如何检测系统上的键盘记录程序？

我怎么知道我的系统中是否有键盘记录器，或者至少现在有一个键盘记录器处于活动状态？

键盘记录器现在正在运行吗？

• 首先，我们假设您使用的是已安装X的现货Ubuntu系统，并且该系统始终处于X的控制之下-X是您自己或您绝对信任的人。

• 由于这是一个库存系统，并且所有软件都已从官方存储库中安装，因此可以确定其中没有隐藏的键盘记录程序，例如，有人专门修改了内核以监视您，从而很难检测到。

• 然后，如果键盘记录程序正在运行，则将显示其过程。您需要做的就是使用ps -aux，或者htop查看所有正在运行的进程的列表，并确定是否有可疑的东西。

  • 最常见的“合法” Linux键盘记录程序是lkl, uberkey, THC-vlogger, PyKeylogger, logkeys。logkeys是Ubuntu存储库中唯一可用的一个。

我是否意外下载了木马/病毒键盘记录器？

• 通常，由于su所需的特权（），在Ubuntu / Linux上，这种风险很小。
• 您可以尝试使用Mitch在其答案中指出的“ rootkit”检测器。
• 否则，它取决于法医分析，例如跟踪/调试过程，查看引导之间的文件修改/时间戳，嗅探网络活动等。

如果我使用的是“不受信任”的Ubuntu系统怎么办？

那么，如果您正在使用互联网/网络咖啡厅，图书馆，工作中等，该怎么办？甚至是许多家庭成员使用的家用计算机？

好吧，在这种情况下所有赌注都没有了。如果某人具有足够的技能/金钱/决心，则很容易监视您的击键：

• 当您是公共计算机实验室的管理员并将其放在您自己的系统上时，几乎不可能将这些内核修改的隐藏键盘记录程序引入其他人的系统中会变得容易得多。
• 在键盘和计算机之间有硬件USB或PS / 2键盘记录器，可将每个按键记录到内置内存中。它们可以隐藏在键盘内，甚至隐藏在计算机机箱内。
• 可以对摄像机进行定位，以使您的按键可见或清晰可见。
• 如果所有其他方法均失败，则警察局可以随时将您的goon发送给您，迫使您告诉他们您在枪口下键入的内容：/

因此，对于不受信任的系统，最好的办法是带上自己的Live-CD / Live-USB并使用它，带上自己的无线键盘，然后将其插入USB端口，而不是系统自己的键盘上的USB端口（消除隐藏在键盘中的硬件记录仪以及隐藏在计算机中的该端口上的硬件记录仪，希望他们没有为整个系统的每个端口使用硬件记录仪，学习发现相机（包括可能隐藏的相机） ，如果您处于警察状态，请在比当地警察的响应时间短的时间内完成您的工作并在其他地方。

我只想抛出Linux上不存在的东西：安全文本输入。

在xterm上，Ctrl单击+->“安全键盘”。这要求将xterm击键与其他x11应用隔离。这不会阻止内核记录器，而只是一种保护级别。

是的，Ubuntu可以有一个按键记录器。它牵强附会，但有可能发生。可以通过浏览器利用它，攻击者可以使用您的用户权限运行代码。它可以使用自动启动服务，该服务在登录时运行程序。任何程序都可以获取X Window System中按键的扫描代码。通过xinput命令可以很容易地演示它。有关更多详细信息，请参见GUI隔离。^1个

linux键记录器需要具有root用户访问权限，才能监视键盘。除非他们没有获得该特权，否则他们将无法运行按键记录器。您唯一可以做的就是检查rootkit。为此，您可以使用CHKROOTKIT

^{1资料来源： superuser.com}

Linux键盘记录程序可以由与系统兼容的语言制成，并且需要使用本地文件存储来记录此数据；如果进行了编程，则必须使用手动编程或下载的键盘记录程序来与此数据记录操作系统，那么它实际上可能是文件，可能在系统上的任何位置都被重命名为看起来像系统文件。

上一次我在系统上创建/拥有一个键盘记录程序时，就是这种情况，很容易检测和删除，但其中包括手动查找源代码，这花费了一些时间。

如果您确实有这种类型的键盘记录器，我会尝试查找并删除它，但是如果确实已下载或安装了该键盘记录器，则我认为这不太可能，因为Linux是安全的操作系统，通常不会怀疑您通常会在Windows系统上发现的各种形式的病毒。