Bagaimana Mengesan Perisian Pemantauan Komputer & E-mel atau Perisian Pengintipan
Sebagai IT Pro, saya sentiasa memantau pekerja komputer dan e-mel. Ia penting dalam persekitaran kerja untuk tujuan pentadbiran dan keselamatan. Pemantauan e-mel, sebagai contoh, membolehkan anda menyekat lampiran yang boleh mengandungi virus atau spyware. Satu-satunya masa saya perlu menyambung ke komputer pengguna dan melakukan kerja secara langsung di komputer mereka adalah untuk menyelesaikan masalah.
Walau bagaimanapun, jika anda merasakan bahawa anda sedang dipantau apabila anda tidak seharusnya, terdapat beberapa helah kecil yang boleh anda gunakan untuk menentukan sama ada anda betul. Mula-mula, untuk memantau sesetengah komputer bermakna bahawa mereka boleh menonton semua yang anda lakukan pada komputer anda dalam masa nyata. Menyekat laman lucah, mengeluarkan lampiran atau menyekat spam sebelum masuk ke peti masuk anda, dan lain-lain tidak benar-benar mengawasi, tetapi lebih seperti penyaringan.
Satu masalah BESAR yang saya ingin penekanan sebelum bergerak adalah bahawa jika anda berada dalam persekitaran korporat dan menganggap anda sedang dipantau, anda harus menganggap mereka dapat melihat SEMUA perkara yang anda lakukan di komputer. Juga, anggap bahawa anda tidak akan dapat benar-benar mencari perisian yang sedang merekodkan segala-galanya. Dalam persekitaran korporat, komputer begitu disesuaikan dan dikonfigurasi semula bahawa hampir mustahil untuk mengesan apa-apa kecuali anda penggodam. Artikel ini lebih ditujukan kepada pengguna rumah yang menganggap seorang kawan atau ahli keluarga sedang berusaha memantau mereka.
Pemantauan Komputer
Jadi sekarang, jika anda masih fikir seseorang sedang mengintip anda, inilah yang boleh anda lakukan! Cara paling mudah dan mudah seseorang boleh log masuk ke komputer anda dengan menggunakan desktop jauh. Perkara yang baik ialah Windows tidak menyokong banyak sambungan serentak semasa seseorang log masuk ke konsol (terdapat hack untuk ini, tetapi saya tidak akan bimbang). Apakah ini bermakna bahawa jika anda log masuk ke komputer XP, 7 atau Windows 8 anda dan seseorang akan menyambung menggunakannya BUILT-IN REMOTE DESKTOP ciri Windows, skrin anda akan terkunci dan ia akan memberitahu anda yang bersambung.
Jadi mengapa itu berguna? Ini berguna kerana ia bermakna agar seseorang dapat menyambung ke sesi ANDA tanpa anda perasan atau skrin anda diambil alih, mereka menggunakan perisian pihak ketiga. Walau bagaimanapun, pada tahun 2014, tiada siapa yang akan menjadi yang jelas dan ia jauh lebih sukar untuk mengesan perisian perisian perisian pihak ketiga.
Jika kami mencari perisian pihak ketiga, yang biasanya dirujuk sebagai perisian kawalan jarak jauh atau perisian pengkomputeran rangkaian maya (VNC), kita harus bermula dari awal. Biasanya, apabila seseorang memasang jenis perisian ini pada komputer anda, mereka perlu melakukannya semasa anda tidak berada di sana dan mereka perlu memulakan semula komputer anda. Oleh itu, perkara pertama yang boleh membantah anda ialah jika komputer anda telah dimulakan semula dan anda tidak ingat melakukannya.
Kedua, anda harus mendaftar masuk Mula Menu - Semua Program dan untuk melihat sama ada atau tidak seperti VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, dan sebagainya dipasang. Banyak kali orang ceroboh dan angka yang pengguna biasa tidak akan tahu apa sekeping perisian dan hanya akan mengabaikannya. Jika mana-mana program tersebut dipasang, maka seseorang boleh menyambung ke komputer anda tanpa anda mengetahui selagi program berjalan di latar belakang sebagai perkhidmatan Windows.
Itu membawa kita ke titik ketiga. Biasanya, jika salah satu daripada program yang disenaraikan di atas dipasang, akan ada ikon untuknya di bar tugas kerana perlu sentiasa berjalan ke tempat kerja.
Semak semua ikon anda (walaupun yang tersembunyi) dan lihat apa yang sedang berjalan. Jika anda mendapati sesuatu yang anda tidak pernah dengar, lakukan carian Google yang cepat untuk melihat apa yang muncul. Ia cukup mudah untuk memantau perisian untuk menyembunyikan ikon bar tugas, jadi jika anda tidak melihat sesuatu yang tidak biasa di sana, itu tidak bermakna anda tidak mempunyai perisian pemantauan yang dipasang.
Jadi jika tiada apa yang muncul di tempat yang jelas, mari kita beralih kepada perkara yang lebih rumit.
Periksa Port Firewall
Sekali lagi, kerana ini adalah aplikasi pihak ketiga, mereka perlu menyambung ke Windows pada port komunikasi yang berbeza. Pelabuhan hanya merupakan sambungan data maya yang mana komputer berkongsi maklumat secara langsung. Seperti yang anda sudah tahu, Windows datang dengan firewall terbina dalam yang menghalang banyak pelabuhan masuk untuk tujuan keselamatan. Jika anda tidak menjalankan tapak FTP, kenapa port 23 anda terbuka, betul?
Jadi, agar aplikasi pihak ketiga ini disambungkan ke komputer anda, mereka mesti datang melalui port, yang mesti dibuka pada komputer anda. Anda boleh menyemak semua pelabuhan terbuka dengan pergi Mulakan, Panel kawalan, dan Windows Firewall. Kemudian klik Benarkan program ciri melalui Windows Firewall di sebelah kiri.
Di sini anda akan melihat senarai program dengan kotak centang di sebelahnya. Orang-orang yang diperiksa adalah "terbuka" dan yang tidak dicentang atau tidak tersenarai adalah "ditutup". Masuk melalui senarai dan lihat jika ada program yang anda tidak kenal atau yang sepadan dengan VNC, kawalan jauh, dan sebagainya. Jika ya, anda boleh menyekat program dengan tidak menyemak kotak untuk itu!
Semak Sambungan Outbound
Malangnya, ia agak rumit daripada ini. Dalam sesetengah keadaan, mungkin terdapat sambungan masuk, tetapi dalam banyak kes, perisian yang dipasang pada komputer anda hanya akan mempunyai sambungan keluar ke pelayan. Di Windows, semua sambungan outbound dibenarkan, yang bermaksud tidak ada yang disekat. Sekiranya semua perisian mengintip dilakukan adalah merakam data dan menghantarnya ke pelayan, maka ia hanya menggunakan sambungan keluar dan oleh itu tidak muncul dalam senarai firewall.
Untuk menangkap program seperti itu, kita perlu melihat sambungan keluar dari komputer kami ke pelayan. Terdapat pelbagai cara yang boleh kita lakukan dan saya akan bercakap mengenai satu atau dua di sini. Seperti yang saya katakan sebelum ini, ia mendapat sedikit rumit sekarang kerana kita berurusan dengan perisian yang benar-benar senyap dan anda tidak akan dapat dengan mudah.
TCPView
Pertama, muat turun sebuah program yang dipanggil TCPView dari Microsoft. Ia adalah fail yang sangat kecil dan anda tidak perlu memasangnya, hanya unzipnya dan klik dua kali Tcpview. Tingkap utama akan kelihatan seperti ini dan mungkin tidak masuk akal.
Pada dasarnya, ia menunjukkan kepada anda semua sambungan dari komputer anda ke komputer lain. Di sebelah kiri ialah nama proses, yang akan menjadi program yang dijalankan, iaitu Chrome, Dropbox, dan lain-lain. Satu-satunya lajur yang perlu kita lihat ialah Alamat Jauh dan Negeri. Teruskan dan semak mengikut lajur Negeri dan lihat semua proses yang disenaraikan di bawah ESTABLISHED. Ditubuhkan bermakna terdapat sambungan terbuka pada masa ini. Perhatikan bahawa perisian pengintipan mungkin tidak selalu disambungkan ke pelayan jauh, jadi adalah idea yang baik untuk meninggalkan program ini terbuka dan memantau sebarang proses baru yang mungkin muncul di bawah keadaan yang ditubuhkan.
Apa yang anda mahu lakukan ialah menapis senarai itu ke proses yang namanya anda tidak dikenali. Chrome dan Dropbox adalah baik dan tidak ada sebab untuk penggera, tetapi apa yang openvpn.exe dan rubyw.exe? Nah, dalam kes saya, saya menggunakan VPN untuk menyambung ke Internet supaya proses tersebut adalah untuk perkhidmatan VPN saya. Walau bagaimanapun, anda hanya boleh menggunakan perkhidmatan-perkhidmatan Google dan dengan cepat memikirkannya sendiri. Perisian VPN tidak mengintip perisian, jadi jangan risau di sana. Apabila anda mencari sesuatu proses, anda akan dapat memberitahu sama ada ia selamat atau hanya melihat hasil carian.
Perkara lain yang anda mahu semak adalah lajur kanan yang dipanggil Sent Packets, Sent Bytes, dan lain-lain. Susun mengikut Bytes yang dihantar dan anda boleh melihat proses mana yang paling banyak menghantar data dari komputer anda. Jika seseorang sedang mengawasi komputer anda, mereka perlu menghantar data ke mana-mana, jadi jika proses itu tersembunyi dengan sangat baik, anda sepatutnya melihatnya di sini.
Proses Explorer
Satu lagi program yang anda boleh gunakan untuk mencari semua proses yang berjalan pada komputer anda ialah Process Explorer dari Microsoft. Apabila anda menjalankannya, anda akan melihat banyak maklumat mengenai setiap proses tunggal dan juga proses anak yang berjalan di dalam proses induk.
Proses Explorer cukup hebat kerana ia menghubungkan dengan VirusTotal dan boleh memberitahu anda seketika jika proses telah dikesan sebagai perisian hasad atau tidak. Untuk melakukan itu, klik pada Pilihan, VirusTotal.com dan kemudian klik Semak VirusTotal.com. Ia akan membawa anda ke laman web mereka untuk membaca TOS, hanya tutup dan klik Ya pada dialog dalam program.
Sebaik sahaja anda berbuat demikian, anda akan melihat lajur baru yang menunjukkan kadar pengesanan imbasan terakhir untuk banyak proses. Ia tidak akan dapat memperoleh nilai untuk semua proses, tetapi ia lebih baik daripada apa-apa. Bagi mereka yang tidak mempunyai skor, teruskan dan cari secara manual proses tersebut di Google. Bagi orang yang mempunyai skor, anda mahu ia dikatakan 0 / XX. Sekiranya tidak 0, teruskan dan proses Google atau klik pada nombor yang akan dibawa ke laman web VirusTotal untuk proses itu.
Saya juga cenderung menyusun senarai oleh Nama Syarikat dan sebarang proses yang tidak mempunyai syarikat yang disenaraikan, saya Google untuk memeriksa. Walau bagaimanapun, walaupun dengan program ini, anda masih tidak dapat melihat semua proses.
Rootkit
Terdapat juga program stealth kelas yang dipanggil rootkit, yang kedua-dua program di atas tidak akan dapat melihat. Dalam kes ini, jika anda mendapati apa-apa yang mencurigakan semasa menyemak semua proses di atas, anda perlu mencuba lebih banyak alat yang lebih teguh. Satu lagi alat yang baik dari Microsoft ialah Rootkit Revealer, namun ia sangat lama.
Alat anti-rootkit yang lain adalah Malwarebytes Anti-Rootkit Beta, yang saya akan sangat menyarankan kerana alat anti-malware mereka berada di kedudukan # 1 pada 2014. Satu lagi yang popular adalah GMER.
Saya cadangkan anda memasang alatan ini dan jalankannya. Jika mereka menemui apa-apa, alih keluar atau padamkan apa sahaja yang mereka cadangkan. Di samping itu, anda harus memasang perisian anti-malware dan anti-virus. Banyak program senyap yang digunakan oleh orang yang dianggap malware / virus, jadi ia akan dikeluarkan jika anda menjalankan perisian yang sesuai. Jika ada sesuatu yang dapat dikesan, pastikan kepada Google supaya anda dapat mengetahui sama ada ia mengawasi perisian atau tidak.
E-mel & Pemantauan Laman Web
Untuk memeriksa sama ada e-mel anda sedang dipantau juga rumit, tetapi kami akan tetap dengan bahan mudah untuk artikel ini. Setiap kali anda menghantar e-mel dari Outlook atau beberapa pelanggan e-mel pada komputer anda, ia mesti menyambung ke pelayan e-mel. Sekarang ia boleh sama ada bersambung secara langsung atau ia boleh menyambung melalui apa yang disebut pelayan proksi, yang memerlukan permintaan, mengubah atau memeriksa, dan membawanya ke server lain.
Jika anda melalui pelayan proksi untuk melayari e-mel atau penjelajahan web, daripada laman web yang anda akses atau e-mel yang anda tulis boleh disimpan dan dilihat kemudian. Anda boleh menyemak kedua-duanya dan bagaimana caranya. Untuk IE, pergi ke Alat, kemudian pilihan internet. Klik pada Sambungan tab dan pilih Tetapan LAN.
Jika kotak Pelayan Proksi diperiksa dan ia mempunyai alamat IP tempatan dengan nombor port, itu bermakna anda akan melayari pelayan setempat terlebih dahulu sebelum sampai ke pelayan web. Ini bermakna bahawa mana-mana laman web yang anda lawati dahulu melalui pelayan lain yang menjalankan beberapa jenis perisian yang sama-sama menghalang alamat atau hanya log masuk. Satu-satunya masa anda akan selamat ialah jika laman web yang anda lawati menggunakan SSL (HTTPS dalam bar alamat), yang bermaksud semua yang dihantar dari komputer anda ke pelayan jauh disulitkan. Walaupun syarikat anda untuk menangkap data di antara, ia akan disulitkan. Saya katakan agak selamat kerana jika terdapat perisian mengintip yang dipasang pada komputer anda, ia boleh menangkap ketukan kekunci dan oleh itu menangkap apa sahaja yang anda taip ke laman-laman yang selamat.
Untuk e-mel korporat anda, anda menyemak perkara yang sama, alamat IP setempat untuk pelayan mel POP dan SMTP. Untuk menyemak Outlook, pergi ke Alat, Akaun E-mel, dan klik Tukar atau Properties, dan cari nilai untuk pelayan POP dan SMTP. Malangnya, dalam persekitaran korporat, pelayan e-mel mungkin tempatan dan oleh itu anda pasti dipantau, walaupun ia tidak melalui proksi.
Anda harus sentiasa berhati-hati menulis e-mel atau menyemak imbas laman web semasa di pejabat. Cuba untuk memecahkan keselamatan juga mungkin akan menimbulkan masalah jika mereka mengetahui bahawa anda telah melangkaui sistem mereka! Orang IT tidak suka itu, saya boleh memberitahu anda dari pengalaman! Walau bagaimanapun, anda ingin menjamin aktiviti penyemak imbas web dan e-mel anda, pertaruhan terbaik anda ialah menggunakan VPN seperti Akses Internet Persendirian.
Ini memerlukan pemasangan perisian pada komputer, yang mungkin tidak dapat dilakukan di tempat pertama. Bagaimanapun, jika anda boleh, anda pasti yakin tidak ada sesiapa yang dapat melihat apa yang anda lakukan dalam penyemak imbas anda selagi mereka tidak dipasang perisian pengintipan tempatan! Tidak ada yang dapat menyembunyikan aktiviti anda dari perisian pengintipan dipasang secara tempatan kerana ia boleh merakam ketukan kekunci, dll, jadi cuba yang terbaik untuk mengikuti arahan saya di atas dan matikan program pemantauan. Jika anda mempunyai sebarang pertanyaan atau kebimbangan, jangan ragu untuk memberi komen. Nikmati!