键盘记录器的秘密:全面解析与防御策略
当我们谈论恶意软件或病毒时,通常会想到它们破坏操作系统、窃取存储数据或阻碍我们访问信息。然而,有一种威胁常常被忽视,它就是键盘记录器。
键盘记录器是极具危险性的恶意软件,其目的在于窃取你的账户密码和财务信息,直接导致经济损失和身份盗用。更令人担忧的是,传统的安全措施,如杀毒软件,往往难以有效防御键盘记录器。
本文将深入剖析键盘记录器的世界,探讨它们的工作原理,更重要的是,如何保护自己免受这种隐蔽威胁的侵害。
什么是键盘记录器?
键盘记录器的核心功能是监测并记录键盘输入。它通常会将你输入的所有内容存储在一个隐藏文件中,然后通过电子邮件发送给黑客,或上传至服务器或网站。
黑客利用这些数据,可以窃取你的登录密码、信用卡信息,甚至在有针对性的攻击中,获取敏感的公司资料和商业计划。
键盘记录器主要分为两种类型:软件键盘记录器和硬件键盘记录器。尽管两者都旨在窃取信息,但其工作方式和防御方法却各有不同。
#1. 软件键盘记录器
软件键盘记录器是最常见的类型,通常用于大规模的、无针对性的攻击。一旦安装到电脑上,它们就会在后台悄无声息地工作,记录并发送数据而不暴露自身。
它们通过利用Windows API或Windows内核来工作。基于Windows API的键盘记录器以普通程序的形式运行,并常常伪装成合法程序。你可以在任务管理器或已安装程序列表中找到它们的身影。
而基于Windows内核的键盘记录器拥有更高的权限,它们可以隐藏在其他的Windows进程中。用户很难检测到它们的存在,除非借助专门的rootkit扫描功能。此外,它们拥有系统级权限,可以更好地访问信息,这与基于Windows API的记录器仅限于用户级权限的情况截然不同。
#2. 硬件键盘记录器
硬件键盘记录器是一种物理设备,它连接到键盘线或USB端口,以此窃取数据。它们通常不带任何软件,因此用户或杀毒软件都无法从操作系统中检测到它们。但是,这也意味着它们只能记录键盘输入。
一些高级的硬件键盘记录器可能会安装软件或固件,以记录更多数据或执行其他任务。但这些操作也更容易被杀毒软件检测到。记录下来的数据可以通过内置无线设备或数据共享软件发送回黑客,或者黑客也可能直接取回设备查看数据。
由于是物理设备,硬件键盘记录器常常用于有针对性的攻击,例如企业间谍活动,以窃取敏感信息。
键盘记录器的合法与非法用途
通常情况下,键盘记录器被认为是违法的,至少是不道德的。但实际上,根据使用目的和所在国家/地区的法律,它们有时也会有合法的用途。
在大多数情况下,在自己拥有的设备上安装键盘记录器并不违法。很多针对家长和雇主的监控软件,内置了键盘记录功能,用于监督孩子或员工的设备使用情况。
然而,部分国家/地区可能要求必须获得个人同意。例如,美国的ECPA和加拿大的PIPEDA要求雇主必须征得雇员的同意才能进行监控。但是,很多国家和州允许秘密监控,这也催生了间谍软件和反间谍软件的出现。
当然,未经允许在他人设备上安装键盘记录器是绝对违法的。
键盘记录器的危害性有多大?
键盘记录器的唯一目的是窃取敏感信息,它们在这方面的“工作”非常出色。与依赖用户在恶意网页上错误输入信息的网络钓鱼攻击不同,键盘记录器能够窃取所有通过键盘输入的内容。
黑客也擅长筛选大量被盗的数据,例如,只提取包含@符号或数字的信息。以下是键盘记录器可能造成严重危害的原因。
它们并非孤立存在
许多现代键盘记录器不仅仅能记录击键。如果你成为受害者,很可能被记录下来的不仅仅是键盘活动,还可能包括剪贴板内容、你在操作系统中的活动、你访问的URL以及你的屏幕截图。
它们威胁电脑和智能手机
键盘记录器对电脑和智能手机都是一种威胁,智能手机上的键盘记录器甚至可能比电脑上的更复杂。由于智能手机拥有更高的权限,可以更准确地追踪手机上的活动,键盘记录器可以更轻易地窃取和展示数据。
它们可能引发社会工程攻击
很多复杂的社会工程攻击,甚至包括“捕鲸”式的网络钓鱼攻击,都使用键盘记录器来了解目标个人的更多信息。即使无法直接窃取账户信息(由于额外安全措施),攻击者仍然可以通过了解受害者的习惯来发起社会工程攻击。
它们侵犯隐私并可能导致勒索
由于它们能够记录你输入的所有内容,键盘记录器也能读取你在社交媒体或电子邮件中发送的消息。如果是有针对性的攻击,黑客甚至可能利用你本应保密的非法活动进行勒索。
如何防范键盘记录器?
就像对待其他恶意软件一样,你可以通过采取适当的保护措施,而不是下载恶意软件来避免电脑感染键盘记录器。即使电脑不幸感染了,你也可以采取措施保护自己。以下是一些防止键盘记录器的方法:
#1. 使用具备反键盘记录器功能的杀毒软件
基本的杀毒软件并不能有效地对抗键盘记录器。你需要一个强大的解决方案,同时具备键盘记录器扫描器和Rootkit扫描器。例如,Avast One不仅提供卓越的反恶意软件和在线保护功能,还集成了键盘记录器移除器和Rootkit扫描器。
其主动保护功能可以阻止大多数键盘记录器的安装,包括基于Windows API和内核的记录器。
#2. 使用击键加密软件
击键加密软件可以在内核级别对你的击键进行加密,确保只有你正在使用的应用程序才能读取数据。这可以防止任何键盘记录器获取你的输入。这些软件通常会有一个预定义的应用程序列表,请确保它支持你经常使用的程序。
我推荐KeyScrambler,因为它支持数百种应用程序,包括浏览器、独立应用和商业软件。更重要的是,它的免费版本至少可以确保你在浏览器中的击键安全,而很多同类软件甚至没有免费版本。
#3. 使用虚拟键盘
很多键盘记录器无法追踪虚拟键盘输入的文字。对于登录凭证等敏感信息,你可以打开虚拟键盘,用鼠标点击输入。在Windows系统中,你可以按下Ctrl+Windows+O键启动虚拟键盘。
#4. 避免可疑链接和下载
大多数键盘记录器伪装成合法软件或与合法软件捆绑在一起安装在电脑上。不要从不可靠的来源下载内容,安装时也要格外小心,以免意外安装任何额外的软件。
非法或不道德的内容通常更容易携带恶意软件,如键盘记录器。因此,请避免下载受版权保护的内容、黑客工具或作弊器、自动修复工具以及其他涉及种子下载的内容。
通过电子邮件收到的可疑链接也要特别警惕,因为它们可能指向会自动下载键盘记录器的网页。
#5. 使用密码管理器
密码管理器可以在加密的保险库中保护你的所有密码,并在需要时自动填写登录凭证,无需使用键盘。由于不需要键盘输入密码,键盘记录器就无法窃取你的凭证。
例如,1Password是一款优秀的密码管理器,它可以存储密码和文档,并且可以在电脑和智能手机上使用。但你需要输入主密码来验证密码管理器,这个密码可能会被盗。不过,你可以通过两步验证来避免这种情况(稍后详述)。
#6. 尽可能启用两步验证
两步验证通过要求进一步的身份验证来增加额外的安全层,通常由辅助设备完成。即使你的密码被盗(例如被键盘记录器窃取),黑客仍然需要访问你的辅助设备。
所有的密码管理器和大多数流行的应用程序/服务都提供两步验证功能。例如,Google、Dropbox、Facebook、Slack、Twitter、1Password、Zapier 和 Apple 账户都支持两步验证。
#7. 避免使用公共设备
公共设备可能安装了软件或硬件键盘记录器,用于窃取信息。避免使用公共设备访问敏感信息。如果你必须使用,请务必在事后从安全的电脑上更改你的账户凭证。
#8. 限制软件安装权限
如果公司的电脑由你管理,那么限制软件安装是防止键盘记录器安装的好方法。因为大多数工作电脑不需要额外的软件即可正常工作,你可以将Windows配置为不允许用户安装软件。
#9. 保持操作系统更新
过时的操作系统可能存在安全漏洞,可能会被利用来安装和执行键盘记录器。这适用于电脑和智能手机。你需要使用最新的操作系统,并且它必须足够新,可以接收安全补丁。
#10. 始终启用防火墙
对于Windows系统,请确保防火墙处于启用状态。因为键盘记录器需要建立可疑的连接才能发送数据给黑客,这些连接通常会被防火墙拦截。你也可以尝试使用GlassWire,它可以追踪你建立的每一个连接(稍后详述)。
如何检测电脑是否感染了键盘记录器?
如果你怀疑电脑可能已经被感染,即使采取了保护措施,仍然有一些线索和工具可以帮助你确认。以下是一些常见的迹象:
#1. 电脑性能突然下降
有很多因素可能会影响电脑性能,例如未优化的设置或硬件故障。但是,如果电脑性能突然下降,很可能是由于键盘记录器造成的。这种恶意软件通常编码不当,有些还会不断地向黑客发送数据,这都会影响电脑的性能。
如果你的键盘和鼠标移动有明显的延迟,例如,你输入的任何内容都有200毫秒以上的延迟,或者鼠标移动也是如此,则尤其需要警惕。此外,如果鼠标光标随机消失,也可能是键盘记录器造成的。
#2. 使用任务管理器
任务管理器可以显示正在运行的进程。如果它是基于Windows API的键盘记录器,它将会在任务管理器中显示。按下Ctrl+Shift+Esc组合键打开任务管理器。
在这里右键单击顶部标题区域,并启用“发布者”选项。这将使你可以跳过所有与Windows相关的进程,因为它们的发布者都是Microsoft。对于其余的进程,只需查找你没有安装或不熟悉的应用程序。如果找到任何可疑程序,请在线搜索以查看它是否是合法程序。
#3. 检查最近访问的文件
由于键盘记录器通常将数据记录在一个隐藏文件中,只要它被编辑过,就会显示在Windows的最近访问文件中。这个区域只显示用户最近打开过的文件,因此任何你不记得打开过的文件都应该引起警惕。你可以在线搜索可疑文件,或者尝试用记事本打开,查看其中的数据。
要访问Windows 11中的最近访问文件,打开“开始”菜单,点击右下角的“更多”按钮。这会显示所有最近打开/编辑的文件。
#4. 检测硬件键盘记录器
硬件键盘记录器通常呈USB形状,在连接键盘线的背面有一个USB端口。它很容易被发现,但也可能隐藏得更隐蔽,例如伪装成充电器或USB数据线。有些甚至可能被安装在CPU内部,隐藏在视线之外。
如果你有所怀疑,检查所有的USB端口和键盘线是找到键盘记录器的最佳方法。你还可以打开CPU机箱,查看USB端口是否连接了任何额外的设备。
#5. 使用网络追踪器
像GlassWire这样的网络追踪器不仅可以像防火墙一样阻止可疑连接,还会通知你每次连接的详细信息。默认情况下,当它与新的服务器建立连接时,会通知你。你可以准确地查看哪个应用程序建立了连接,以及连接到了哪里。
有了这些信息,即使GlassWire没有自动检测到,你也可以手动检测可疑连接。
如果电脑被感染了怎么办?
你发现你的电脑被感染了,甚至可能找到了罪魁祸首程序,它是一个键盘记录器。解决方案很简单:清除它。大多数基于Windows API的键盘记录器都允许你像卸载其他程序一样轻松地卸载它,尽管有些可能会拒绝卸载。
以下是一些你可以采取的措施来消除感染,无论你是否已知感染源:
使用卸载程序
如果你检测到键盘记录器应用程序,那么最好使用第三方卸载程序将其删除。这样的应用程序不仅会删除主应用程序,还会删除任何相关的数据,包括注册表项。此外,如果应用程序拒绝卸载,卸载程序将删除与之关联的所有内容以阻止其运行。
IObit Uninstaller是我最喜欢的卸载程序。你可以从程序列表中选择键盘记录器,或者浏览电脑并添加其可执行文件。如果出于某种原因你仍然无法删除它,请尝试在安全模式下启动Windows,然后再试一次。
使用杀毒软件进行深度扫描
同样,我推荐使用Avast One进行深度扫描。它同时具有深度扫描和启动时扫描功能。深度扫描会搜索操作系统的每个角落,查找恶意软件。如果它无法找到并删除键盘记录器,那么启动时扫描将在操作系统和内核级应用程序可能干扰扫描之前,就扫描你的电脑。
恢复或重新安装操作系统
以上两种方法应该足够有效。但是,如果仍然无效,你可以选择重置电脑,而不是继续使用被感染的设备。有很多方法可以解决这个问题。你可以将电脑恢复到感染之前的某个日期,完全重置它,甚至完全卸载并安装新的操作系统。
在Windows设置中,转到“系统”>“恢复”以查找这些选项。如果你选择完全重置,请务必备份重要数据。
最后的话
在点击任何内容之前进行检查,并避免非法或不道德的内容,通常足以防御大多数恶意软件攻击。如果你足够小心,即使是基本的Windows Defender和防火墙也足以保护你的安全。但对于那些有安全意识的人来说,Avast One和GlassWire是针对键盘记录器和其他恶意软件的优秀组合。
你也可以探索其他付费和免费的病毒清除扫描程序。