Hur vet man om man är keyloggad?

Går det att se på något sätt utan att formatera? Det är inte så att jag själv tror att jag är det, hade i så fall formaterat omedelbart, utan jag undrar bara som sagt om det går och se på något sätt? Eller märks det bara genom att man helt plötsligt en dag är hackad på allt man loggat in på?

Kommer inte upp en bild på en råtta vid aktivitetshanteraren om du nu trodde det.
Du får väl kolla vilka program som startar, hålla koll på nätverksanvändningen osv.

Intressant fråga som kräver ett bra svar.

Inget AV i världen kan vara steget före virus. De förlitar sig endast på statiska mönster vilket fungerar ibland, men handlar det om sofistikerade virus så finns det inte en chans att ett AV kan detektera en keylogger, om så vore fallet så skulle den ge massa med false positives.

Man bör inspektera sin nätverkstrafik. Stäng av så mycket du kan innan du gör det och starta Wireshark. Efter 20-30 min så lär du har data. Kan du inte tolka trafiken så ge dumpen till någon som kan.

Inspektera processer manuellt. Kolla vilka processer som körs, vilka som är syskon och föräldrar(parent PID). Ladda ner procexp.exe från sysinternals och kolla på dina processer. Inspektera filsystemets API:er så som vilka processer som skriver/läser filer. Detta brukar ge en klar bild om vad som händer i systemet.

Sist men absolut det bästa sättet är en minnesanalys. Allting finner du i RAM och med rätt verktyg och kunskap så kan ett malware omöjligt gömma sig. Man behöver en stor kunskap om vad malwares kan och brukar göra och leta efter dessa mönster. Ett litet exempel kan vara API-hooks:

Ovanstående kod visar hur en kod har använt PUSH/RET-metoder för inline hooking i en helt oskyldig process. Detta är något som ett AV aldrig skulle detektera, men fattar man principen bakom malware så kan man bli sitt eget AV.


Sorry att det kanske inte var det svaret du förvänta dig TS, men det är så här man detekterar skadlig kod på sin dator och de stora AV-företagen gör så också.

Shit vilket bra svar du gav, är riktigt nöjd med det. Är ju medveten om att det är nästan omöjligt för en "average" datoranvändare att upptäcka såna här saker i tid.

Det kan man genom att ladda ner något program som är bra på att detektera keyloggers då de flesta keyloggers = Malware vanligtvis förekommande bland folk i allmänhet inte är så avancerade så klarar dessa program av att detektera dem . De beter sig enligt enkla lätt igenkända mönster och upptäcks och stoppas därmed .

Detsamma gäller ofta de bättre Av`ena .

Tackar, även fast jag tycker svaret var lite för komplicerat för att förstå, men jag kan ge en förklaring till hur AV's fungerar och hur du manuellt kan skydda dig innan en smitta.

Jag brukar säga att man inte ska slåss mot malware, man ska komma förbi dem. Vad jag menar med detta är att man ska inte lägga stor fokus på att förhindra att viruset får installeras. Det finns lösningar så som sandlådor, anti-exploits och anti-keyloggers som inte direkt stoppar malware men de gör det svårare för dem att utföra sitt verkliga syfte.

Att förstå att malware behöver systemets resurser säger sig självt. Ett malware behöver t.ex API-hooking för att kunna läsa av tangenttryckningar. Utan detta så skulle aldrig ett malware fungera! Så det är 100% omöjligt för ett malware att bli osynligt. Men det kan använda sig av ofantligt sofistikerade metoder, men grundprincipen är att de lämnar spår efter sig.

Så därför är det enkelt att komma förbi AV's! Malwareskapare vet hur AV's tänker och fungerar och med den kunskapen kan man komma förbi dem. Tänk dig ett AV som är en stor vakt som bara stirrar rakt fram, kommer denna vakt stoppa små virus som kommer från sidorna? Nej.

Det finns ramverk så som Veil som nästan gör narr av alla AV's eftersom skaparna demonstrerar hur enkelt det är att komma förbi deras detektering. Men det finns inget ramverk som gör narr av hur det mänskliga AV't fungerar...

--

Du behöver inte vara en expert egentligen. Ha sunt förnuft och ta inga risker. Vill du ha ett AV så installera ett, men förlita dig inte på det!

Ska du köra en fil som du inte riktigt litar på? Ladda upp den på Anubis samt Virustotal och kör den i en sandlåda!

Installera EMET vilket är det bästa up-to-date verktyget för att förhindra exploatering av binärer. Jag skapar själv exploits så tro mig när jag säger att EMET är min största fiende.

Fixa en anti-keylogger så som Keyscrambler.

--

Förstår du vad jag försöker säga? Istället för att upptäcka att du har en keylogger så ta för givet att du faktiskt har en. Den paranoide är alltid den som överlever. Men du är fortfarande inte 100% säker. Du kan fortfarande drabbas av keyloggers som kommer förbi alla dessa verktyg, så ha sunt förnuft helt enkelt.


Kanske detta var ett bättre svar?

Riktigt bra svar, du verkar verkligen vara kunnig inom ämnet.