Sherlog

Beschreibung

Projektbeschreibung – Keylogger Detector

Unser Projekt ist ein sicherheitsorientierter Keylogger-Detector für Linux-Systeme, entwickelt in Go, um tiefgreifende Systemzugriffe zuverlässig analysieren zu können. Ziel ist es, Keylogger frühzeitig zu erkennen, um sensible Daten wie Passwörter, Nachrichten oder Bankinformationen zu schützen.

Funktionsweise
Das System überwacht kontinuierlich zentrale sicherheitsrelevante Bereiche des Betriebssystems:

Prozessüberwachung:
Laufende Prozesse werden analysiert und auf typische Verhaltensweisen von Keylogger geprüft. Dazu gehören ungewöhnliche Hintergrundprozesse, versteckte Ausführungen oder Prozesse mit abnormalem Verhalten im Bezug auf Eingabeverarbeitung.

Dateisystem-Analyse:
Das Tool erkennt verdächtige Dateien oder Änderungen in verschiedensten Systembereichen. Besonders beobachtet werden Bereiche, in denen Keylogger sich typischerweise einnisten oder persistente Spuren hinterlassen.

Netzwerkaktivität:
Ausgehende Verbindungen werden überwacht und auf untypisches Verhalten geprüft, insbesondere Datenübertragungen, die auf das Abgreifen von Tastatureingaben hindeuten können.

Input-Erkennung (Tastaturaktivität):
Das System überwacht relevante Eingabe-Schnittstellen, um ungewöhnliche Abhörmechanismen auf Tastatureingaben zu identifizieren.

Erkennung & Analyse
Die gesammelten Daten werden anhand von Metriken und Verhaltensmustern ausgewertet. Dabei wird kein einzelnes Indiz isoliert betrachtet, sondern eine kombinierte Risikoanalyse durchgeführt. So können auch weniger offensichtliche oder komplexere Keylogger erkannt werden.

Das System ist primär darauf ausgelegt, root-basierte Keylogger zu erkennen, die direkt auf Eingabegeräte oder System-Input zugreifen.

Reaktion & Schutzmechanismen
Wird ein verdächtiges Verhalten erkannt, führt das System automatisch Schutzmaßnahmen aus:

Echtzeit-Benachrichtigung des Users über potenzielle Bedrohungen Bewertung des Risikogrades anhand der erkannten Metriken Optionale Prozessbeendigung verdächtiger Anwendungen

Benutzeroberfläche
Das Projekt verfügt über ein Terminal User Interface (TUI), das klare und schnelle Informationen über den Systemstatus liefert. Ziel ist eine einfache Bedienbarkeit direkt im Terminal.

Erweiterbarkeitaktiv verhindert, dass sensible Nutzerdaten kompromittiert werden.
Das System ist modular aufgebaut und kann in Zukunft erweitert werden um:

Erkennung komplexerer Keylogger-Techniken Analyse von Zusammenhängen zwischen mehreren verdächtigen Prozessen Erweiterte TUI oder grafische Oberfläche (GUI) Unterstützung für Windows und macOS Verschiedene Arten von User Inputs

Ziel
Ziel des Projekts ist es, eine leichtgewichtige, aber effektive Sicherheitslösung zu schaffen, welche Keylogger erkennt und aktiv verhindert, dass sensible Nutzerdaten abgegriffen werden.

Team

Julian Beck, Ronaldo Da Ros, Polidefkis Dimoglidis, Sonja Ebel, Johannes Fischer, Maya Palmer, Monika Pavic

Betreuer*Innen

Joachim Charzinski