Software: Anti-Keylogger-Tools

Bisher ging es um

  • Hardware-Keylogger, die PS/2- und USB-Tastaturen ohne zusätzliche Software abhören können. Gegen diese helfen die unten genannten Tools und Utilitys naturgemäß *nichts*, sonder da helfen nur:
  • Anti-Keylogger-Tricks, mit denen Sie Hardware-Keylogger garantiert täuschen können, allerdings helfen die nichts, geht es um
  • Software-Keylogger, da diese den PC in ihrer Gewalt haben, Tastenanschläge aufzeichnen, die Zwischenablage und Webseiten checken und auch Screenshots fertigen. Die brauchen eine ganz andere Keule.

Generell gleichen Abwehr-Tricks gegen Software-Keylogger dem Versuch, sich selber eine Psychose zu diagnostizieren. Man muss sich nur vor Augen halten, dass eine installierte Malware alles kann, was der ganze PC kann. Wenn der PC also an irgendeiner Stelle ein Passwort entgegennehmen kann & muss, kann auch ein Keylogger diese Eingabe abfangen. Theoretisch.

In der Praxis muss das alles, auch der böse Super-Keylogger, erst mal entwickelt werden. Der Evolutionsdruck ist jedoch gering: Die heutigen Keylogger können davon ausgehen, dass kaum jemand auch nur einfachste Antikeylogger einsetzt. Das Feld der kostenlosen Tools ist nämlich extrem dünn gesät. Daher gibt es am Ende auch einige kommerzielle Tools, die ich allerdings nicht wirklich im Alltag einsetzen würde.

VORSICHT:
Wer selber nach Tools googelt, gerät früher oder später auf Scareware-Seiten, und nicht alle sind so nett wie unsicherheitsblog.de. Daher unbedingt www.virustotal.com/de/ oder andere ->Online-Virenscanner (Liste) verwenden, um Downloads zu checken.

AntiSpyware

Einer einfachen Methode bedienen sich klassischen Malware-Scanner: Man identifiziert dabei jeden einzelnen Keylogger auf Erden, genau so, wie man das mit Viren bislang macht – mit einem Byte-Muster. Hat den Vorteil, gut zu funktionieren und messbar zu sein. Hat den Nachteil, dass der Hersteller der Antivirensoftware alle Keylogger kennen muss – auch den, der gestern erst mit dem Banking-Trojaner verteilt wurde. Die Qualität hängt also meist von einem Zusammenspiel aus Marktanteil und Reaktionszeit der Entwickler ab.

Neben den üblichen Verdächtigen unter den Antivirenprogrammen gibt es – leicht spezialisiert – diese Gesellen:

  • SpyBot S&D – kostenlose Antispyware, meines Erachtens ein Muss auf jedem Rechner, EMPFEHLUNG. www.safer-networking.org
  • Lavasoft Ad-Aware – eigentlich mehr eine Anti-Adware, aber wegen ihrer spionierenden Natur auch bei Keyloggern eine Wahl; mochte ich früher, als es noch eine On-Demand-Software war; heute kommt es mit Dienst und zu viel Pipapo, ist mir zu schwerfällig geworden. www.lavasoft.de
  • a-squared (a²) free – kostenlose Antispyware, suchstark bei Spionen aller Art. www.emsisoft.de
  • Dr.Web CureIT! – Gratis-Remover, der auch einige Keylogger rauskickt. www.freedrweb.com
  • PC Tools Spyware Doctor – Kostenlose Antispyware (Testversion, ohne Bezahlung bleiben aber Grundfunktionen). www.pctools.com

Diese Tools habe ich alle ausprobiert und nutze sie auch selber.

Windows-Analyse

Diese Tools haben den Nachteil, dass ihr Benutzer etwas Ahnung von Windows haben muss, um sie verwenden zu können. Das heißt: Sie können damit  viel tun und reichlich herum analysieren, müssen aber am Ende selbst entscheiden, was Sie eigentlich “sehen”.

  • Rootkit Revealer – sucht nicht nach Keyloggern; weil aber Keylogger sich schlauerweise verstecken, was eine Rootkit-Technik voraussetzt, hilft die Suche nach Rootkit-Methoden mit diesem Tool bedingt auch beim Aufspüren eines Keyloggers. Nicht für Einsteiger, da die Ergebnisse interpretiert werden müssen (Ein Alarm heißt gar nichts!). …sysinternals/bb897445.aspx
  • Process Explorer

    Process Explorer – sucht nichts, analysiert nur. Zum Beispiel Dateizugriffe; weil ja auch ein Keylogger irgendwo sein Zeuch hinspeichern muss, also Dateizugriffe erzeugt, kann man ihn damit unter Umständen aufspüren. …sysinternals/bb896653.aspx

  • Process Monitor – dasselbe in Grün; der Unterschied zum Process Explorer liegt vor allem in der Arbeitsweise: Der Process Explorer arbeitet mehr wie ein Task-Manager, der Monitor mehr wie ein Realtime-Event-Logfile. …sysinternals/bb896645.aspx
  • AutoRuns

    AutoRuns – analysiert, was automatisch startet. Weil auch Keylogger automatisch starten müssen, findet man damit vielleicht einen. …sysinternals/bb963902.aspx

  • Anti-Spy.info – mehr eine allgemeine Analyse-Software, kommerziell. Bietet aber einige wirklich erstaunlich nützliche Funktionen. Wer seinen PC im Verdacht hat, sollte die Trial ruhig mal probieren. www.anti-spy.info

Diese Tools habe ich alle ausprobiert und nutze sie auch selber.

Keylogger-Detektoren

Eine andere Methode: Man überprüft das System darauf, ob es insgesamt ein Verhalten zeigt, das darauf hinweist, dass ein Keylogger aktiv ist. Beispiele: Existiert irgendwo eine Textdatei, die immer größer wird, möglicherweise sogar mit jedem Tippen auf der Tastatur? Entstehen irgendwo im Sekundentakt Bilder? Erzeugt jeder Mausklick mehr Events als üblich? Welche Software hat sich da Zugriff auf die Tastatur, den Bildschirm gegriffen? Hat jemand API-Calls gehookt? Wer das alles ermittelt, kann einen Keylogger finden. Theoretisch.

KL-Detector

Dieser Methode bedienen sich grob gesagt die Keylogger-Detektoren. Gut: Man braucht keine Updates, das ganze funktioniert generisch und verhaltensbasiert. Schlecht: Weil das so ist, ist die Güte der Suche schwer messbar, daher weiß keiner, ob diese Software was taugt oder mehr Talisman-Funktion hat. Zumal der eine Entwickler sich mit der einen Methode auskennt, der andere mit einer anderen. Man muss irgendwie alle verwenden – und ist dann trotzdem immer noch nicht ‘sicher’.

  • KL-Detector – schon etwas älter, sucht ganz speziell nur nach Log-Dateien, die angelegt werden, und erkennt so die Anwesenheit eines Keyloggers; sehr aufwändig in der Benutzung, denn Sie müssen einige Zeit lag in verschiedenen Programmen Eingaben vornehmen. Es funktioniert je besser, je genauer Sie den Anweisungen folgen.
    Am besten starten Sie Firefox, Internet Explorer, Editor, Wordpad und Paint. Schließen Sie alles andere, wirklich alles andere – zur Not kicken Sie Programme mit dem Task-Manager raus. Starten Sie dann den KL-Detector, klicken Sie sich durch die Nexts und nehmen Sie in den verschiedenen Programmen Eingaben vor, benutzen Sie Cut & Paste. Was Sie auch tun, tun Sie nichts, was “Speichern” erfordert. Nach einigen Minuten klappen Sie KL-Detector aus dem Systray wieder hoch und checken das Ergebnis. Ein Alarm heißt gar nichts, das Programm äußert nur Verdachtsmomente! Macht dennoch auch heute noch seinen Job, selbst unter Windows 7. dewasoft.com/privacy/kldetector.htm
  • Keylogger-Killer

    Keylogger Killer – schon etwas älter, sucht automatisch nach typischen Logger-Aktivitäten, findet durchaus noch den einen oder anderen Tastaturspion. Man beachte im Shot, das sogar das – zugegebenermaßen uralte – Screenshot-Programm Paint Shop Pro registriert wird, als es gerade cap32.dll für den Schnappschuss zückt. www.tooto.com/keyloggerkiller/

  • Gernova Keylock – führt wenig erklärte Tests auf, dauert sehr lange, fand bei mir nichts. Mag an Windows 7 liegen, denn laut Hersteller endet der Support bei XP. www.gernova.de

Diese Tools habe ich alle ausprobiert; nutzen würde ich die eher nicht. Zu zufällig erscheinen die Ergebnisse: der eine findet diesen Keylogger, der andere jenen…

Anti-Keylogger?

Des weiteren gibt es Tools, die sich sozusagen vordrängeln, die Tastatur unter ihre Kontrolle reißen und die Eingaben verschlüsselt weiterreichen, zur Anwendung, wo sie entschlüsselt werden. Andere verhindern, dass Screenshots gefertigt werden und blockieren andere Funktionen, die typische Keylogger-Funktionen sind.

  • ID AntiKeylogger – kommerzielle Lösung, die vor allem Hooks analysiert und ein paar Analysefunktionen bietet; die Testversion läuft 14 Tage.  www.idsecuritysuite.com
  • MaxSecurity Labs NextGen AntiKeylogger 3.2 FREE verspricht, den Datentransfer zwischen Windows und Browser zu verschlüsseln, so dass Keylogger ihn nicht abhören können. Habs mit XP und Win7 und Firefox und IEX ausprobiert und sehe keinen Unterschied (beim Refog-Keylogger), bei mir wird unbehindert gekeyloggt. ->Tonne. www.maxsecuritylab.com
  • Spydex Advanced Antikeylogger – kommerzielle Lösung mit Verschlüsselung und Blockade. Mag meine PCs nicht, weder Win 7 noch XP. -> Tonne. www.spydex.com

Nur ID AntiKeylogger lief, der Rest zeigte bei mir entweder keine Wirkung oder crashte das System. Daher verlor ich hier schnell die Lust, noch weitere Tools auszuprobieren. Alles in allem bestätigten diese Tools nur die Vorurteile, die man bildet, wenn man die Webseiten dieser Hersteller betrachtet. Ich rate ab. Dann lieber manuell analysieren.

Fazit

Wer jemanden per Tastaturspion belauschen will und programmieren kann, dem wird das, behaupte ich, auch gelingen, denn Abwehrmäßig ist wenig geboten. Wirksamer als fertige Tools finde ich alle Anti-Keylogger-Tricks in Kombination und die oben genannten Analysewerkzeuge. Am wirksamsten ist natürlich, einfach keine Schundsoftware auf seinen PC zu lassen, die einen Spion im Schlepptau haben könnte. ;-)

Ich bin sicher, es gibt noch weitere großartige / viel bessere Tools, auf die man mich in Kommentaren hinweisen kann :)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …