Я недавно задавал себе тот же вопрос, только для (возможно, более распространенных) подключаемых аппаратных кейлоггеров, таких как, например, USB или PS/2 кейлоггеры.
Чтобы ответить на этот вопрос для себя, я недавно купил USB кейлоггер для экспериментов. Хотя на рынке наверняка есть разные устройства, и не все они работают одинаково, приобретенное мной устройство (KeeLog USB Keygrabber), похоже, сложно найти.
Использование программного обеспечения
Что я пробовал до сих пор (под Linux):
lsusb
и lsusb -t
lshw
powertop
tail -f /var/log/syslog
Ни одна из этих команд не показала никакой разницы в зависимости от того, использовался кейлоггер или нет. Никаких дополнительных устройств не отображается, никаких странных сообщений об ошибках в журнале, никаких разных адресов шины для одного и того же устройства и т.д.
Таким образом, кейлоггер, который я купил, не ведет себя как USB-концентратор или что-то подобное, он просто проходит (и захватывает) каждый пакет на шине.
Но поскольку кейлоггер должен быть вставлен между компьютером и клавиатурой, вы можете считать любые события отключения USB-клавиатуры подозрительными. Хотя я ожидаю довольно много ложных срабатываний.
Единственный способ увидеть разницу до сих пор был с дополнительным оборудованием:
Измерение потребляемой мощности
Я использовал USB Charger Doctor от Adafruit между моим компьютером и кейлоггером, и он показал на 0,04 A больше, чем без кейлоггера. Но до сих пор я не смог увидеть эту разницу в энергопотреблении с программным обеспечением, то есть с powertop
.
Но у этого вида обнаружения есть несколько недостатков:
Нажатие Caps-Lock и / или Num-Lock на клавиатуре также вызвало дополнительное энергопотребление от его светодиода, и это было примерно в том же диапазоне, согласно данным USB Charger Doctor: 1 светодиод = 0,03 А, 2 светодиода = 0,05 А.
Если мне придется каждый раз проверять USB-зарядное устройство перед использованием компьютера, я, скорее всего, также обнаружу USB-кейлоггер, расположенный в том же месте или поблизости.
Использование дополнительных устройств на одном USB-порту
Если вы ищете кейлоггер, например, на Amazon, вы заметите, что некоторые не будут работать, если в клавиатуре есть USB-концентратор (а другие утверждают, что их продукт работает). Поэтому я поместил простой USB-концентратор за кейлоггером и подключил клавиатуру к USB-концентратору (т.е. Компьютер → Кейлоггер → USB-концентратор → Клавиатура).
Результатом было то, что - по крайней мере, с моделью кейлоггера, которую я купил - мой компьютер больше не обнаруживал ни концентратор USB, ни клавиатуру, ни следов в журналах, как обычно, когда я подключал устройство USB. Индикатор питания на концентраторе USB был включен.
Таким образом, один из способов избежать (и не более того) опасности отсутствия обнаружения аппаратного кейлоггера USB - использовать удлинительный кабель USB на задней панели компьютера, заканчивающийся в видимом месте на рабочем столе, подключив к нему концентратор USB и клавиатуру. в центр Если вдруг клавиатура перестанет работать, вы, скорее всего, проверите всю цепочку USB и, возможно, заметите кейлоггер.
Итак, моя личная рекомендация:
Убедитесь, что вы можете легко проверить разъем клавиатуры
Настройте рабочий стол и компьютер таким образом, чтобы разъем клавиатуры был всегда или, по крайней мере, достаточно часто виден:
Подключите клавиатуру к разъему USB на передней панели, если ваш компьютер находится на рабочем столе. В настоящее время клавиатурные шпионы все еще достаточно велики, чтобы их заметить.
Если вам не нужны какие-либо внешние компоненты вашего компьютера (например, привод CD-ROM) и вы не возражаете против его отвратительной задней стороны, переверните компьютер, чтобы вы могли видеть все разъемы на задней панели во время работы.
Если у вас есть достаточно места вокруг вашего стола, а ваш ПК - это корпус для вышки, сидящий под вашим столом, настройте его так, чтобы вы регулярно проходили по задней части ПК и смотрели на заднюю часть вашего ПК, например, каждое утро, когда Вы прибываете на работу или около того.
Дальнейшее обсуждение
Эта тема также была рассмотрена на сайте ИТ-безопасности StackExchange в вопросе « Обнаружение аппаратных клавиатурных шпионов… элегантные решения?».