November 10, 2008

Keylogger

အခုတစ္ေလာ က်င့္၀တ္သိကၡာမရိွတဲ့ Cyber Café ေတြက ကြန္ပ်ဴတာေတြမွာ Keylogger program ေတြ တင္ထားၿပီး user ေတြ ၾကည့္သမွ် Site ေတြရဲ႕ Screenshot ေတြ၊ Keystrokes ေတြကို ခိုးယူမႈေတြ အေတာ္ေလး မ်ားျပားလာပါတယ္။ အဲဒါေၾကာင့္ အဲဒီ Keylogger ရန္ကေန ဘယ္လို ကာကြယ္ႏိုင္တယ္ဆိုတာကို လက္လွမ္းမီသေလာက္ စဥ္းစားၿပီး တင္လိုက္ပါတယ္။

Keylogger ဆိုတာဘာလဲ
Keylogger ဆိုတာကို ၾကားဖူးခဲ့တာ ၾကာပါၿပီ။ မ်ိဳးစံုး စမ္းၾကည့္ဖူးပါတယ္။ Keylogger ဆိုတာ Program တစ္ခုျဖစ္ၿပီး ေနာက္ကြယ္ကေန ကၽြန္ေတာ္တို႔ Keyboard ေပၚမွာ ရိုက္သမွ် စာေတြကို ဖမ္းယူထားပါတယ္။ တစ္ခ်ိဳ႕ Keylogger ေတြကေတာ့ တစ္မိနစ္တစ္ႀကိမ္ စသျဖင့္ Monitor မွာ ေပၚသမွ်ကို ဖမ္းၿပီး ဖိုင္ေတြအျဖစ္ သိမ္းဆည္းေပးႏိုင္ပါတယ္။ Function စံုတဲ့ Keylogger ဆိုရင္ ဖမ္းရသမွ်ကို ဘယ္ Email ကို ဘယ္အခ်ိန္မွာ ပို႔ပါလို႔ေတာင္ ခိုင္းထားလို႔ရပါေသးတယ္။

ကြန္ပ်ဴတာဟာ Keylogger ထည့္ထားမွန္း ဘယ္လိုသိႏိုင္မလဲ
ေတာ္ရံုတန္ရံုနဲ႔ေတာ့ မသိႏိုင္ဘူးလို႔ ေျပာရပါ့မယ္။ အဲဒီ Program ေတြဟာ Taskbar မွာလည္းမေပၚပါဘူး။ Tray Icon Area မွာလည္း မေပၚပါဘူး။ Install လုပ္တဲ့သူကိုယ္တိုင္ေတာင္ ျပန္ဖြင့္ခ်င္တဲ့အခါ Install လုပ္စဥ္က သတ္မွတ္ခဲ့ရတဲ့ Hot Key နဲ႔ ဖြင့္ရပါတယ္။ ဥပမာ- Ctrl+Alt+P စသည္ျဖင့္ပါ။

ဒါေပမဲ့ Keylogger ထည့္ထားတယ္ဆိုရင္ စာရိုက္တဲ့အခါ ခ်က္ခ်င္းမေပၚပဲ ေလးေနတာတို႔၊ Screen ဟာ တိက်တဲ့ အခ်ိန္အပိုင္းအျခားတစ္ခုစီမွာ ဖ်က္ကနဲ လႈပ္သြားတာတို႔ ျဖစ္တတ္ပါတယ္။

ေသခ်ာတဲ့ နည္းတစ္ခုေတာ့ ရွိပါတယ္။ အဲဒါကေတာ့ Task Manager ကို ဖြင့္ၿပီး ၾကည့္တဲ့နည္းပါ။ Task Manager မွာ Processes ဆိုတဲ့ Tab ပါတာ အားလံုးသိမွာပါ။ အဲဒီမွာ ကြန္ပ်ဴတာ လက္ရွိ run ေနတဲ့ Processes မွန္သမွ် ေပၚပါတယ္။ ဥပမာ- ကၽြန္ေတာ္တို႔ Firefox ကို ဖြင့္ထားတယ္ဆိုရင္ firefox.exe ကို အဲဒီမွာ ေတြ႕မွာပါ။

Processes Tab မွာက အဲဒီလို Process နာမည္ေလးတင္ မကပဲ အဲဒီ Process ကို user က run တာလား၊ System က run တာလား၊ CPU သံုးစဲြမႈ ဘယ္ေလာက္ရွိသလဲ၊ Memory သံုးစဲြမႈ ဘယ္ေလာက္ရွိသလဲ အဲဒါေတြကို Column ေလးေတြ ခဲြၿပီး ျပေပးထားပါတယ္။
ဒါမ်ိဳးပါ

Image Name User Name CPU Mem Usage
Firefox.exe Ko Thurein 01 29072k

အဲဒါကို ၾကည့္လိုက္မယ္ဆိုရင္ Ko Thurein account ကို သံုးၿပီး Firefox ကို ဖြင့္ထားတယ္ဆိုတာ သိႏိုင္ပါတယ္။ အဲဒီမွာ System က run ေနတဲ့ process ဆိုရင္ေတာ့ ဒါမ်ိဳး ေပၚပါလိမ့္မယ္။

Image Name User Name CPU Mem Usage
Winlogon.exe System 00 3207k


Keylogger ေတာ္ေတာ္မ်ားမ်ားရဲ႕ Process ေတြဟာ ဒီမွာ လာေပၚတတ္ပါတယ္။ Username မွာလည္း System နဲ႔ မဟုတ္ဘဲ လက္ရွိ ကိုယ္သံုးေနတဲ့ account နာမည္နဲ႔ run ပါတယ္။ အဲဒီ Process ကို ပိတ္လိုက္မယ္ဆိုရင္ အဲဒီ Keylogger ဟာ အလုပ္လုပ္ႏိုင္မွာ မဟုတ္ေတာ့ပါဘူး။

အဲဒီေတာ့ ကိုယ္လက္ရွိသံုးေနတဲ့ Program ရဲ႕ Process မဟုတ္ဘူးဆိုရင္ အဲဒီ Process ကို ပိတ္ပစ္တာ အေကာင္းဆံုးပါပဲ။ ေအာက္မွာေတာ့ အသံုးမ်ားတဲ့ Program ေတြရဲ႕ Process နာမည္ေတြ ေရးထားပါတယ္။

Mozilla Firefox firefox.exe
Internet Explorer iexplore.exe
Google Chrome chrome.exe
Gtalk googletalk.exe
Internet Download Manager IDMan.exe

ဒါမ်ိဳးေလးေတြ သိထားၿပီဆိုရင္ Task Manager ကို ဖြင့္ၿပီး Process Tab မွာ ကိုယ္သံုးေနတဲ့ Program ရဲ႕ Process မဟုတ္တဲ့ဟာေတြ႕ရင္ ပိတ္ပစ္လိုက္ပါ။ ပိတ္နည္းကေတာ့ အဲဒီ Process နာမည္ေပၚမွာ Right Click ႏိွပ္ၿပီး End Process ကို ေရြးလိုက္ပါ။

အေကာင္းဆံုးကေတာ့ အင္တာနက္ဆိုင္က ကြန္ပ်ဴတာမွာ ထိုင္လိုက္တာနဲ႔ Task Manager ကုိ ဖြင့္ၿပီး System က run ေနတာမဟုတ္တဲ့ Process မွန္သမွ်ကို ႀကိဳပိတ္ပစ္တာက ေဘးအကင္းဆံုးပါပဲ။ အဲဒီ Process Tab မွာ System က run တဲ့ Process ရယ္၊ User က run တဲ့ process ေတြကို ခဲြျမင္ႏိုင္ဖို႔အတြက္ အေပၚက UserName ဆိုတဲ့ Column Header မွာ တစ္ခ်က္ႏိွပ္လိုက္ရင္ ခဲြၿပီး စီေပးသြားမွာပါ။ အဲဒီမွာ Username မွာ System, Network Service နဲ႔ Local Service နဲ႔ run တဲ့ Process ကလြဲလို႔ က်န္တဲ့ Process မွန္သမွ် အကုန္ ပိတ္ပါ။ တစ္ခုေတာ့ရွိပါတယ္။ explorer.exe နဲ႔ userinit.exe processes ေတြကိုေတာ့ လံုး၀မပိတ္ပါနဲ႔။

ေနာက္ထပ္ အိမ္သံုး၊ ရံုးသံုးကြန္ပ်ဴတာ ကိုင္သူမ်ားအေနနဲ႔ Antivirus Program ရဲ႕ Process ကိုလည္း မပိတ္သင့္ပါဘူး။ (မဟုတ္ရင္ ကြိသြားမွာေပါ့) Kaspersky သံုးတဲ့သူဆိုရင္ avp.exe ဆိုတဲ့ Process ကို မပိတ္ရပါ။

ဒါေပမဲ့ Internet Café ေတာ္ေတာ္မ်ားမ်ားမွာက User အင္တာနက္သံုးတဲ့အခ်ိန္ကို မွတ္တဲ့ Software ေတြ တင္ထားၾကပါတယ္။ ဥပမာ- CafeZee, HandyCafe, CafeSuite စသည္ျဖင့္ေပါ့။ အဲဒီ Software ေတြမွာလည္း သူတို႔ Process ေတြ ရွိတာေပါ့။ အဲဒီ Process ေတြကို ပိတ္လိုက္မယ္ဆိုရင္ေတာ့ အင္တာနက္သံုးတဲ့အခ်ိန္ကို အဲဒီ Software က မမွတ္ႏိုင္ေတာ့ပါဘူး။ (ထိုနည္းကို ေမးျမန္းျခင္း သည္းခံပါ) ဒါေၾကာင့္ သူတို႔ကလည္း ကာကြယ္တဲ့အေနနဲ႔ အဲဒီ Software ေတြကို တင္လိုက္ၿပီဆိုရင္ Task Manager ကို ဖြင့္မရေအာင္ လုပ္ပစ္တတ္ၾကပါတယ္။ အဲဒီလို အေျခအေနမ်ိဳးကို ႀကံဳရၿပီဆိုရင္ေတာ့ တျခား Software ေတြကို သံုးၿပီး Process ေတြ သိေအာင္ လုပ္ရပါေတာ့မယ္။ Taskkill တို႔ ProcessExplorer တို႔ကေတာ့ ေတာ္ေတာ္ ေကာင္းပါတယ္။ အဲဒီ Program တစ္ခုခုကို MemoryStick ထဲမွာ ထည့္ထားတာတို႔၊ ဒါမွမဟုတ္ Online Drive တစ္ခုခုမွာ ထည့္တာၿပီး Task Manager ပိတ္ထားတဲ့ စက္မွာထိုင္ရၿပီဆိုရင္ ေကာက္ဖြင့္ၿပီး ဘာ Process ေတြ run ေနလဲဆိုတာ ၾကည့္ရမွာပါ။ လံုး၀ သတိျပဳရမွာက အင္တာနက္ကို လံုး၀ မသံုးေသးခင္ ၾကည့္ပါ၊ မသကၤာတာ ေတြ႕ရင္ ပိတ္ပစ္ပါလို႔ပဲ တိုက္တြန္းခ်င္ပါတယ္။

(မွတ္ခ်က္- Username မွာ System အေနနဲ႔ run ႏိုင္တဲ့ Keylogger ကို မေတြ႕ဖူးေသးပါဘူး။ တကယ္လို႔မ်ား စာဖတ္သူထဲက ေတြ႕ဖူးထားတဲ့သူမ်ားရွိရင္ အမ်ားအတြက္ Comment ေပးခဲ့ပါဦး)

No comments:

Post a Comment