Perché non sarebbe di aiuto.

La maggior parte dei keylogger è installata a livello di sistema operativo e il sistema operativo deve avere accesso alle sequenze di tasti. Il cambio di programma Alt-Tab, l'utilizzo di Ctrl-Alt-Canc per terminare i programmi malfunzionanti e il rilevamento dell'attività della tastiera per impedire l'attivazione del salvaschermo richiedono che il sistema operativo visualizzi le sequenze di tasti.

C'è anche la questione minore che se tu eliminato l'accesso del sistema operativo alla tastiera, ogni applicazione dovrebbe avere un set completo di driver della tastiera incorporati.

L'interfaccia da tastiera a applicazione attraversa diverse fasi, alcune delle quali il sistema operativo ha scarso controllo e altre che forniscono agganci espliciti per funzionalità aggiuntive. Il design di base è questo: gli eventi hardware vengono ricevuti dalle catene di driver, che quindi passano i messaggi al kernel, che quindi lo invia a una catena di tasti di scelta rapida globale e infine all'applicazione prevista (se non cancellati da alcun passaggio precedente nella catena ).

La catena dei driver consente al kernel di non preoccuparsi di "come" vengono generate le battiture, ma solo di quello che sono. Potrebbero provenire da una tastiera, da un dispositivo IR o da qualsiasi altra sorgente che potrebbe inviare un segnale progettato per essere interpretato come una tastiera. Un registratore di tastiera hardware, ad esempio, è un dongle che ha un ingresso USB o PS / 2 su un'estremità e una porta USB o PS / 2 sull'altra, in modo tale che la tastiera passi i dati attraverso questo dispositivo e venga intercettata. Il sistema operativo letteralmente non è in grado di rilevare che tale registrazione è in corso.

L'altro tipo comune di registrazione avviene nel software, che può accadere prima che il sistema operativo abbia la possibilità di vedere i messaggi della tastiera, o dopo. I driver possono fare praticamente tutto ciò che vogliono e il sistema operativo non può rilevare rigorosamente che un driver sta deviando i messaggi per scopi nefasti, perché riescono a ispezionare i messaggi prima che lo faccia il sistema operativo. Questa è la natura dell'Hardware Abstraction Layer (HAL) di cui fanno parte i driver. Fortunatamente, poiché sono in memoria, il software anti-malware può rilevare e disabilitare tale comportamento.

Infine, hai un "buco" intenzionale nel sistema operativo, di solito indicato come "tasti di scelta rapida globali", che consente a qualsiasi applicazione di richiedere che i messaggi della tastiera vengano passati a loro prima dell'applicazione in focus. Ciò consente non solo il funzionamento di Alt-Tab (il gestore delle finestre intercetta questi messaggi per cambiare app), ma anche la maggior parte dei programmi multimediali richiede ai gestori di supportare tasti multimediali come riproduzione, riavvolgimento e avanzamento rapido e altre app di terra dell'utente per controllo del volume, ecc. Senza tutti questi tasti di scelta rapida globali, il sistema operativo sarebbe molto fastidioso da usare e di conseguenza le app sarebbero molto più complesse. Tuttavia, proprio poiché questa è una grande funzionalità da avere, può anche essere usata in modo improprio da un programma.

Tuttavia, dovresti notare che non "tutti" i programmi ricevono una copia di un messaggio della tastiera, solo i driver, gestori di tasti di scelta rapida globali e l'applicazione a fuoco. Il problema non ha nulla a che fare con il fatto che ogni programma riceve una copia di un evento della tastiera, ma il fatto che l'HAL deve essere in grado di trasformare i messaggi dall'hardware ai messaggi del kernel e sono necessari tasti di scelta rapida globali per fornire funzionalità al utente senza che ogni programma debba essere creato per fornire le stesse funzionalità.

Ci sono stati progressi per bloccare il processo, come la richiesta di "driver firmati", che riduce il probabilità che driver dannosi entrino nella catena dei driver e antivirus in grado di rilevare comportamenti scorretti da parte delle app. Tuttavia, fino a quando non verranno risolte molte delle vulnerabilità di sicurezza, come la registrazione della tastiera a livello di hardware e la registrazione di tasti di scelta rapida globale non sicura, i logger avranno ancora la possibilità di registrare le sequenze di tasti. Anche se le normali sequenze di tasti sembrano andare semplicemente dall'hardware a un'app, in realtà sono necessari diversi passaggi intermedi e questi passaggi sono necessari per la compatibilità di base (driver) e la funzionalità (tasti di scelta rapida globali).

Il motivo per cui questo non viene fatto per impostazione predefinita è perché la progettazione del sistema operativo della generazione precedente non si concentrava molto sul sandboxing e simili, quindi in questo momento sarebbero necessarie grandi modifiche all'architettura per far funzionare tali modifiche. Mark tocca questi in una certa misura nella sua risposta, ma si riduce al fatto che non puoi consentire alle applicazioni di funzionare alla cieca con i privilegi del sistema operativo.

È tuttavia molto più interessante notare che i sistemi operativi moderni come Ad esempio, Android di Google, iOS di Apple e persino ChromeOS (desktop) di Google limitano le sequenze di tasti solo alle applicazioni correnti ¹ . Ora, concentrandoti solo su ChromeOS poiché è l'unico sistema operativo desktop nell'elenco, è anche importante notare che i collegamenti globali non creano problemi in questo caso. Un'applicazione può "semplicemente" dire al sistema operativo che desidera associarsi a un collegamento specifico che può essere configurato nel sistema operativo dall'utente. La specifica pertinente può essere trovata qui per quelli di voi che sono curiosi di vedere come appare.

Allo stesso modo, dando un'occhiata ad Android, possiamo trovare quel software di accessibilità che richiede l'accesso globale alla tastiera può ancora essere scritto in ambienti così moderni esponendo tali informazioni se e solo se all'applicazione sono esplicitamente concesse tali autorizzazioni nel pannello delle impostazioni di accessibilità. Ciò rende la configurazione di tale software un po 'complicata, ma impedisce la distribuzione dei keylogger.

In conclusione, l'unica ragione per cui non viene eseguita è non perché non lo fa " Non aiuta o è impossibile, ma perché a causa delle priorità storiche ci vuole solo un po 'più di tempo per arrivarci. Ci arriveremo in tempo e nel frattempo può avere senso utilizzare un sistema operativo più moderno e bloccato in ambienti sicuri.

¹ So che Mac OS X ha recentemente ampliato il proprio impegno di sandboxing delle applicazioni. Presumo che anche un'applicazione correttamente sandbox (una che non richiede privilegi di amministratore) non sarà in grado di agire come keylogger, tuttavia ho passato pochissimo tempo a leggere come funziona davvero il loro sandboxing. Se qualcuno lo sa per certo, condividi!

Su Windows, la protezione tra le applicazioni eseguite con lo stesso utente è minima. Se provi a rimuovere SetWindowsHookEx , gli autori di malware passeranno all'iniezione di DLL e a tutta una serie di altre tecniche. Potresti anche disegnare una finestra trasparente sopra l'applicazione mirata che dovrebbe essere attiva e ricevere le sequenze di tasti, quindi trasmetterle inviando messaggi di Windows. Fondamentalmente Windows non è stato progettato pensando alla possibilità di eseguibili dannosi.

Un sistema progettato per eseguire applicazioni non attendibili può eseguirne il sandbox l'uno dall'altro. Ma è ancora vulnerabile agli exploit (molto più rari) che si aprono dalla sandbox al kernel.

C'è anche un'altra tecnica che potrebbe essere utilizzata: l'esecuzione di codice arbitrario nel browser offre a un exploit la possibilità di registrare ogni sequenza di tasti visualizzata dal browser, anche se non può sfuggire a una sandbox.

Ci sono ragioni molto valide per cui desideri che le sequenze di tasti siano visibili alle applicazioni al di fuori del processo in primo piano attualmente in esecuzione. A meno che ogni programmatore non implementi taglia / copia / incolla, ad esempio, il sistema operativo deve monitorare determinate sequenze di tasti. Supponiamo che tu abbia un programma per acquisire schermate e desideri che venga attivato da una determinata sequenza di tasti, quel programma deve essere in grado di monitorare l'attività della tastiera per rilevare quando vengono attivati ​​i suoi tasti. Avrebbe più senso eseguire tutto in una sandbox e se il monitoraggio dell'input fosse un requisito per un programma in background è un'autorizzazione che deve essere consentita, ma indipendentemente da ciò che viene fatto, c'è sempre un modo per aggirarlo. Se qualcuno vuole sapere cosa stai digitando, troverà un modo. Tutto quello che possiamo fare è cercare di renderlo più difficile. L'offuscamento potrebbe essere un metodo interessante. Iniettare molti messaggi di input falsi nel sistema operativo che il programma in esecuzione genera per ingannare qualcosa al di fuori di esso?

Molti hanno osservato che altre applicazioni legittime potrebbero aver bisogno di trasformare l'input da tastiera originale (che si presenta sotto forma di tasto X premuto / rilasciato) in una sorta di testo. Le persone che hanno perso l'uso di una mano, per esempio.

Esistono anche strumenti di mappatura della tastiera che consentono alle persone di digitare in lingue per le quali il sistema operativo non fornisce una mappa della tastiera per quella lingua (o l'utente non desidera utilizzare la mappa della tastiera definita dal sistema operativo- -per esempio, un layout simile a Dvorak per una lingua diversa dall'inglese). Una di queste app è Keyman (keyman.com).

E infine, ci sono persone come me (o forse sono l'unico) che hanno mappatori di tastiera che mappano cose come -H sul cursore sinistro freccia, -B a - e così via. Quindi noi pigri (o solo io) non dobbiamo muovere le mani dalla parte alfabetica della tastiera per muoverci.

Esistono infatti alcuni sistemi operativi che lo consentono, ovvero Mac OS X. Le pressioni di tasti che non sono combinazioni di tasti di sistema "riservate" o tasti di "modifica" (alt, ctrl, shift ecc.) vengono inviate solo all'applicazione attualmente al centro dell'attenzione.

Ovviamente, ciò renderebbe molto fastidioso alcune applicazioni progettate per l'accessibilità e programmi che utilizzano VoIP che richiedono tasti push-to-talk. Per questo motivo, c'è una parte delle Preferenze di Sistema in cui puoi abilitare questa funzionalità per applicazioni specifiche.

Per quanto riguarda Windows, immagino che non sia fatto perché l'attuale metodo di gestione della pressione dei tasti è piuttosto complesso ed è progettato per funzionare con tutti i driver e i programmi correnti.

Uno dei motivi è che per alcuni software, essere in grado di leggere le sequenze di tasti mentre è attivo ma non attualmente selezionato è vitale per il funzionamento del software.

• Ad esempio, push-to - i tasti di conversazione su software VoIP come Teamspeak o Ventrilo consentono ai giocatori di chattare nel momento in cui vogliono chattare in modo da non avere un torrente di rumore.
• Le persone che registrano lo schermo per vivere (come YouTube / Streamer, tutoristi informatici e revisori di software) si affidano a scorciatoie da software come Fraps, OBS, Xsplit, ... per garantire che le loro registrazioni funzionino correttamente.
• Gli sviluppatori di software spesso traggono vantaggio dalla possibilità di concentrare il loro progetto mentre procedono attraverso il loro codice su l'altro monitor con i tasti funzione.
• Personalmente mi piace il fatto di poter concentrare il mio World of Warcraft mentre utilizzo la rotellina del mouse per scorrere in Chrome e non è necessario passare da un programma all'altro costantemente. / li>

Facciamo un esempio pratico.

Alcune persone disabili trovano difficile digitare e sono molto lente a digitare. Spesso utilizzano il software di " previsione delle parole" che mostra un elenco delle parole che corrispondono a ciò che hanno digitato fino a quel momento, consentendo di selezionare una parola dall'elenco con un solo tasto.

I non vedenti utilizzano un software che legge il testo visualizzato sullo schermo (lettori di schermo). Questo software può anche pronunciare ogni lettera mentre viene premuta sulla tastiera. Il software ha alcuni tasti di scelta rapida che leggono la riga corrente, ecc.

Nel Regno Unito, esiste un software che ti consente di digitare un indirizzo in una lettera digitando il codice postale, quindi premendo un tasto di scelta rapida per ottenere il codice postale si è espanso in quasi l'indirizzo completo. Questo software viene spesso utilizzato con il database dei clienti, ecc. Che non supportano l'immissione "rapida" dell'indirizzo.

I tester desiderano essere in grado di registrare tutte le sequenze di tasti e i movimenti del mouse effettuati durante il test del software, quindi può quindi riprodurli per ripetere il test.

In tutti i casi sopra indicati il ​​software DIPENDE dalla possibilità di vedere quali sequenze di tasti vengono inviate ad altri programmi.

Smartphone e tablet limitano il modo in cui le applicazioni possono interagire tra loro, nella misura in cui la maggior parte delle persone si rivolge ancora a un "PC" o Mac quando desidera portare a termine un lavoro che richiede l'uso di più di un'applicazione.

La sicurezza e la libertà di essere produttivi non sempre vanno insieme; c'è un compromesso da fare. L'iPhone si trova a un'estremità dello spettro e Windows / Max all'altra.

Il sistema X Window lo fa già in una certa misura. Consente ai programmi di afferrare il mouse e la tastiera e nient'altro può intercettare gli input. Nemmeno il window manager. È piuttosto fastidioso per i giochi a schermo intero poiché non è possibile abbandonare il gioco. Prova ad aprire xterm e tieni premuto il tasto ctrl e fai clic con il pulsante destro del mouse (credo) e seleziona afferra tastiera. Ora quello che digiti in xterm non può essere visto da nessun altro client che si connette al server X. Modifica: sembra che X abbia ancora una funzione XQueryKeymap che può aggirarla ed essere usata da un keylogger.

Modifica: Windows implementa tale funzionalità facendo in modo che premendo ctrl + alt + del porti sempre una schermata di gestione dell'account Windows valida, purché il cambio utente rapido sia disattivato. Quindi non sono possibili schermate di immissione di password false.