Linux keylogger без root или sudo! Это реально?

Кто-то из Youtube утверждает, что у него есть кейлоггер для Ubuntu, который не был выполнен и не установлен как root. В приведенной ниже ссылке показана демонстрационная работа.

  • Можно ли встроить кейлоггер в jpg-образ?
  • Несмотря на их заявления об обратном, этот человек мог установить его как root, прежде чем продемонстрировать для видео. Есть ли другие полувероятные доказательства того, что это действительно возможно без root для установки или выполнения?

    ОБНОВЛЕНИЕ: программное обеспечение, на которое ссылается ответ 24 июня, не будет устанавливаться без sudo / root. Я добавил щедрость тому, кто дает ссылку на действующее программное обеспечение для кейлоггеров Linux, которое может быть установлено и запущено с правами обычного пользователя.

  • Я ищу программное обеспечение для мониторинга последовательного порта
  • Как преобразовать фотографию в черно-белое изображение с помощью ImageMagick?
  • Что именно определяет, если фоновая работа убита, когда оболочка завершена или убита?
  • Каковы мои лучшие возможности для восстановления данных с неисправной микрокарты SD (используемой на сотовом телефоне Android)?
  • Как загрузить файл с помощью командной строки?
  • Невозможно загрузить ОС с USB-накопителя, показывая черный экран с мигающим курсором
  • 8 Solutions collect form web for “Linux keylogger без root или sudo! Это реально?”

    Да, это реально. Если вы были использованы через браузер, и злоумышленник может запускать код с вашими привилегиями пользователя, он может зарегистрировать программу через автозапуск GNOME или KDE, которые запускают программы при входе в систему. Любая программа может получить коды сканирования нажатых клавиш в X Window System. Это легко продемонстрировать с помощью команды xinput. Дополнительную информацию см. В сообщении блога об изоляции GUI .

    Да, это возможно.
    Вы можете попробовать это на своей собственной машине с помощью аналогичного программного обеспечения lkl .

    Концепция в этом видео на 100% реальна, и код очень прост.

    Идентифицируйте свой идентификатор клавиатуры: xinput --list

    xinput --test $id нажатия клавиш с помощью: xinput --test $id

    Сопоставление номеров с ключами: xmodmap -pke

    Я не смотрел видео, поэтому я отвечаю на впечатление, которое я получил о том, что он утверждает из потока SU, а не о видео, которое вы цитируете.

    Если злоумышленник может запускать код на вашем компьютере в качестве пользователя, он может записывать ваши нажатия клавиш.

    Ну, дух. Все приложения, которые вы используете, имеют доступ к вашим нажатиям клавиш. Если вы печатаете материал в своем веб-браузере, ваш веб-браузер имеет доступ к вашим нажатиям клавиш.

    Ах, вы говорите, но как насчет нажатия клавиш в другом приложении? Пока другое приложение работает на одном и том же X-сервере, они все равно могут быть зарегистрированы. X11 не пытается изолировать приложения – это не его работа. X11 позволяет программам определять глобальные ярлыки, которые полезны для методов ввода, для определения макросов и т. Д.

    Если злоумышленник может запускать код в качестве пользователя, он также может читать и изменять ваши файлы и причинять все другие вреды.

    Это не угроза. Это часть обычных ожиданий рабочей системы. Если вы разрешаете злоумышленнику запускать код на вашем компьютере, ваша машина уже не безопасна. Это похоже на то, что вы открываете входную дверь и разрешаете убийцу топора: если вас потом раскалывают пополам, это не потому, что ваша парадная дверь небезопасна.

    Ключ-кейлогер может только записывать ключи, нажатые зараженным пользователем. (По крайней мере, пока зараженный пользователь не вводит пароль sudo.)

    Это на 100% возможно. Для ttys / ptys (текстовый режим) самым простым способом является добавление прокладки в / bin / {ba, da, a} sh (например, второй сегмент кода, RX) и изменение точки входа (в основном как ELF Вирус будет). Запрещая доступ к этому в этом случае, можно модифицировать ~ / .profile или ~ / .bashrc (и т. Д.) В качестве очень простой гипотетической модели:

    Exec ~ / .malicious_programme

    Который может загружать динамический общий объектный код, чтобы скрыть вредоносную программу (пример: разрешить чтение и модификацию .profile, но скрыть строку. И / или скрыть программу.)

    Затем можно использовать систему pty (7) UNIX98 или даже просто pipe (2) для записи всего ввода в разветвленную оболочку, предполагая, что fd не отмечен FD_CLOEXEC, и даже изменить ввод пользователя в оболочку.

    В X11, хотя kdm / gdm / xdm работает как root (или эквивалент по возможностям [см. Setcap (8)] или любую другую модель безопасности, которую вы используете, если не используется по умолчанию), все становится более сложным, очевидно. Если можно повысить привилегии? Iopl (2) или ioperm (2) упрощают жизнь с прямым доступом к портам клавиатуры 0x60 / 0x64 на x86. Поскольку мы предполагаем, что вы не можете, мы должны искать альтернативный маршрут. Я знаю несколько, но я не совсем уверен, что вам нужна диссертация о том, как это возможно, и о взаимодействующих интерфейсах.

    Достаточно сказать, что кольцо 3, трояны не суперпользователя вполне возможны на * nix, несмотря на изоляцию процесса, в результате различных проблем (особенно с X), которые добавили функции демонов пользовательского режима для предоставления, например, текста Поддержка речи для всех приложений без ущерба для безопасности системы. Я уже изложил тот, который работает аналогично ttysnoops (который уже давно истекает срок его действия), и он не требует root. У меня есть пример кода для этого случая (который будет включать внутри терминалов в X), но я еще не опубликовал его. Если вам нужна дополнительная информация, пожалуйста, свяжитесь со мной.

    Да, возможно установить программное обеспечение без привилегий su или sudo; Однако, как правило, это делается при использовании эскалации привилегий. Это видео действительно неплохо справляется с возможностями этого кейлоггера, но в нем отсутствует подробная информация о установке кейлоггера. Здесь может быть немного обмана, но сложно сказать только из видео.

    Для целей тестирования я создал кейлоггер TTY, который может динамически присоединяться к tty пользователя, и программа не должна устанавливаться root и может использоваться любой учетной записью. После присоединения он будет записывать входы, соответствующие шаблону, указанному в командной строке при запуске программы.

    Возможно ли, что в таких системах, как Crunchbang (дистрибутив на основе Debian), просто добавьте разрешения в файл sudoers с помощью nano visudo в терминале и добавьте кейлоггер для автозапуска, например, для ключей для Linux, например, для журналов –start –output /home/user/.secret /журнал

    Удачи

    Давайте будем гением компьютера.