیدهایی که کاربران از صفحه کلیدفشار میدهند و استفاده می کنند را ذخیره می کند و بنابراین به طریقی این اطلاعات مهم در اختیار هکرها قرار می گیرد. به هر حال اگر از یک کامپیوتری استفاده می کنید که keylogger روی آن نصب شده است ، در معرض خطر از دست دادن اطلاعات حساس هستید که چه بسا منجر به ضرر مالی نیز شود.
در شکل زیر یک فایل متنی Textساده ایجاد شده توسط keylogger است که می توانید به راحتی مشاهده کنید که چقدر keylogger این توانایی را دارد تا بتواند آنچه را که در سیستم خود تایپ می کنید ، لاگ برداری کند.
در گام نخست از طریق دستورات خط فرمان به این مهم می پردازیم. Command Prompt را اجرا کرده و دستور زیر را در آن وارد و Enter کنید.
خروجی دستور در سیستم شما، چیزی شبیه به خروجی زیر خواهد بود.
اکنون داده ها را در 5 ستون مشاهده می کنید. ما فقط نگران دو ستون آخر هستیم(در شکل فوق دور آنها خط کشیده شده است). شما باید مواردی را که وضعیت آنهاestablished شده است ، یادداشت کنید. در تصویر بالا ، دو PID را ذکر مشاهده می کنید که می گوید آنهاestablished شده است. اولین مورد 1048 و دومی 2500 می باشد.
PID ها ممکن است در سیستم شما متفاوت باشند و شما باید برای بررسی بیشتر PID خود را یادداشت کنید.
سپس task manager را باز کرده و به تب details بروید.
اکنون ما به وضوح می توانیم explorer.exe را با شناسه 1048 مشاهده کنیم. از آنجا که این یک سرویس مهم سیستم است ، می توان گفت که این یک برنامه ضروری، ایمن، و بی خطر است.
حالا PID مربوط به 2500 را جستجو می کنیم.
همانطور که در تصویر زیر هم مشاهده می کنید، 2500 مربوط به برنامه nvstreamsvc.exe می باشد. از آنجایی که ما نمی دانستیم این فایل برای چه منظور استفاده می شود، اول از همه مکان فایل را باز کنید(روی فایل مربوط در task manager کلیک راست کرده و گزینه open file location را کلیک کنید تا محل قرار گیری فایل را مشاهده کنید) و همچنین یک جستجوی گوگل برای نام این فایل انجام دادیم(در سیستم شما ممکن است چنین چیزی نباشد فقط این مراحل را با توجه به مواردی که در سیستم خودتان می بینید دنبال کنید).
چیزی که مشخص شد این بود که مورد نیاز Game بوده و توسط گرافیک توسط nvidia نصب شده است و ضمن آنکه این فایل بی خطر بود و از آنجایی که به این فایل نیازی نبود می توان آن را حذف کرد. پس این اوصاف، مشخص است که این سیستم به Keylogger آلوده نشده است(شناسایی برنامه ها و جستجوی PID ها در Task manager ممکن است در سیستم شما بیشتر زمان صرف کند تا کامل به اطمینان برسید که سیستم تان به Keylogger آلوده است یا خیر).
البته این روش جامع و صد در صدی نیست ولی می توانیم حداقل به این صورت یک چکاپ کلی روی سیستم داشته باشیم.
در فعالیت های بانکی خود که نیاز به وارد کردن رمز عبور و غیره است، از keyboard آنلاین خود بانک که در مرورگر یا برنامه ظاهر می شود استفاده کنید.
در شکل زیر یک فایل متنی Textساده ایجاد شده توسط keylogger است که می توانید به راحتی مشاهده کنید که چقدر keylogger این توانایی را دارد تا بتواند آنچه را که در سیستم خود تایپ می کنید ، لاگ برداری کند.
How to detect if a Keylogger is installed on my system?
ولی ما چگونه متوجه شویم که در سیستم ما احیانا Keylogger به هر طریقی نصب شده است. در ادامه برخی راه حل های ساده ای را به شما نشان خواهیم داد تا با بکارگیری این راه حل ها متوجه شویم که keylogger در سیستم ما نصب شده است.در گام نخست از طریق دستورات خط فرمان به این مهم می پردازیم. Command Prompt را اجرا کرده و دستور زیر را در آن وارد و Enter کنید.
netstat -ano
خروجی دستور در سیستم شما، چیزی شبیه به خروجی زیر خواهد بود.
اکنون داده ها را در 5 ستون مشاهده می کنید. ما فقط نگران دو ستون آخر هستیم(در شکل فوق دور آنها خط کشیده شده است). شما باید مواردی را که وضعیت آنهاestablished شده است ، یادداشت کنید. در تصویر بالا ، دو PID را ذکر مشاهده می کنید که می گوید آنهاestablished شده است. اولین مورد 1048 و دومی 2500 می باشد.
PID ها ممکن است در سیستم شما متفاوت باشند و شما باید برای بررسی بیشتر PID خود را یادداشت کنید.
سپس task manager را باز کرده و به تب details بروید.
اکنون ما به وضوح می توانیم explorer.exe را با شناسه 1048 مشاهده کنیم. از آنجا که این یک سرویس مهم سیستم است ، می توان گفت که این یک برنامه ضروری، ایمن، و بی خطر است.
حالا PID مربوط به 2500 را جستجو می کنیم.
همانطور که در تصویر زیر هم مشاهده می کنید، 2500 مربوط به برنامه nvstreamsvc.exe می باشد. از آنجایی که ما نمی دانستیم این فایل برای چه منظور استفاده می شود، اول از همه مکان فایل را باز کنید(روی فایل مربوط در task manager کلیک راست کرده و گزینه open file location را کلیک کنید تا محل قرار گیری فایل را مشاهده کنید) و همچنین یک جستجوی گوگل برای نام این فایل انجام دادیم(در سیستم شما ممکن است چنین چیزی نباشد فقط این مراحل را با توجه به مواردی که در سیستم خودتان می بینید دنبال کنید).
چیزی که مشخص شد این بود که مورد نیاز Game بوده و توسط گرافیک توسط nvidia نصب شده است و ضمن آنکه این فایل بی خطر بود و از آنجایی که به این فایل نیازی نبود می توان آن را حذف کرد. پس این اوصاف، مشخص است که این سیستم به Keylogger آلوده نشده است(شناسایی برنامه ها و جستجوی PID ها در Task manager ممکن است در سیستم شما بیشتر زمان صرف کند تا کامل به اطمینان برسید که سیستم تان به Keylogger آلوده است یا خیر).
البته این روش جامع و صد در صدی نیست ولی می توانیم حداقل به این صورت یک چکاپ کلی روی سیستم داشته باشیم.
در فعالیت های بانکی خود که نیاز به وارد کردن رمز عبور و غیره است، از keyboard آنلاین خود بانک که در مرورگر یا برنامه ظاهر می شود استفاده کنید.
دسته بندی مطالب خوش آموز
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: