Articlename: Einen Keylogger benutzten Keywords: keylogger Date: 19.01.2008, 17:15 Views: 1430 Categoryname: Security ---------------------------------------- Es gibt diverse Anwendungsfälle, die einen Keylogger erfordern. Ein netter Keylogger, den die meisten Linux Distributionen mitliefern ist der Linux Key Logger, kurz lkl. lkl wurde für x86 Architekturen entwickelt. Das praktische daran is dass, das Programm im userspace arbeitet, das heißt das der Kernel nicht gepatcht werden muss. Ausserdem ist es ziemlich klein, und einfach zu bedienen. Die Tastaturdaten in einer Datei abgespeichert werden, alternativ kann man sich die Daten auch per EMail zukommen lassen. Nachteil: lkl arbeitet nur mit PS2-Tastaturen. USB-Tastaturen werden nicht geloggt. Die Parameter sehen so aus: ------- Code ------- Cottonmouth:/home/simon# lkl -- Linux Key Logger vers 0.1.1 -- usage: -h this help -l start to log the 0x60 port (keyboard) -b Debug Mode.Perhaps it's usefoul :P -k set a keymap file -o set an output file -m send logs to every 1k -t hostname for sendmail server. default is localhost Example: lkl -l -k keymaps/it_km -o log.file ------- End-Code ------- Der einfachste Fall würde also so aussehen: ------- Code ------- Cottonmouth:/home/simon# sudo lkl -l -k '/usr/share/lkl/keymaps/us_km' -o /home/simon/key.lo g Started to log port 0x60. Keymap is /usr/share/lkl/keymaps/us_km. The logfile is /home/simon/keys.log. ------- End-Code ------- Da das IOPL Flag benötigt wird, benötigen wir, wahrscheinlich weil die Programmierer von Betriebssystemen nicht auf Keylogger stehen, root-Rechte. Das Ergebnis des Versuchs schaut so aus: ------- Code ------- Cottonmouth:/home/simon# cat /home/simon/keys Fri Jan 11 21:55:34 2008 F12KP2,aleternativkannmansichaucdieFatenauchyuperRMailyukommenkalassen. ------- End-Code ------- Wenn wir uns automatisch EMails zukommen lassen wollen, müssen wir die Parameter -m (für die EMail-Adresse) und -t für den Mail-Server benutzen: ------- Code ------- Cottonmouth:/home/simon# sudo lkl -l -m bla@testing.com -k '/usr/share/lkl/keymaps/us_km' ------- End-Code ------- Fehlt noch der Autostart. Unter Debian könnte man rcconf benutzen, alternatives steht in der Runlevel-Referenz. Dazu schreibt man ein Bash-Script für /etc/init.d, und gibt ihm Rechte zur Ausführung: ------- Code ------- Cottonmouth:/home/simon# cat >> /etc/init.d/lkl_start #!/bin/bash > > lkl -l -o /home/simon/keys -k /usr/share/lkl/keymaps/us_km > /dev/null > EOF Cottonmouth:/home/simon# chmod a+x /etc/init.d/lkl_start ------- End-Code ------- Fazit: lkl ist ein kleines, praktisches Werkzeug. wir haben gelernt wie man es installiert, einsetzt, und automatisch startet.