If-Koubou

Как да открием компютър и имейл мониторинг или шпионски софтуер

Как да открием компютър и имейл мониторинг или шпионски софтуер (Компютърни съвети)

Като IT Pro, аз рутинно наблюдавам служителите компютри и имейли. Това е от съществено значение в работна среда за административни цели, както и за сигурност. Наблюдаването на имейл, например, ви позволява да блокирате прикачени файлове, които могат да съдържат вирус или шпионски софтуер. Единственият път, когато трябва да се свържа с компютър на потребители и да работя директно на компютъра им, е да поправя проблем.

Ако обаче смятате, че сте под наблюдение, когато не трябва да бъдете, има няколко малки трикове, които можете да използвате, за да определите дали сте прав. На първо място, за да следите някой компютър означава, че те могат да гледат всичко, което правите на компютъра си в реално време. Блокирането на порнографски сайтове, премахването на прикачените файлове или блокирането на спам, преди да стигне до входящата ви поща и т.н., не е наистина мониторинг, а по-скоро като филтриране.

Единственият голям проблем, който искам да подчертая, преди да се движите, е, че ако сте в корпоративна среда и мислите, че сте под наблюдение, трябва да предположите, че могат да видят всичко, което правите на компютъра. Също така, приемете, че няма да можете да намерите софтуер, който записва всичко. В корпоративните среди компютрите са толкова персонализирани и преконфигурирани, че е почти невъзможно да се открие нищо освен ако не сте хакер. Тази статия е по-насочена към домашните потребители, които мислят, че приятел или член на семейството се опитват да ги наблюдават.

Мониторинг на компютъра

Така че, ако все още смятате, че някой ви шпионира, ето какво можете да направите! Най-лесният и лесен начин да влезете в компютъра си е чрез отдалечен работен плот. Доброто е, че Windows не поддържа множество конкурентни връзки, докато някой е влязъл в конзолата (има нещо за това, но няма да се притеснявам). Това означава, че ако сте влезли в компютъра си с XP, 7 или Windows 8 и някой трябва да се свърже с него с помощта на Вградено дистанционно управление функцията на Windows, екранът ви ще се заключи и ще ви каже кой е свързан.

Така че защо е полезно? Това е полезно, защото означава, че за да може някой да се свърже с вашата сесия, без да забележите или екранът ви да бъде превзет, те използват софтуера на трета страна. Въпреки това, през 2014 г. никой няма да бъде очевиден и е много по-трудно да се открие софтуерът за софтуер на трети страни.

Ако търсим софтуер от трети страни, който обикновено се нарича софтуер за дистанционно управление или софтуер за виртуална компютърна компютърна мрежа (VNC), трябва да започнем от нулата. Обикновено, когато някой инсталира такъв тип софтуер на компютъра ви, той трябва да го направи, докато не сте там и те трябва да рестартират компютъра ви. Така че първото нещо, което може да ви узнае, е, ако компютърът ви е рестартиран и не си спомняте да го правите.

На второ място, трябва да проверите вашето Меню "Старт" - Всички програми и да видим дали нещо като VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC и т.н. е инсталирано. Много пъти хората са небрежни и смятат, че нормален потребител няма да знае какъв е софтуерът и просто ще го игнорира. Ако някоя от тези програми е инсталирана, тогава някой може да се свърже с компютъра ви, без да го знае, стига програмата да работи във фонов режим като услуга на Windows.

Това ни води до третата точка. Обикновено, ако някоя от изброените по-горе програми е инсталирана, ще има икона за нея в лентата на задачите, защото трябва непрекъснато да работи.

Проверете всички икони (дори скритите) и вижте какво се изпълнява. Ако откриете нещо, за което не сте чували, направете бързо търсене в Google, за да видите какво се появява. Това е доста лесно за мониторинг на софтуер, за да скриете иконата на лентата на задачите, така че ако не виждате нещо необичайно там, това не означава, че нямате инсталиран софтуер за мониторинг.

Така че, ако нищо не се появи на очевидните места, нека да преминем към по-сложните неща.

Проверете пристанищата на защитната стена

Отново, защото това са приложения на трети страни, те трябва да се свързват с Windows на различни комуникационни портове. Пристанищата са просто виртуална връзка за данни, чрез която компютрите споделят информация директно. Както може би вече знаете, Windows идва с вградена защитна стена, която блокира много от входящите портове от съображения за сигурност. Ако не използвате FTP сайт, защо трябва да бъде отворен порт 23, нали?

Така че, за да могат тези приложения на трети страни да се свързват с компютъра ви, те трябва да минават през порт, който трябва да е отворен на компютъра ви. Можете да проверите всички отворени портове, като отидете на начало, Контролен панел, и Windows защитна стена, След това кликнете върху Разрешаване на програма от функции през защитната стена на Windows отляво.

Тук ще видите списък с програми с квадратче за отметка до тях. Онези, които са проверени, са "отворени" и нерегистрираните или скритите са "затворени". Прегледайте списъка и вижте дали няма програма, която не познавате или която съвпада с VNC, дистанционно управление и т.н. Ако е така, можете да блокирате програмата, като отметнете полето за него!

Проверете изходящите връзки

За съжаление, това е малко по-сложно от това. В някои случаи може да има входяща връзка, но в много случаи софтуерът, инсталиран на вашия компютър, ще има само изходяща връзка със сървър. В Windows се допускат всички изходящи връзки, което означава, че нищо не е блокирано. Ако целият шпионски софтуер е запис на данни и да ги изпратите на сървър, той използва само изходяща връзка и следователно няма да се покаже в този списък на защитната стена.

За да уловим такава програма, трябва да видим изходящи връзки от нашия компютър към сървъри. Има редица начини, по които можем да направим това, и ще говоря за една или две тук.Както казах по-рано, стана малко по-сложно, защото имаме работа с наистина скрит софтуер и няма да го намерите лесно.

TCPView

Първо, изтеглете програма, наречена TCPView от Microsoft. Това е много малък файл и дори не трябва да го инсталирате, просто го разархивирайте и кликнете два пъти върху него TCPView, Главният прозорец ще изглежда така и вероятно няма смисъл.

По същество това показва всички връзки от вашия компютър към други компютри. Отляво е името на процеса, което ще бъдат изпълняваните програми, т.е. Chrome, Dropbox и т.н. Единствените други колони, на които трябва да разгледаме, са Отдалечен адрес и състояние, Продължете и сортирайте по държавна колона и разгледайте всички процеси, изброени в СЪЗДАДЕНА, Установеното означава, че понастоящем има открита връзка. Обърнете внимание, че шпионският софтуер може да не е винаги свързан към отдалечения сървър, затова е добре да оставите тази програма отворена и да наблюдавате всички нови процеси, които могат да се появят в установената държава.

Това, което искате да направите, е да филтрирате този списък в процеси, чието име не разпознавате. Chrome и Dropbox са добре и няма причина за аларма, но какво е openvpn.exe и rubyw.exe? Е, в моя случай, използвам VPN, за да се свържа с интернет, така че тези процеси са за моята VPN услуга. Въпреки това, можете да намерите само тези услуги на Google и бързо да разберете това сами. Софтуерът за VPN не е шпионски софтуер, така че не се притеснявайте. Когато търсите процес, веднага ще можете да разберете дали е безопасно или не, просто като погледнете резултатите от търсенето.

Друго нещо, което искате да проверите, са колоните отдясно, наречени "Изпратени пакети", "Изпратени байтове" и т.н. Сортирай по Изпратени байтове и веднага можете да видите кой процес изпраща най-много данни от вашия компютър. Ако някой следи компютъра ви, трябва да изпраща данните навсякъде, така че ако процесът не се скрие много добре, трябва да го видите тук.

Process Explorer

Друга програма, която можете да използвате, за да намерите всички процеси, които се изпълняват на вашия компютър, е Process Explorer от Microsoft. Когато го стартирате, ще видите много информация за всеки един процес и дори детски процеси, които се изпълняват в родителските процеси.

Process Explorer е доста страхотно, защото се свързва с VirusTotal и може веднага да ви каже, ако процесът е открит като злонамерен софтуер или не. За да направите това, кликнете върху Настроики, VirusTotal.com и след това кликнете върху Проверете VirusTotal.com, Това ще ви донесе на уебсайта си, за да прочетете TOS, просто го затворете и кликнете да в диалоговия прозорец в програмата.

След като направите това, ще видите нова колона, която показва последната скорост на откриване на сканиране за много от процесите. Тя няма да може да получи стойността за всички процеси, но е по-добре от нищо. За тези, които нямат резултат, продължете напред и търсете ръчно тези процеси в Google. За тези с резултати, искаш да кажеш почти 0 / XX. Ако това не е 0, продължете с процеса на Google или кликнете върху номерата, които ще бъдат отведени до уеб сайта на VirusTotal за този процес.

Също така имам склонност да сортирам списъка по име на фирма и всеки процес, който няма фирма, изброена, Google да проверява. Въпреки това, дори и при тези програми все още не можете да видите всички процеси.

Rootkits

Съществуват и класови програми за стелт, наречени rootkits, които двете програми по-горе дори няма да могат да видят. В този случай, ако не откриете нищо подозрително, когато проверявате всички процеси по-горе, ще трябва да опитате още по-здрави инструменти. Друг добър инструмент от Microsoft е Rootkit Revealer, но е много стар.

Други добри анти-rootkit инструменти са Malwarebytes Anti-Rootkit Бета, което бих препоръчал, тъй като техният анти-злонамерен инструмент бе класиран на първо място през 2014 г. Друг популярен е GMER.

Предлагам да инсталирате тези инструменти и да ги изпълните. Ако намерят нещо, премахнете или изтрийте каквото им предлагат. Освен това трябва да инсталирате анти-зловреден софтуер и антивирусен софтуер. Много от тези скрити програми, които хората използват, се считат за злонамерен софтуер / вируси, така че те ще бъдат премахнати, ако стартирате подходящия софтуер. Ако нещо се установи, не забравяйте да го намерите в Google, така че да можете да разберете дали е мониторинг на софтуера или не.

Email & Мониторинг на уеб сайта

За да проверите дали имейлът ви се наблюдава е също сложен, но ще се придържаме към лесните неща за тази статия. Всеки път, когато изпращате имейл от Outlook или някой имейл клиент на вашия компютър, той винаги трябва да се свързва с имейл сървър. Вече може да се свърже директно или да се свърже чрез т.нар. Прокси сървър, който отправя заявка, променя или проверява и го препраща към друг сървър.

Ако преминете през прокси сървър за имейл или уеб браузър, уеб сайтовете, до които имате достъп, или имейлите, които пишете, могат да бъдат запазени и прегледани по-късно. Можете да проверите за двете и ето как. За IE, отидете Инструменти, тогава интернет настройки, Кликнете върху Връзки раздела и изберете LAN Settings.

Ако прозореца Прокси сървър е проверен и има локален IP адрес с номер на порта, това означава, че първо минавате през локален сървър преди да стигнете до уеб сървъра. Това означава, че всеки уеб сайт, който посещавате, първо минава през друг сървър, изпълняващ някакъв софтуер, който блокира адреса или просто го регистрира. Единственият път, когато ще бъдете малко сигурен, е сайтът, който посещавате, да използва SSL (HTTPS в адресната лента), което означава, че всичко, изпратено от компютъра ви до отдалечения сървър, е шифровано. Дори ако вашата компания трябваше да улови данните между тях, щеше да бъде криптирана.Казвам малко по-безопасно, защото ако на компютъра ви е инсталиран шпионски софтуер, той може да улови натискането на клавиши и следователно да заснеме каквото и да въведете в тези защитени сайтове.

За корпоративния си имейл проверявате за едно и също нещо - локален IP адрес за пощенските сървъри POP и SMTP. За да проверите в Outlook, отидете на Инструменти, Имейл акаунти, и щракнете върху Промяна или Свойства и намерете стойностите за POP и SMTP сървъра. За съжаление, в корпоративните среди сървърът за електронна поща вероятно е местен и затова определено се наблюдава, дори и да не е чрез пълномощник.

Винаги трябва да бъдете внимателни при писането на имейли или сърфирането в уеб сайтове, докато сте в офиса. Опитвайки се да преодолеете сигурността също може да ви затрудни, ако те разберат, че сте заобиколили техните системи! ИТ хората не харесват това, мога да ви кажа от опита! Въпреки това, вие искате да защитите вашия уеб браузване и електронна поща дейност, най-добре е да използвате VPN като Private Internet Access.

Това изисква инсталиране на софтуер на компютъра, което може да не можете да направите на първо място. Въпреки това, ако можете, можете да сте сигурни, че никой не е в състояние да види какво правите в браузъра си, стига да не е инсталиран софтуер за локално шпиониране! Няма нищо, което да скрие дейностите ви от локално инсталирания софтуер за шпиониране, защото може да записва натискания на клавиши и т.н., затова опитайте да следвате инструкциите си по-горе и да изключите програмата за мониторинг. Ако имате някакви въпроси или притеснения, можете да коментирате. Наслади се!