Как удалить скрытый keylogger, замаскированный под системный драйвер

Автор На чтение 3 мин Просмотров 1 Опубликовано

Если вы подозреваете, что на вашем компьютере работает кейлоггер, внедрённый в системный драйвер — обычный антивирус может его не увидеть. Это не теория заговора, а реальная техника, которую используют как злоумышленники, так и некоторые корпоративные решения мониторинга. Драйвер уровня ядра загружается раньше пользовательских программ, имеет права выше любого антивируса и может перехватывать нажатия клавиш незаметно для системы. Разберёмся, как его обнаружить и удалить.

Содержание
  1. Почему драйвер — удобное укрытие для кейлоггера
  2. Признаки того, что драйвер может быть вредоносным
  3. Шаг 1. Определите подозрительный драйвер
  4. Шаг 2. Проверьте драйвер через проверку целостности и сигнатуры
  5. Шаг 3. Отключите и удалите вредоносный драйвер
  6. Шаг 4. Проверьте систему на следы
  7. Сравнение инструментов для обнаружения подозрительных драйверов
  8. Что делать в зависимости от вашей ситуации
  9. Частые ошибки при удалении драйвера-кейлоггера
  10. Как предотвратить установку драйверов-кейлоггеров
  11. Итог

Почему драйвер — удобное укрытие для кейлоггера

Драйвер работает на уровне ядра операционной системы (Ring 0). Это значит, что он:

  • загружается при старте системы, до запуска большинства программ;
  • имеет доступ ко всем данным, включая буфер клавиатуры;
  • может перехватывать IRP (I/O Request Packet) драйвера клавиатуры и записывать нажатия;
  • часто не виден в обычном диспетчере задач;
  • не определяется стандартными антивирусами, если подписан валидной цифровой подписью или использует уязвимый легитимный драйвер (BYOVD-атака).

Именно поэтому скрытые кейлоггеры часто маскируются под драйверы: аудио, сетевые, виртуальные устройства. Название может выглядеть безобидно — HdAudio.sys, Realtek.sys, AsIO.sys — но внутри может быть код, записывающий каждый символ.

Признаки того, что драйвер может быть вредоносным

Перед тем что-то удаляйте, стоит проверить, есть ли у вас основания подозревать драйвер. Вот косвенные признаки:

  • необъяснимое замедление ввода с клавиатуры (задержка между нажатием и появлением символа);
  • процесс svchost.exe или System необычно активно обращается к диску в простое;
  • в автозагрузке появился неизвестный драйвер (виден в msconfig или Autoruns);
  • антивирус периодически предупреждает о подозрительном поведении в области ядра, но не может определить угрозу;
  • сетевой трафик уходит на незнакомые адреса, даже когда браузер закрыт;
  • цифровая подпись драйвера отсутствует, просрочена или принадлежит неизвестной компании.

Шаг 1. Определите подозрительный драйвер

Для начала нужно понять, какой именно драйвер вызывает подозрения. Вот пошаговый алгоритм:

  1. Откройте Autoruns (от Microsoft Sysinternals) — это бесплатная утилита, которая показывает ВСЁ, что загружается в системе, включая драйверы. Скачайте с официального сайта Microsoft. Запустите от имени администратора.
  2. Перейдите на вкладку «Drivers». Здесь перечислены все зарегистрированные драйверы.
  3. Отключите сортировку и просмотрите список. Обратите внимание на драйверы без цифровой подписи (в столбце «Publisher» пусто или написано «Not verified»).
  4. Проверьте путь к файлу. Легитимные драйверы обычно лежат в C:\Windows\System32\drivers\. Если драйвер находится в необычном месте — это красный флаг.
  5. Просмотрите свойства. Правый клик → «Properties» → вкладка «Digital Signers». Если подписи нет — драйвер потенциально опасен.

Также полезно использовать встроенную утилиту driverquery:

  1. Откройте командную строку от имени администратора.
  2. Введите driverquery /v /fo list — это покажет все драйверы с подробностями.
  3. Перенаправьте вывод в файл: driverquery /v /fo csv > C:\drivers.csv и изучите в Excel.

Шаг 2. Проверьте драйвер через проверку целостности и сигнатуры

Windows умеет проверять цифровые подписи драйверов. Вот как это сделать:

  1. Найдите файл драйвера (например, C:\Windows\System32\drivers\подозрительный.sys).
  2. Кликните правой кнопкой → «Свойства» → «Цифровые подписи».
  3. Если вкладки нет — файл не подписан. Это сразу подозрительно для системного драйвера.
  4. Если подпись есть — проверьте, кому она принадлежит и действительна ли она. Нажмите «Подробности» → «Просмотр сертификата».

Дополнительно можно использовать утилиту от Sysinternals:

  • sigcheck -u -e C:\Windows\System32\drivers\ — проверит все драйверы и покажет неподписанные.

Шаг 3. Отключите и удалите вредоносный драйвер

Когда вы определили подозрительный драйвер, его нужно отключить и удалить. Порядок важен:

  1. Отключите драйвер через Autoruns. Снимите галочку напротив подозрительного драйвера на вкладке «Drivers». Это предотвратит его загрузку при следующей перезагрузке. Не удаляйте пока — сначала убедитесь, что это не критический драйвер.
  2. Перезагрузите компьютер. После перезагрузки проверьте, работает ли система нормально. Если что-то сломалось (нет звука, нет сети) — верните драйвер обратно через Autoruns (он сохраняет записи).
  3. Если система работает нормально — удалите запись через Autoruns (правый клик → Delete). Это удалит запись из реестра.
  4. Удалите файл драйвера. Перейдите в папку, где он лежит, и удалите .sys файл. Если файл не удаляется — используйте загрузку в безопасном режиме или утилиту sc delete для удаления службы.

Если драйвер зарегистрирован как служба:

  1. Откройте командную строку от администратора.
  2. Проверьте наличие службы: sc query type= driver.
  3. Найдите имя службы подозрительного драйвера.
  4. Остановите: sc stop "имя_службы".
  5. Удалите: sc delete "имя_службы".

Шаг 4. Проверьте систему на следы

После удаления драйвера убедитесь, что не осталось следов:

  • Проверьте автозагрузку через Autoruns — не осталось ли ссылок на удалённый драйвер.
  • Проверьте папку C:\Windows\System32\drivers\ — нет ли там файла с таким же именем.
  • Проверьте реестр: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ — удалите ключ, соответствующий драйверу, если он остался.
  • Запустите полное сканирование антивирусом с актуальными базами.
  • Проверьте системные файлы: в командной строке от администратора выполните sfc /scannow.

Сравнение инструментов для обнаружения подозрительных драйверов

Инструмент Что делает Уровень сложности Когда использовать
Autoruns (Sysinternals) Показывает все автозагрузки, включая драйверы, с проверкой подписей Низкий Первичный осмотр, поиск неизвестных драйверов
DriverQuery (встроен) Выводит список всех установленных драйверов Низкий Быстрый список без установки сторонних программ
Sigcheck (Sysinternals) Проверяет цифровые подписи файлов и драйверов Средний Массовая проверка подписей всех драйверов
WinDbg Анализирует дампы памяти и поведение на уровне ядра Высокий Глубокий анализ, если подозрение на скрытый руткит
GMER Специализированный инструмент для поиска руткитов и скрытых драйверов Средний Если обычные инструменты ничего не нашли, но подозрения остаются

Что делать в зависимости от вашей ситуации

Если вы обычный пользователь и нашли неподписанный драйвер неизвестного происхождения: отключите его через Autoruns, удалите файл и службу. Запустите проверку антивирусом. Этого достаточно в 90% случаев.

Если драйвер подписан, но подозрителен (например, подписан устаревшим сертификатом или компанией, о которой вы не слышали):strong> проверьте хеш-сумму файла через VirusTotal. Если там есть срабатывания — удаляйте. Если нет — отключите и понаблюдайте за поведением системы.

Если вы подозреваете целевую атаку (например, на вас или вашу компанию целенаправленно шпионят):strong> не ограничивайтесь удалением одного драйвера. Сделайте дамп памяти, проверьте систему через GMER или аналоги, при необходимости обратитесь к специалисту по кибербезопасности. Целевые атаки часто используют несколько компонентов.

Если после удаления драйвера система не загружается: загрузитесь с установочной флешки Windows, откройте командную строку (Shift+F10 при установке) и удалите файл драйвера вручную из папки \Windows\System32\drivers\. Также можно попробовать восстановление системы из точки до появления проблем.

Частые ошибки при удалении драйвера-кейлоггера

  • Удаление критического драйвера. Если вы удалите драйвер, отвечающий за загрузку системы (например, драйвер файловой системы), Windows не запустится. Всегда сначала отключайте, потом проверяйте, и только потом удаляйте.
  • Удаление только файла, без записи в реестре. Если не удалить запись из HKLM\SYSTEM\CurrentControlSet\Services\, система попытается загрузить несуществующий драйвер и может выдать ошибку или зависать.
  • Использование «чистильщиков» реестра. Они не разбираются, какой драйвер вредоносный, и могут сломать систему. Работайте вручную или через специализированные инструменты.
  • Игнорирование других компонентов. Кейлоггер в драйвере может сопровождаться пользовательским процессом, который собирает данные и отправляет их нарузу. Удалив только драйвер, вы оставите активную программу-получатель.
  • Отсутствие проверки после удаления. После удаления обязательно проверьте систему минимум двумя разными инструментами — антивирусом и Autoruns.

Как предотвратить установку драйверов-кейлоггеров

  • Включите обязательную проверку подписей драйверов. В Windows это можно сделать через групповую политику или командой bcdedit /set nointegritychecks off. Это не даст загрузиться неподписанным драйверам.
  • Используйте режим Secure Boot. Он проверяет загрузочные компоненты и драйверы на этапе старта системы.
  • Установите защиту от атак на уровне ядра. В Windows 10/11 есть «Защита от подделки» (Tamper Protection) и «Целостность памяти» (Memory Integrity) в Центре безопасности Windows. Включите их.
  • Не запускайте программы из неизвестных источников. Многие драйверы-кейлоггеры устанавливаются вместе с пиратским ПО или кряками.
  • Регулярно проверяйте автозагрузку через Autoruns. Это занимает две минуты, но позволяет вовремя заметить подозрительный драйвер.

Итог

Скрытый кейлоггер в виде системного драйвера — серьёзная угроза, но её можно обнаружить и удалить самостоятельно, если действовать аккуратно. Главное — не удалять всё подряд, а сначала определить подозрительный драйвер через Autoruns или sigcheck, проверить его подпись, отключить, убедиться, что система работает, и только потом удалить и файл, и запись в реестре.

Если ситуация кажется сложной — вы нашли несколько подозрительных драйверов, система ведёт себя странно, или подозреваете целевую атаку — не экспериментируйте, а обратитесь к специалисту. В таких случаях лучше сохранить дамп системы для анализа, чем сломать её неумелыми действиями.

Начните с малого: скачайте Autoruns, запустите, посмотрите вкладку Drivers. Это уже даст вам понимание, что загружается в вашей системе — и что из этого выглядит подозрительно.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком