כיצד לזהות מחשב & דואל ניטור או תוכנות ריגול
כמו IT Pro, אני באופן שגרתי לפקח על העובדים מחשבים ודוא"ל. זה חיוני בסביבה עבודה למטרות ניהוליות כמו גם עבור אבטחה. ניטור דואר אלקטרוני, לדוגמה, מאפשר לך לחסום קבצים מצורפים שעלולים להכיל וירוס או תוכנות ריגול. הפעם היחידה שאני צריך להתחבר למחשב משתמשים ולעשות עבודה ישירות על המחשב שלהם היא לתקן בעיה.
עם זאת, אם אתה מרגיש שאתה במעקב כאשר אתה לא צריך להיות, יש כמה טריקים קטנים אתה יכול להשתמש כדי לקבוע אם אתה צודק. ראשית, כדי לפקח someones המחשב אומר שהם יכולים לראות את כל מה שאתה עושה במחשב בזמן אמת. חסימת אתרי פורנו, הסרת קבצים מצורפים או חסימת דואר זבל לפני שהוא מגיע לתיבת הדואר הנכנס שלך, וכו 'היא לא ממש ניטור, אבל יותר כמו סינון.
בעיה אחת גדולה אני רוצה להדגיש לפני שעבר על זה שאם אתה בסביבה ארגונית חושב שאתה נמצא במעקב, אתה צריך להניח שהם יכולים לראות כל מה שאתה עושה במחשב. כמו כן, נניח כי לא תוכל למצוא למעשה את התוכנה כי הוא הקלטת הכל. בסביבות ארגוניות, המחשבים מותאמים אישית כל כך מחדש, כי זה כמעט בלתי אפשרי לזהות דבר, אלא אם אתה האקר. מאמר זה מיועד יותר למשתמשים ביתיים שחושבים חבר או בן משפחה מנסה לפקח עליהם.
ניטור מחשב
אז עכשיו, אם אתה עדיין חושב שמישהו מרגל עליך, הנה מה שאתה יכול לעשות! הדרך הפשוטה והפשוטה ביותר שמישהו יכול להתחבר למחשב שלך היא באמצעות שולחן עבודה מרוחק. הדבר הטוב הוא ש- Windows אינו תומך במספר חיבורים בו-זמניים בזמן שמישהו מחובר לקונסולה (יש גרזן לכך, אבל לא הייתי מודאג). פירוש הדבר הוא שאם אתה מחובר XP שלך, 7 או Windows 8 המחשב ומישהו היו להתחבר אליו באמצעות דסקטופ מרוחק תכונה של Windows, המסך שלך יהיה נעול וזה יגיד להגיד לך מי מחובר.
אז למה זה מועיל? זה שימושי כי זה אומר כי על מנת שמישהו להתחבר הפגישה שלך מבלי שתשים לב או המסך שלך להיות השתלטו, יש להם להשתמש בתוכנות צד שלישי. עם זאת, בשנת 2014, אף אחד לא הולך להיות ברור כי זה הרבה יותר קשה לזהות תוכנות צד שלישי תוכנות התגנבות.
אם אנחנו מחפשים תוכנה של צד שלישי, אשר מכונה בדרך כלל תוכנת שליטה מרחוק או תוכנת רשת וירטואלית (VNC), אנחנו צריכים להתחיל מאפס. בדרך כלל, כאשר מישהו מתקין את זה סוג של תוכנה במחשב שלך, הם צריכים לעשות את זה בזמן שאתה לא שם והם צריכים להפעיל מחדש את המחשב. אז הדבר הראשון שיכול לרמוז לך את זה אם המחשב שלך כבר מחדש ואתה לא זוכר עושה את זה.
שנית, אתה צריך לבדוק את שלך תפריט התחלה - כל התוכניות ולראות אם או לא משהו כמו VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, וכו 'מותקן. הרבה פעמים אנשים מרושל ו להבין כי משתמש רגיל לא יודע מה פיסת תוכנה היא פשוט להתעלם ממנה. אם כל התוכניות האלה מותקנות, אז מישהו יכול להתחבר למחשב שלך בלי שאתה יודע את זה כל עוד התוכנית פועלת ברקע כשירות Windows.
זה מביא אותנו לנקודה השלישית. בדרך כלל, אם אחת התוכניות המפורטות לעיל מותקנות, יהיה סמל עבור אותה בשורת המשימות כי זה צריך להיות כל הזמן לרוץ לעבודה.
בדוק את כל הסמלים שלך (אפילו אלה מוסתרים) ולראות מה פועל. אם אתה מוצא משהו שלא שמעת עליו, בצע חיפוש מהיר ב- Google כדי לראות מה צץ. זה די קל עבור תוכנת ניטור כדי להסתיר את סמל שורת המשימות, אז אם אתה לא רואה שום דבר יוצא דופן שם, זה לא אומר שאתה לא צריך תוכנת ניטור מותקן.
אז אם שום דבר לא מופיע במקומות הברורים, בואו נעביר את הדברים המורכבים יותר.
בדוק את יציאות Firewall
שוב, כי אלה יישומי צד שלישי, הם צריכים להתחבר ל- Windows על יציאות תקשורת שונות. יציאות הן פשוט חיבור נתונים וירטואלי שבו מחשבים חולקים מידע ישירות. כפי שאתם כבר יודעים, Windows מגיע עם חומת אש מובנית שחוסמת רבות מהיציאות הנכנסות מסיבות אבטחה. אם אינך מפעיל אתר FTP, מדוע היציאה שלך תהיה פתוחה, ימינה?
אז כדי שיישומים אלה של צד שלישי יתחברו למחשב שלך, עליהם להגיע דרך יציאה, שעליה להיות פתוחה במחשב. אתה יכול לבדוק את כל היציאות הפתוחות על ידי הולך התחל, לוח בקרה, ו חומת האש של Windows. לאחר מכן לחץ על אפשר תוכנית תכונה באמצעות חומת האש של Windows בצד שמאל.
כאן תראה רשימה של תוכניות עם תיבות סימון לידן. אלה נבדקים הם "פתוח" ואת אלה לא מסומנים או לא רשומים הם "סגור". עבור דרך הרשימה ולראות אם יש תוכנית שאתה לא מכיר או שמתאים VNC, שלט רחוק, וכו 'אם כן, אתה יכול לחסום את התוכנית על ידי ביטול סימון התיבה עבור זה!
בדוק חיבורים יוצאים
לרוע המזל, זה קצת יותר מסובך מזה. במקרים מסוימים, ייתכן שקיים חיבור נכנס, אך במקרים רבים, התוכנה המותקנת במחשב שלך תהיה בעלת חיבור יוצא לשרת בלבד. ב- Windows, כל חיבורי היציאות מותרים, ופירוש הדבר ששום דבר לא נחסם. אם כל תוכנת הריגול היא עושה נתונים הרשומה ולשלוח אותו לשרת, אז זה רק משתמש בחיבור יוצא ולכן לא יופיע ברשימת חומת האש.
כדי לתפוס תוכנית כזו, אנחנו צריכים לראות חיבורים יוצאים מהמחשב שלנו לשרתים. יש שורה שלמה של דרכים שאנחנו יכולים לעשות את זה ואני הולך לדבר על אחד או שניים כאן. כמו שאמרתי קודם, זה קצת מסובך עכשיו כי אנחנו מתמודדים עם תוכנה חשאית באמת ואתה לא הולך למצוא את זה בקלות.
TCPView
ראשית, הורד תוכנית הנקראת TCPView ממיקרוסופט. זה קובץ קטן מאוד ואתה אפילו לא צריך להתקין את זה, פשוט לפתוח את זה ולחץ לחיצה כפולה על Tcpview. החלון הראשי ייראה כך וכנראה לא הגיוני.
בעיקרון, זה מראה לך את כל החיבורים מהמחשב שלך למחשבים אחרים. בצד שמאל הוא שם התהליך, אשר יהיו התוכניות הפועלות, כלומר Chrome, Dropbox וכו '. העמודות האחרות היחידות שעלינו להביט בהן הן כתובת מרחוק ו מדינה. קדימה, למיין לפי עמודה המדינה ולראות את כל התהליכים המפורטים תחת הוקם. כלומר, יש כרגע חיבור פתוח. שים לב שתוכנת הריגול לא תמיד מחוברת לשרת המרוחק, לכן מומלץ להשאיר את התוכנית פתוחה ולפקח על כל תהליכים חדשים שעשויים להופיע תחת המצב הקבוע.
מה שאתה רוצה לעשות הוא לסנן את הרשימה לתהליכים שאת השם שלהם אתה לא מזהה. Chrome ו- Dropbox הם בסדר ואין סיבה אזעקה, אבל מה זה openvpn.exe ו rubyw.exe? ובכן, במקרה שלי, אני משתמש VPN כדי להתחבר לאינטרנט אז אלה תהליך עבור שירות VPN שלי. עם זאת, אתה יכול פשוט Google שירותים אלה במהירות להבין את זה בעצמך. תוכנת VPN אינה תוכנת ריגול, ולכן אין דאגות שם. כאשר אתה מחפש תהליך, תוכל מיד לדעת אם זה בטוח או רק על ידי הסתכלות על תוצאות החיפוש.
דבר נוסף שאתה רוצה לבדוק את העמודות הימנית הקיצונית הנקראת מנות שנשלחו, בתים שנשלחו וכו 'מיין לפי בתים שנשלחו ואתה יכול מיד לראות איזה תהליך שולח את הנתונים ביותר מהמחשב. אם מישהו עוקב אחר המחשב שלך, הוא צריך לשלוח את הנתונים למקום כלשהו, כך שאם התהליך לא יוסתר היטב, תראה אותו כאן.
סייר התהליך
תוכנית אחרת שבה ניתן להשתמש כדי למצוא את כל התהליכים הפועלים במחשב שלך היא Process Explorer של Microsoft. כאשר אתה מפעיל את זה, תראה הרבה מידע על כל תהליך יחיד ואפילו תהליכים הילד פועל בתוך תהליכים הורה.
תהליך Explorer הוא די מדהים כי זה מתחבר עם VirusTotal והוא יכול להגיד לך באופן מיידי אם תהליך זוהה כמו תוכנה זדונית או לא. לשם כך, לחץ על אפשרויות, VirusTotal.com ולאחר מכן לחץ על בדוק את VirusTotal.com. זה יביא אותך לאתר האינטרנט שלהם כדי לקרוא את ה- TOS, פשוט לסגור את זה ולחץ כן על תיבת הדו שיח של התוכנית.
לאחר שתעשה זאת, תראה עמודה חדשה המציגה את קצב איתור הסריקה האחרון עבור הרבה תהליכים. זה לא יהיה מסוגל לקבל את הערך עבור כל התהליכים, אבל זה יותר טוב מכלום. עבור אלה שאין להם ציון, קדימה לחפש באופן ידני את התהליכים האלה ב- Google. עבור אלה עם ציונים, אתה רוצה את זה די הרבה לומר 0 / XX. אם זה לא 0, קדימה ו- Google את התהליך או לחץ על המספרים כדי להילקח לאתר וירוסים עבור תהליך זה.
אני גם נוטה למיין את הרשימה לפי שם החברה וכל תהליך שאין לו חברה הרשומה, אני Google לבדוק. עם זאת, גם עם תוכניות אלה אתה עדיין לא יכול לראות את כל התהליכים.
רוטקיטס
יש גם תוכניות התגנבות בכיתה בשם rootkits, אשר שתי תוכניות לעיל אפילו לא יוכל לראות. במקרה זה, אם לא מצאתי שום דבר חשוד בעת בדיקת כל התהליכים לעיל, תצטרך לנסות אפילו יותר כלים חזקים. עוד כלי טוב של מיקרוסופט היא Rootkit Revealer, אבל זה מאוד ישן.
כלים טובים אחרים נגד rootkit הם Malwarebytes Anti-Rootkit Beta, אשר הייתי ממליץ בחום מאז כלי אנטי זדוניות שלהם היה מדורגת # 1 בשנת 2014. עוד אחד פופולרי הוא GMER.
אני מציע לך להתקין את הכלים האלה ולהפעיל אותם. אם הם מוצאים משהו, הסר או מחק את מה שהם מציעים. בנוסף, אתה צריך להתקין אנטי תוכנות זדוניות אנטי וירוס. הרבה תוכניות התגנבות כי אנשים משתמשים נחשבים תוכנות זדוניות / וירוסים, אז הם יוסרו אם אתה מפעיל את התוכנה המתאימה. אם משהו מזוהה, ודא כי גוגל זה אז אתה יכול לגלות אם זה היה תוכנת ניטור או לא.
דוא"ל & אתר אינטרנט ניטור
כדי לבדוק אם הדוא"ל שלך הוא להיות פיקוח גם מסובך, אבל אנחנו מקל עם הדברים קל עבור מאמר זה. בכל פעם שאתה שולח דוא"ל מ- Outlook או לקוח דוא"ל כלשהו במחשב שלך, זה תמיד צריך להתחבר לשרת הדוא"ל. עכשיו זה יכול להתחבר ישירות או שזה יכול להתחבר דרך מה שנקרא שרת proxy, אשר לוקח בקשה, משנה או בודק את זה, וכן הלאה אל שרת אחר.
אם אתה עובר שרת proxy עבור דוא"ל או גלישה באינטרנט, מאשר אתרי אינטרנט אתה ניגש או הודעות דוא"ל שאתה כותב ניתן לשמור ולצפות בהמשך. אתה יכול לבדוק את שניהם וגם הנה איך. עבור IE, עבור אל כלים, לאחר מכן אפשרויות אינטרנט. הקלק על ה חיבורים הכרטיסייה ובחר הגדרות LAN.
אם התיבה Proxy Server מסומנת ויש לה כתובת IP מקומית עם מספר יציאה, אז זה אומר שאתה עובר שרת מקומי הראשון לפני שהוא מגיע לשרת האינטרנט. משמעות הדבר היא כי כל אתר אינטרנט אתה מבקר הראשון עובר דרך שרת אחר פועל איזה סוג של תוכנה או חוסם את הכתובת או פשוט יומני זה. הפעם היחידה שתהיה בטוח במידה מסוימת היא אם האתר שבו אתה מבקר משתמש ב- SSL (HTTPS בשורת הכתובת), כלומר כל מה שנשלח מהמחשב לשרת המרוחק מוצפן. גם אם החברה שלך היה ללכוד את הנתונים בין לבין, זה יהיה מוצפן. אני אומר קצת בטוח כי אם יש תוכנות ריגול מותקן במחשב שלך, זה יכול ללכוד הקשות ולכן ללכוד כל מה שאתה מקליד לאתרים אלה מאובטח.
עבור הדוא"ל הארגוני שלך, אתה בודק את אותו הדבר, כתובת IP מקומית עבור שרתי הדואר של POP ו- SMTP. כדי לבדוק את Outlook, עבור אל כלים, חשבונות אימייל, ולחץ על שינוי או על מאפיינים, ולמצוא את הערכים עבור שרת POP ו- SMTP. למרבה הצער, בסביבות ארגוניות, שרת הדוא"ל הוא כנראה מקומי ולכן אתה בהחלט להיות במעקב, גם אם זה לא באמצעות proxy.
אתה תמיד צריך להיזהר לכתוב הודעות דוא"ל או גלישה באתרי אינטרנט בזמן במשרד. מנסה לפרוץ את האבטחה גם עלול לגרום לך בצרות אם הם יגלו לך עקף את המערכות שלהם! אנשי IT לא אוהבים את זה, אני יכול להגיד לך מניסיון! עם זאת, אתה רוצה לאבטח את הגלישה באינטרנט ופעילות דוא"ל, הפתרון הטוב ביותר הוא להשתמש ב- VPN כמו גישה לאינטרנט פרטי.
זה דורש התקנת תוכנה במחשב, אשר ייתכן שלא תוכל לעשות מלכתחילה. עם זאת, אם אתה יכול, אתה יכול להיות די בטוח שאף אחד לא מסוגל לראות מה אתה עושה בדפדפן שלך כל עוד הם לא תוכנת ריגול המקומית מותקנת! אין שום דבר שיכול להסתיר את הפעילות שלך מ תוכנות ריגול מותקן מקומית כי זה יכול להקליט הקשות, וכו ', אז לנסות את המיטב כדי לעקוב אחר ההוראות שלי לעיל להשבית את תוכנית הניטור. אם יש לך שאלות או חששות, אל תהסס להגיב. תהנה!
