Keylogger Nedir ve Nasıl Çalışır
Keylogger, bilgisayarda basılan tuşları kaydeden yazılım veya donanımdır. Kullanıcı adı, şifre, kredi kartı numarası gibi hassas bilgileri ele geçirmek için kullanılır. Saldırganlar bu araçları kurban sistemlere yerleştirerek tüm klavye girişlerini kayıt altına alır ve daha sonra bu verileri analiz eder.
Keylogger Türleri ve Çalışma Mantığı
Yazılım Tabanlı Keyloggerlar
İşletim sistemi içinde bir uygulama veya servis olarak çalışır. Windows API fonksiyonlarını kullanarak klavye girişlerini yakalar. Kernel seviyesinde çalışan keyloggerlar daha düşük seviyede işlem yaparak tespit edilmeyi zorlaştırır.
Bazı keyloggerlar kendi kendini rootkit olarak gizler. Bu durumda normal görev yöneticisinde görünmez. Sistem başlangıcında otomatik yüklenmek için Registry kayıtlarını değiştirir veya zamanlanmış görev oluşturur.
Donanım Tabanlı Keyloggerlar
Klavye ile bilgisayar arasına fiziksel olarak takılan cihazlardır. USB veya PS/2 portuna yerleştirilir. Yazılımsal taramalarla tespit edilemez çünkü işletim sistemi dışında çalışır.
Bazı modellerde WiFi veya Bluetooth özelliği bulunur. Saldırgan yakın mesafeden kaydedilen verileri kablosuz olarak çekebilir. BIOS seviyesinde çalışan donanım keyloggerlar da mevcut ancak oldukça nadir.
Web Tabanlı ve Form Grabberlar
Tarayıcı eklentisi veya JavaScript kodu olarak çalışır. Sadece web formlarına girilen verileri toplar. Bankacılık sitelerinde veya e-ticaret platformlarında özellikle hedeflenir.
Bilgisayarda Keylogger Tespit Yöntemleri
Görev Yöneticisinde Şüpheli Süreçler
Windows'ta Ctrl+Shift+Esc ile görev yöneticisini aç. Ayrıntılar sekmesinde çalışan tüm süreçleri kontrol et. Tanımadığın veya garip isimli süreçleri not al.
Process Explorer gibi gelişmiş araçlar kullan. Microsoft'un resmi sitesinden indirebilirsin. Bu araç her sürecin dijital imzasını gösterir ve imzasız süreçleri işaretler. Options > Verify Image Signatures seçeneğini aktif et.
tasklist /svc
netstat -ano | findstr LISTENINGBu komutlar çalışan servisleri ve ağ bağlantılarını gösterir. Şüpheli bir süreç 443 veya 80 portunda sürekli bağlantı kuruyorsa veri gönderimi yapıyor olabilir.
Sistem Başlangıç Kayıtlarını İnceleme
Win+R tuşlarına basıp msconfig yaz. Başlangıç sekmesinde otomatik yüklenen programları gör. Görev Yöneticisi'ni Aç linkine tıkla ve Başlangıç sekmesine geç.
Registry düzenleyicide şu konumları kontrol et:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceZamanlanmış görevleri kontrol et. Win+R ile taskschd.msc komutunu çalıştır. Görev Zamanlayıcı Kitaplığı'nda tüm görevleri tek tek incele. Microsoft veya tanıdık yazılım şirketlerine ait olmayan görevlere dikkat et.
Antivirüs ve Anti-Malware Taraması
Windows Defender dışında Malwarebytes veya Kaspersky Rescue Disk kullan. Normal modda çalışan keyloggerlar kendilerini antivirüsten gizleyebilir. Güvenli modda tam tarama yap.
Windows'u güvenli modda başlatmak için: Ayarlar > Güncelleştirme ve Güvenlik > Kurtarma > Gelişmiş Başlangıç altında Şimdi Yeniden Başlat. Sorun Giderme > Gelişmiş Seçenekler > Başlangıç Ayarları > Yeniden Başlat > F4 veya 4 tuşuna bas.
Ağ Trafiği Analizi
Wireshark gibi paket analiz araçları kur. Ağ trafiğini izleyerek hangi uygulamaların dışarı veri gönderdiğini tespit et. Şifrelenmiş bağlantılarda bile paket boyutları ve sıklığı hakkında ipucu alırsın.
netstat -b 5Bu komut 5 saniyede bir hangi programın hangi bağlantıyı kullandığını gösterir. -b parametresi çalıştırılabilir dosya adını listeler. Yönetici olarak komut istemcisini çalıştırman gerekir.
Rootkit Tarayıcıları Kullanma
GMER veya TDSSKiller araçlarını dene. Bu programlar kernel seviyesinde gizlenen zararlı yazılımları tespit eder. Normal antivirüsler rootkit olarak saklanan keyloggerleri bulamayabilir.
Sistem dosyalarını kontrol et. Komut istemcisinde şu komutu çalıştır:
sfc /scannowBu komut değiştirilmiş sistem dosyalarını bulur ve orijinalleriyle değiştirir. İşlem 15-30 dakika sürebilir.
Manuel Dosya Sistemi İncelemesi
Temp klasörlerini kontrol et. Win+R ile %temp% ve %appdata% komutlarını çalıştır. Son günlerde oluşturulmuş şüpheli dosyaları ara. Özellikle .exe, .dll, .sys uzantılı dosyalara dikkat et.
Gizli dosyaları görünür yap. Dosya Gezgini'nde Görünüm sekmesinde Gizli Öğeler kutucuğunu işaretle. Sistem sürücüsünde anormal boyutta log dosyaları varsa keylogger kaydı olabilir.
dir /a:h /s C:\Bu komut C sürücüsündeki tüm gizli dosyaları listeler. Çıktı çok uzun olacağı için bir dosyaya yönlendir:
dir /a:h /s C:\ > C:\hidden_files.txtKlavye ve Mouse Sürücülerini Kontrol Etme
Aygıt Yöneticisi'ni aç. Win+X ile hızlı menüden seç. Klavyeler ve HID uyumlu aygıtlar kategorilerini genişlet. Her aygıta sağ tıklayıp Özellikler > Sürücü sekmesinde Sürücü Ayrıntıları'na bak.
Dijital imza olmayan veya bilinmeyen şirketlere ait sürücüler riskli olabilir. Normal klavye sürücüsü Microsoft'a ait olmalı. Üçüncü taraf sürücüler varsa araştır.
Keyloggerlardan Korunma Yöntemleri
İşletim Sistemi ve Yazılımları Güncel Tutma
Windows Update'i otomatik yap. Ayarlar > Güncelleştirme ve Güvenlik > Windows Update > Gelişmiş Seçenekler'den otomatik güncelleme ayarlarını kontrol et. Güvenlik yamaları keylogger açıklarını kapatır.
Kullandığın tüm programları düzenli güncelle. Java, Adobe Reader, tarayıcılar özellikle önemli. Eski versiyonlar bilinen açıklara sahip olabilir.
Güçlü Güvenlik Yazılımları Kullanma
Gerçek zamanlı koruma aktif olan lisanslı antivirüs kur. Windows Defender yeterli ancak ek koruma için Bitdefender veya Kaspersky tercih edilebilir. Davranış tabanlı tespit özelliği olan yazılımlar keylogger aktivitelerini yakalayabilir.
Host-based Intrusion Prevention System (HIPS) özelliği olan güvenlik yazılımları seç. Bu sistem tuş kaydı yapmaya çalışan programları engelleyebilir.
İki Faktörlü Kimlik Doğrulama
Keylogger şifreni ele geçirse bile hesabına giriş yapamaz. Gmail, Facebook, bankalar için 2FA aktif et. Authenticator uygulaması SMS'ten daha güvenli.
Hesap Ayarları > Güvenlik > İki Adımlı Doğrulama yolunu takip et. Her servisin menü yapısı farklı ancak genelde güvenlik bölümünde bulunur.
Sanal Klavye Kullanımı
Hassas bilgi girerken ekran klavyesini tercih et. Windows'ta Win+Ctrl+O ile ekran klavyesini aç. Yazılım keyloggerlar fiziksel tuş basışlarını kaydettiği için sanal klavye işe yarar.
Ancak bazı gelişmiş keyloggerlar ekran görüntüsü de alır. Bu durumda sanal klavye de yeterli koruma sağlamaz. Donanım keyloggerlara karşı etkisizdir.
Standart Kullanıcı Hesabıyla Çalışma
Yönetici yetkisiyle sürekli çalışma. Standart kullanıcı hesabı oluştur ve günlük işlemler için onu kullan. Keylogger kurulumu genelde yönetici yetkisi gerektirir.
Kontrol Paneli > Kullanıcı Hesapları > Başka bir hesap yönet > Yeni kullanıcı ekle yolunu izle. Hesap türü olarak Standart Kullanıcı seç.
Keylogger Bulunduğunda Yapılması Gerekenler
Acil Müdahale Adımları
İnternet bağlantısını hemen kes. Keylogger topladığı verileri saldırgana göndermeden önce ağdan ayır. WiFi veya Ethernet kablosunu çıkar.
Şüpheli süreci sonlandır. Görev Yöneticisi'nde sürece sağ tıklayıp Görevi Sonlandır. Dosya konumunu not al. Bilgisayarı yeniden başlatma çünkü keylogger tekrar aktif olabilir.
Kapsamlı Temizleme
Güvenli modda başlat ve tam sistem taraması yap. Birden fazla antivirüs ve anti-malware aracı kullan. Malwarebytes ve Kaspersky Virus Removal Tool birlikte kullanılabilir.
Registry temizliği yap. CCleaner gibi araçlar yardımcı olur ancak manuel kontrol şart. Registry düzenleyicide yukarıda belirtilen Run anahtarlarını ve Services anahtarını incele.
Şifre ve Hesap Güvenliği
Temiz bir cihazdan tüm önemli şifrelerini değiştir. E-posta, banka, sosyal medya öncelikli. Aynı şifreyi birden fazla yerde kullanıyorsan hepsini değiştir.
Banka ve kredi kartı hareketlerini kontrol et. Şüpheli işlem görürsen hemen bankayı ara. Kart bilgilerin çalınmış olabilir.
Sistem Yedeği ve Format
Rootkit seviyesinde keylogger varsa tam temizlik zor olabilir. Önemli dosyalarını yedekle ve işletim sistemini sıfırdan kur. Bu en garantili çözüm.
Yedekleme yaparken dikkatli ol. Keylogger yedek dosyalarına da bulaşmış olabilir. Sadece kişisel dokümanları yedekle, çalıştırılabilir dosyaları alma.
Kurumsal Ortamlarda Keylogger Tespiti
Merkezi Güvenlik Çözümleri
EDR (Endpoint Detection and Response) sistemleri kur. Bu sistemler tüm bilgisayarlarda anomali tespiti yapar. Carbon Black veya CrowdStrike gibi çözümler davranış analizi ile keyloggerleri yakalayabilir.
SIEM (Security Information and Event Management) kullan. Log kayıtlarını merkezi topla ve analiz et. Anormal klavye aktivitesi veya veri transferi tespit edilebilir.
Ağ Segmentasyonu
Kritik sistemleri ayrı ağ segmentinde tut. Firewall kurallarıyla gereksiz trafik engelle. Keylogger veri göndermeye çalıştığında ağ seviyesinde yakalanabilir.
DMZ (Demilitarized Zone) bölgesi oluştur. İnternet erişimi olan sistemleri buraya al. İç ağa lateral movement engellenmiş olur.
Özet
Keylogger tespiti ve korunma çok katmanlı yaklaşım gerektirir. Yazılım ve donanım tabanlı keyloggerlar farklı yöntemlerle tespit edilir. Düzenli sistem taraması, ağ trafiği analizi ve güvenlik yazılımları kullanımı şart.
Tespit edilen keylogger hemen izole edilmeli ve tüm şifreler değiştirilmeli. Kritik sistemlerde format atmak en güvenli çözüm. İki faktörlü kimlik doğrulama ve standart kullanıcı hesabıyla çalışmak keylogger riskini azaltır.
Kurumsal ortamlarda merkezi güvenlik çözümleri ve ağ segmentasyonu önemli. Güncel işletim sistemi ve yazılımlar kullanmak temel korunma yöntemi. Fiziksel güvenlik de ihmal edilmemeli çünkü donanım keyloggerlar yazılımsal tespit edilemez.
Sıkça Sorulan Sorular
Telefonlarda keylogger olur mu?
Android ve iOS cihazlarda keylogger uygulamaları mevcut. Android'de izinsiz kurulum yapılabilir ancak iOS'ta cihazın jailbreak edilmesi gerekir. Resmi uygulama mağazalarından indirilen uygulamalarda risk düşük. Bilinmeyen kaynaklardan APK kurulumu tehlikeli.
Antivirüs keyloggeri tespit etmez mi?
Standart antivirüsler bilinen keyloggerleri tespit eder. Ancak özel yazılmış veya rootkit olarak gizlenmiş keyloggerlar atlatabilir. Davranış tabanlı tespit sistemi olan güvenlik yazılımları daha başarılı. Hiçbir antivirüs %100 koruma sağlamaz.
VPN kullanırsam keyloggerdan korunur muyum?
VPN sadece ağ trafiğini şifreler. Keylogger bilgisayarında çalıştığı için tuş basışlarını yine kaydeder. VPN keyloggerin topladığı veriyi şifreli göndermesini sağlar ama kaydı engellemez. Sistem içi keyloggerlara karşı VPN etkisiz.
Mac bilgisayarlarda keylogger riski var mı?
macOS için de keylogger yazılımları var ancak Windows'a göre daha az yaygın. macOS güvenlik mimarisi kurulum için kullanıcı onayı ister. Sistem Tercihleri > Güvenlik ve Gizlilik > Gizlilik sekmesinde Giriş İzleme kısmını kontrol et. İzinsiz tuş kaydı yapan uygulamalar burada görünür.
Factory reset keyloggeri temizler mi?
İşletim sistemi seviyesinde çalışan keyloggerlar format sonrası temizlenir. Ancak BIOS/UEFI seviyesinde rootkit varsa kalabilir. Donanım keyloggerlar fiziksel olduğu için format etkilemez. Fabrika ayarları öncesi fiziksel kontrol yap. Tam güvenlik için BIOS güncellemesi de yapılmalı.
0 Yorum
Yorum Yaz