Keylogger — klaviaturada bosilgan tugmalarni yozib oladigan dasturiy yoki apparat vosita. Zararli keylogger parol, xabar, bank ma’lumoti, qidiruv so‘rovi va boshqa maxfiy matnlarni foydalanuvchi roziligisiz yig‘ish uchun ishlatiladi.
Keylogger ayrim qonuniy holatlarda test, accessibility yoki korporativ monitoring vositasi sifatida ishlatilishi mumkin. Biroq yashirin o‘rnatish, ruxsatsiz ma’lumot yig‘ish va uzatish spyware faoliyatiga kiradi.
Software keylogger
Software keylogger operatsion tizim ichida process, service, driver, browser extension yoki injected code sifatida ishlashi mumkin.
U klaviatura eventlarini:
- application API;
- operating system hook;
- input subsystem;
- browser form;
- accessibility service;
- kernel driver
orqali kuzatadi.
Privilege darajasi qanchalik yuqori bo‘lsa, aniqlash va cheklash shunchalik qiyin bo‘lishi mumkin.
Hardware keylogger
Hardware keylogger klaviatura va kompyuter orasiga ulangan fizik qurilma yoki klaviatura ichiga joylashtirilgan komponent bo‘lishi mumkin.
U tugma signallarini mustaqil memory’da saqlaydi yoki wireless kanal orqali yuboradi.
Operatsion tizim ichidagi antivirus bunday qurilmani ko‘rmasligi mumkin. Fizik inspeksiya va port nazorati muhim.
Kernel darajasidagi keylogger
Kernel driver input eventlarni applicationlarga yetib borishidan oldin kuzatishi mumkin. U yuqori privilege bilan ishlaydi va process ro‘yxatida oddiy application sifatida ko‘rinmasligi ehtimoli bor.
Kernel keylogger:
bilan bog‘liq bo‘lishi mumkin.
Form grabbing
Ba’zi zararli dasturlar klaviatura tugmalarini emas, browser yoki application formasi yuborilishidan oldingi qiymatni oladi.
Bu usul virtual keyboard, copy-paste yoki password manager orqali kiritilgan ma’lumotni ham ushlashi mumkin.
Form grabbing ko‘pincha banking trojanlarda uchraydi.
Clipboard kuzatuvi
Keyloggerga yaqin spyware clipboard matnini ham yozib olishi mumkin.
Bu:
ni oshkor qiladi.
Ayrim zararli dastur clipboard’dagi to‘lov manzilini boshqa qiymatga almashtiradi.
Screenshot bilan birga ishlash
Faqat tugma yozuvi qaysi oynaga kiritilganini ko‘rsatmasligi mumkin. Shu sababli malware aktiv window nomi, screenshot yoki cursor joylashuvini ham saqlaydi.
Natijada yozilgan matnning konteksti aniqlanadi:
browser login sahifasi
→ username
→ password
Bu ma’lumotning xavfliligini oshiradi.
Ma’lumotni saqlash
Keylogger yig‘ilgan yozuvlarni:
ichida saqlashi mumkin.
Keyin ular davriy ravishda C2 serverga yuboriladi.
Local file topilsa unda juda ko‘p maxfiy ma’lumot bo‘lishi mumkin.
Exfiltration
Yig‘ilgan data tashqi tomonga:
orqali yuborilishi mumkin.
Trafik hajmi kichik bo‘lgani sabab oddiy bandwidth monitoringidan yashirinishi mumkin.
Persistence
Keylogger restartdan keyin ishlash uchun:
- startup entry;
- service;
- scheduled task;
- browser extension;
- driver;
- mobile accessibility service;
- login script
yaratishi mumkin.
Bitta executable o‘chirilsa boshqa component uni qayta tiklashi ehtimoli bor.
Mobile keylogger
Mobil qurilmada zararli keyboard application, accessibility service yoki root privilege orqali input kuzatilishi mumkin.
Noma’lum keyboard application quyidagi ma’lumotlarni ko‘rishi ehtimoli bor:
- yozilgan matn;
- qidiruv;
- message;
- login;
- clipboard.
Default keyboard va accessibility permissionlari tekshiriladi.
Belgilar
Ehtimoliy indikatorlar:
- noma’lum startup service;
- input hook;
- shubhali driver;
- g‘ayrioddiy outbound trafik;
- yangi browser extension;
- accessibility permission;
- antivirusning o‘chishi;
- noma’lum background process.
Performance pasayishi har doim bo‘lmasligi mumkin.
Aniqlash
Aniqlash usullari:
- endpoint detection;
- process va driver auditi;
- persistence tekshiruvi;
- browser extension review;
- network monitoring;
- memory forensic;
- file integrity;
- mobile permission audit.
Advanced keylogger rootkit bilan yashirilgan bo‘lsa offline scan kerak bo‘lishi mumkin.
Password manager
Password manager foydalanuvchini parolni qo‘lda yozishdan ozod qiladi. Bu oddiy keyloggerga qarshi himoyani oshirishi mumkin.
Biroq zararli dastur:
- clipboard;
- browser session;
- form grabbing;
- screenshot;
- accessibility API
orqali ma’lumot olishi mumkin.
Shuning uchun password manager yagona himoya emas.
Multifactor authentication
Keylogger parolni olgan taqdirda ham MFA hisobni himoya qilishi mumkin. Phishingga chidamli passkey yoki hardware security key kuchliroq.
SMS yoki bir martalik kod real vaqtli phishing va session theftga qarshi to‘liq himoya bermaydi.
Tozalash
Shubhali qurilmada:
- tarmoq aloqasi cheklanadi;
- accountlar boshqa ishonchli qurilmadan himoyalanadi;
- active session va tokenlar bekor qilinadi;
- persistence va driverlar tekshiriladi;
- security scan bajariladi;
- zarur bo‘lsa tizim qayta o‘rnatiladi;
- parollar almashtiriladi.
Zararlangan qurilmada yangi parol kiritish keyloggerga uni yana berishi mumkin.
Qonuniy monitoring
Tashkilot monitoring vositasidan foydalansa xodimga aniq maqsad, collection turi, retention va access qoidalari bildiriladi.
To‘liq keystroke yozuvi juda yuqori xavfli data hisoblanadi. Minimal collection va qat’iy access nazorati talab qilinadi.
Audit log bilan farqi
Qonuniy audit tizimi ma’lum operation, user ID va vaqtni yozadi, ammo maxfiy matnning har bir tugmasini yig‘maydi. Keylogger esa kontekstdan qat’i nazar barcha inputni saqlashi mumkin. Security va compliance uchun kerakli loglar data minimization qoidasi bilan chegaralanadi. Parol, karta raqami va private message kabi qiymatlar audit maqsadida ham to‘liq yozilmasligi kerak.
Bog‘liq tushunchalar
Spyware, Form grabbing, Clipboard monitoring, Rootkit, Credential theft, Hardware keylogger, Accessibility service, Password manager, Multifactor authentication