Kontakt

Keylogger: jak sprawdzić czy masz go na komputerze i jak się chronić

Keylogger – co to jest, jak sprawdzić czy jest na komputerze i jak się chronić

Keylogger to program (albo urządzenie fizyczne), który rejestruje każde naciśnięcie klawisza. Hasła, wiadomości, numery kart, loginy. Wszystko, co wpiszesz. Keyloggery używa się legalnie (kontrola rodzicielska, monitoring pracowników za zgodą) i nielegalnie (kradzież haseł, szpiegostwo, cyberprzestępczość). Jeśli ktoś podrzucił ci keyloggera bez wiedzy, ma dostęp do każdego hasła wpisanego z klawiatury.

Jak działa keylogger

Keylogger przechwytuje sygnały z klawiatury, zanim trafią do aplikacji. Każde naciśnięcie klawisza (litera, cyfra, Enter, Backspace) ląduje w logu z timestampem i informacją o aktywnym oknie (np. „Chrome – facebook.com/login”). Atakujący dostaje plik z dokładną transkrypcją tego, co wpisałeś, w tym login i hasło do banku, maila i social mediów.

Dwa typy keyloggerów.

Keylogger programowy (software). Najczęstszy. Program zainstalowany na komputerze, działa w tle, niewidoczny. Instaluje się przez zainfekowany załącznik, fałszywy instalator, exploit w przeglądarce albo fizyczny dostęp do komputera. Przykłady: Ardamax Keylogger, Spyrix, Refog (legalnie sprzedawane jako „narzędzia do monitoringu”).

  • Kernel-level. Przechwytuje sygnały na najniższym poziomie systemu. Najtrudniejszy do wykrycia.
  • API-level. Używa Windows API (SetWindowsHookEx). Najpopularniejszy.
  • Browser-level. JavaScript na zainfekowanej stronie rejestruje wpisywany tekst (formularze, login). Bez instalacji, działa w przeglądarce.

Keylogger sprzętowy (hardware). Fizyczne urządzenie podłączone między klawiaturą a komputerem. Mała wtyczka USB, wygląda jak zwykły adapter, praktycznie niewidoczna z tyłu komputera. Przechwytuje sygnały na poziomie sprzętu, więc żaden antywirus go nie wykryje (bo nie jest oprogramowaniem). Stosowane w szpiegostwie korporacyjnym, kontroli pracowników, atakach fizycznych w biurze.

Wykrycie: tylko fizyczna inspekcja. Sprawdź port USB klawiatury. Jeśli między kablem a portem siedzi „dodatkowy element”, którego nie kupowałeś, to może być keylogger. Wyciągasz i niszczysz.

Jak sprawdzić, czy masz keyloggera

Metoda 1: Menedżer zadań.

  1. Ctrl+Shift+Esc (Menedżer zadań).
  2. Zakładka „Procesy”, sortujesz po nazwie.
  3. Szukasz podejrzanych procesów: nieznane nazwy, wysokie zużycie CPU/RAM. Klasyki: ardamax.exe, spyrix.exe, refog.exe, hkl.exe, kl.exe. Nazwy bywają zamaskowane.
  4. Prawym, „Otwórz lokalizację pliku”. Folder typu C:Program FilesSpyrix = masz keyloggera.

Ograniczenie: zaawansowane keyloggery (rootkit) ukrywają się w Menedżerze zadań. Ta metoda łapie tylko podstawowe.

Metoda 2: antywirus i antymalware. Pełny skan wykrywa większość keyloggerów programowych.

  • Malwarebytes (malwarebytes.com), darmowy skan, specjalizuje się w spyware. Pełny skan, usuwasz znalezione zagrożenia.
  • Bitdefender, świetna wykrywalność, real-time protection.
  • Kaspersky, ma „Safe Money” (chroni klawiaturę przy hasłach bankowych).
  • Windows Defender, wbudowany. Łapie znane keyloggery, niekoniecznie nowe albo customowe.

Strategia, którą sam stosuję: Windows Defender plus Malwarebytes. Dwa narzędzia, jedno może złapać to, co drugie ominie.

Metoda 3: anty-rootkit. Rootkity (kernel-level keyloggery) ukrywają się przed standardowym antywirusem.

  • GMER (gmer.net), darmowy, wykrywa rootkity i ukryte procesy.
  • Kaspersky TDSSKiller, darmowy.
  • Malwarebytes Anti-Rootkit, beta, ale skuteczny.

Metoda 4: autostart.

  1. Win+R, msconfig, Enter, zakładka „Uruchamianie” (Startup).
  2. Albo Menedżer zadań, zakładka „Uruchamianie”.
  3. Lista programów startujących z Windowsem. Nieznany program z podejrzaną lokalizacją? Wyłączasz, badasz.

Bardziej zaawansowanym polecam Autoruns (sysinternals.com). Pokazuje wszystko, co startuje z Windowsem (programy, usługi, sterowniki, rozszerzenia przeglądarki, Task Scheduler). Keylogger w autostarcie zostanie wyłapany.

Metoda 5: monitor ruchu sieciowego. Keylogger musi wysłać zebrane dane do atakującego (email, FTP, HTTP, chmura). Podejrzane połączenia wyłapiesz monitorując ruch:

  • GlassWire (glasswire.com), darmowy, pokazuje ruch per aplikacja. Nieznany proces wysyła dane = podejrzany.
  • Wireshark, zaawansowane przechwytywanie pakietów.
  • Windows Resource Monitor: Menedżer zadań, Wydajność, „Otwórz Monitor zasobów”, zakładka „Sieć”, lista procesów z aktywnymi połączeniami.

Jak się chronić

Prewencja jest dużo prostsza niż wykrywanie. Keylogger, który nigdy się nie zainstalował, nie stanowi zagrożenia.

  1. Antywirus z real-time protection. Blokuje instalację keyloggera, zanim się uruchomi. Bitdefender, Kaspersky, ESET.
  2. Nie klikaj podejrzanych załączników. Email z „fakturą.exe”, „dokument.scr”, „zdjęcie.pdf.exe” = malware. Otwierasz tylko od znanych nadawców i tylko, kiedy ich oczekujesz.
  3. Tylko zaufane źródła oprogramowania. Programy ze stron producentów albo oficjalnych repozytoriów. Cracki, keygeny i „darmowe wersje” płatnych programów to najczęstszy wektor keyloggerów.
  4. Aktualizacje systemu i przeglądarek. Exploity (luki) pozwalają instalować malware bez klikania. Aktualizacje łatają luki.
  5. 2FA. Nawet jeśli keylogger przechwyci hasło, atakujący nie zaloguje się bez drugiego czynnika (kod z aplikacji, klucz sprzętowy). Włącz na wszystkich ważnych kontach.
  6. Menedżer haseł z autofill. Bitwarden, 1Password wklejają hasło bez wpisywania na klawiaturze. Keylogger rejestruje klawisze. Jak nie wpisujesz, nie ma czego przechwycić. Sam tak chronię klientów: zerowe ryzyko, że ktoś przepisze hasło z post-ita zamiast z menedżera.
  7. Klawiatura ekranowa. Do haseł bankowych: Start, Ułatwienia dostępu, Klawiatura ekranowa. Klikasz myszką w wirtualne klawisze, klawiszowy keylogger nie rejestruje. Zaawansowany może robić screenshoty, więc nie zastępuje 2FA.
  8. Fizyczna inspekcja. Sprawdź porty USB. Między klawiaturą a komputerem nie powinno być nic dodatkowego.

Keylogger na telefonie

Na Androidzie istnieją (mSpy, FlexiSpy, Cerberus jako aplikacje szpiegowskie). Na iPhonie praktycznie niemożliwe bez jailbreaka (iOS sandbox blokuje dostęp do klawiatury innych aplikacji).

Na Androidzie keylogger przybiera dwie formy: niestandardowa klawiatura (zastępuje domyślną Google, rejestruje wszystko) albo „usługa dostępności” (accessibility service, legalne API do czytania ekranu, nadużywane przez malware). Antywirus mobilny (Bitdefender, Malwarebytes) wykrywa znane przypadki. Sprawdzasz: Ustawienia, Aplikacje (lista zainstalowanych, nieznane?), Ustawienia, Klawiatura (czy domyślna to Google albo Samsung, nie coś nieznanego).

Legalne zastosowania keyloggerów

Nie każdy keylogger to malware. Legalne (za wiedzą i zgodą osoby monitorowanej):

  • Kontrola rodzicielska. Rodzic monitoruje aktywność dziecka (Qustodio, Norton Family). Legalnie i etycznie OK, jeśli dziecko wie.
  • Monitoring pracowników. Pracodawca monitoruje służbowy komputer (Teramind, ActivTrak). W Polsce legalne tylko za pisemną zgodą i z zapisami w regulaminie pracy. Bez zgody to przestępstwo.
  • Backup wpisywania. Programy jak Lazarus (odzyskuje tekst z formularzy po crashu przeglądarki). Technicznie keylogger, ale do użytecznych celów.

Instalacja keyloggera na cudzym komputerze bez zgody to przestępstwo. Art. 267 Kodeksu karnego (bezprawne uzyskanie informacji): do 2 lat pozbawienia wolności.

Najczęściej zadawane pytania

Jak szybko sprawdzić, czy mam keyloggera

Malwarebytes (darmowy), pełny skan. Znajdzie „Spyware”, „Keylogger”, „Monitor”? Usuwasz. 15-30 minut. Najszybsza i najskuteczniejsza metoda dla większości użytkowników.

Czy Windows Defender wykrywa keyloggery

Znane: tak. Nowe, customowe, kernel-level: nie zawsze. Dlatego stosujesz Defender plus Malwarebytes jako drugie zdanie. Dwa narzędzia są lepsze niż jedno.

Czy VPN chroni przed keyloggerem

Nie. VPN szyfruje ruch sieciowy. Keylogger przechwytuje klawisze przed szyfrowaniem, lokalnie na komputerze. VPN chroni przed podsłuchem sieci, nie przed malware na twoim urządzeniu.

Czy menedżer haseł naprawdę chroni

Częściowo. Autofill wkleja hasło bez wpisywania, więc keylogger klawiszowy nie widzi nic. Zaawansowane keyloggery potrafią jednak robić screenshoty po wklejeniu, przechwytywać schowek, monitorować autofill API. Menedżer haseł plus 2FA daje najlepszą ochronę. Nawet jeśli hasło wycieknie, 2FA blokuje logowanie.

Czy formatowanie dysku usunie keyloggera

Tak. Pełne formatowanie i reinstalacja Windowsa usuwa wszelkie oprogramowanie. To „opcja nuklearna”, tracisz programy i dane (zrób backup ważnych plików, ale skanuj go antywirusem po przywróceniu). Keyloggera sprzętowego formatowanie nie ruszy, bo to fizyczne urządzenie. Sprawdzasz porty.

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas
Facebook Twitter Youtube Instagram Pinterest
Gotowi na Przyszłość
Podobne Wpisy