วิธีตรวจหาคอมพิวเตอร์ & amp; การตรวจสอบอีเมลหรือซอฟต์แวร์สอดแนม


ในฐานะ IT Pro ฉันมักตรวจสอบคอมพิวเตอร์และอีเมลของพนักงาน เป็นสิ่งสำคัญในสภาพแวดล้อมการทำงานเพื่อการบริหารและความปลอดภัย การตรวจสอบอีเมลเช่นช่วยให้คุณสามารถบล็อกสิ่งที่แนบมาซึ่งอาจมีไวรัสหรือสปายแวร์ ครั้งเดียวที่ฉันต้องเชื่อมต่อกับคอมพิวเตอร์ของผู้ใช้และทำงานโดยตรงบนคอมพิวเตอร์ของพวกเขาคือการแก้ไขปัญหา

แต่ถ้าคุณรู้สึกว่าคุณกำลังถูกตรวจสอบเมื่อคุณไม่ควรมีอยู่ เทคนิคเล็ก ๆ น้อย ๆ ที่คุณสามารถใช้เพื่อพิจารณาว่าคุณเหมาะสมหรือไม่ ก่อนอื่นในการตรวจสอบคอมพิวเตอร์ someones หมายความว่าพวกเขาสามารถดูทุกอย่างที่คุณกำลังทำในคอมพิวเตอร์ของคุณในเวลาจริง การปิดกั้นเว็บไซต์ลามกลบไฟล์แนบหรือบล็อกสแปมก่อนที่จะเข้าสู่กล่องจดหมาย ฯลฯ ไม่ได้เป็นการตรวจสอบ แต่อย่างเช่นการกรอง

ปัญหาใหญ่อย่างหนึ่งที่ฉันต้องการเน้นก่อนที่จะดำเนินการคือถ้าคุณเป็น ในสภาพแวดล้อมขององค์กรและคิดว่าคุณกำลังได้รับการตรวจสอบคุณควรสมมติว่าพวกเขาสามารถมองเห็นทุกอย่างที่คุณทำในคอมพิวเตอร์ สมมติว่าคุณจะไม่สามารถค้นหาซอฟต์แวร์ที่บันทึกข้อมูลได้ทุกอย่าง ในสภาพแวดล้อมขององค์กรคอมพิวเตอร์มีการกำหนดค่าและกำหนดค่าให้เหมือนกันซึ่งแทบจะเป็นไปไม่ได้ในการตรวจจับอะไรนอกจากว่าคุณจะเป็นแฮ็กเกอร์ บทความนี้มุ่งเน้นที่ผู้ใช้ตามบ้านที่คิดว่าเพื่อนหรือสมาชิกในครอบครัวกำลังพยายามติดตามพวกเขา

การตรวจสอบเครื่องคอมพิวเตอร์

ตอนนี้ถ้าคุณยังคิดว่ามีใครบางคนคอยสอดแนมคุณ, นี่คือสิ่งที่คุณสามารถทำได้! วิธีที่ง่ายที่สุดและง่ายที่สุดที่จะสามารถเข้าสู่ระบบคอมพิวเตอร์ของคุณคือการใช้เดสก์ท็อประยะไกล สิ่งที่ดีคือ Windows ไม่สนับสนุนการเชื่อมต่อพร้อมกันหลายคนในขณะที่มีการเข้าสู่ระบบคอนโซล (มีสับนี้ แต่ฉันจะไม่กังวลเกี่ยวกับ) หมายความว่าถ้าคุณลงชื่อเข้าใช้คอมพิวเตอร์ XP, 7 หรือ Windows 8 ของคุณและมีบุคคลอื่นเชื่อมต่อโดยใช้คุณลักษณะ BUILT-IN REMOTE DESKTOPของ Windows หน้าจอจะล็อคและ บอกได้เลยว่าใครเชื่อมต่ออยู่บ้าง

แล้วทำไมถึงเป็นประโยชน์? มีประโยชน์เพราะหมายความว่าเพื่อให้ผู้อื่นเชื่อมต่อกับเซสชันของคุณโดยที่คุณไม่สังเกตเห็นหรือถูกนำมาใช้กับหน้าจอพวกเขาใช้ซอฟต์แวร์ของ บริษัท อื่น อย่างไรก็ตามในปี 2014 จะไม่มีใครเห็นได้ชัดและยากที่จะตรวจจับซอฟต์แวร์ชิงทรัพย์ซอฟต์แวร์ของบุคคลที่สามได้

หากเรากำลังมองหาซอฟต์แวร์ของ บริษัท อื่นซึ่งมักเรียกกัน เป็นซอฟต์แวร์การควบคุมระยะไกลหรือซอฟต์แวร์เครือข่ายเสมือน (VNC) เราต้องเริ่มต้นจากขั้นตอนแรก โดยปกติเมื่อมีคนติดตั้งซอฟต์แวร์ประเภทนี้ลงในคอมพิวเตอร์ของคุณพวกเขาต้องทำในขณะที่คุณไม่ได้อยู่ที่นั่นและต้องรีสตาร์ทเครื่องคอมพิวเตอร์ ดังนั้นสิ่งแรกที่อาจทำให้คุณผิดหวังก็คือถ้าคอมพิวเตอร์ของคุณได้รับการรีสตาร์ทใหม่และคุณจำไม่ได้ว่าจะทำอย่างไร

ประการที่สองคุณควรตรวจสอบ Start Menu - All Programsและเพื่อดูว่ามีการติดตั้ง VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC ฯลฯ หรือไม่ หลายครั้งที่ผู้คนเลอะเทอะและคิดว่าผู้ใช้ทั่วไปจะไม่ทราบว่าซอฟต์แวร์ชิ้นใดมีอยู่และจะไม่สนใจ หากมีการติดตั้งโปรแกรมเหล่านี้จากนั้นใครบางคนสามารถเชื่อมต่อกับคอมพิวเตอร์ของคุณโดยที่คุณไม่ทราบว่าตราบเท่าที่โปรแกรมกำลังทำงานในพื้นหลังเป็นบริการของ Windows

นั่นทำให้เราถึงจุดที่สาม โดยปกติแล้วถ้ามีการติดตั้งโปรแกรมใด ๆ ที่กล่าวมาข้างต้นจะมีไอคอนสำหรับแถบงานในแถบงานเนื่องจากต้องทำงานอย่างต่อเนื่องต่อไป

taskbar icons

ตรวจสอบไอคอนทั้งหมดของคุณ (แม้แต่ที่ซ่อนอยู่) และดูว่ามีอะไรกำลังทำงานอยู่ หากคุณพบสิ่งที่คุณไม่เคยได้ยินให้ทำการค้นหาโดย Google อย่างรวดเร็วเพื่อดูว่ามีอะไรเกิดขึ้นบ้าง ง่ายสำหรับการตรวจสอบซอฟต์แวร์เพื่อซ่อนไอคอนแถบงานดังนั้นหากคุณไม่เห็นอะไรผิดปกติที่นั่นไม่ได้หมายความว่าคุณไม่ได้ติดตั้งซอฟต์แวร์ตรวจสอบ

ดังนั้นถ้าไม่มีอะไรแสดงขึ้น ตรวจสอบพอร์ตไฟร์วอลล์

อีกครั้งเนื่องจากเป็นแอปของบุคคลที่สาม พอร์ต พอร์ตเป็นเพียงการเชื่อมต่อข้อมูลเสมือนจริงโดยที่คอมพิวเตอร์แบ่งปันข้อมูลโดยตรง อย่างที่คุณอาจทราบอยู่แล้วว่า Windows มาพร้อมกับไฟร์วอลล์ในตัวซึ่งจะบล็อกพอร์ตที่เข้ามาหลายแห่งเพื่อความปลอดภัย หากคุณไม่ได้ใช้ FTP ไซต์ควรเปิดพอร์ต 23 อย่างไรใช่ไหม

เพื่อให้แอปเหล่านี้สามารถเชื่อมต่อกับคอมพิวเตอร์ของคุณได้ จะต้องเปิดในคอมพิวเตอร์ของคุณ คุณสามารถตรวจสอบพอร์ตที่เปิดทั้งหมดโดยไปที่ เริ่ม, แผงควบคุมและ Windows Firewallจากนั้นคลิก อนุญาตโปรแกรมคุณลักษณะผ่าน Windows Firewallทางด้านซ้ายมือ

allow programs firewall

ที่นี่คุณจะ ดูรายการโปรแกรมที่มีช่องทำเครื่องหมายติดกับรายการเหล่านี้ รายการที่เลือกไว้คือ "เปิด" และไม่ได้เลือกหรือไม่แสดงเป็น "ปิด" ดูรายการและดูว่ามีโปรแกรมที่คุณไม่คุ้นเคยหรือไม่ตรงกับ VNC การควบคุมระยะไกล ฯลฯ หากใช่คุณสามารถบล็อกโปรแกรมได้โดยยกเลิกการทำเครื่องหมายที่ช่อง

ตรวจสอบการเชื่อมต่อขาออก

แต่น่าเสียดายที่เป็นบิตซับซ้อนกว่านี้ ในบางกรณีอาจมีการเชื่อมต่อเข้ามา แต่ในหลายกรณีซอฟต์แวร์ที่ติดตั้งในคอมพิวเตอร์ของคุณจะมีการเชื่อมต่อขาออกกับเซิร์ฟเวอร์เท่านั้น ใน Windows อนุญาตให้มีการเชื่อมต่อที่มีการเชื่อมต่อทั้งหมดซึ่งหมายความว่าไม่มีอะไรถูกบล็อก หากซอฟต์แวร์สอดแนมทั้งหมดเป็นข้อมูลระเบียนและส่งไปที่เซิร์ฟเวอร์ระบบจะใช้การเชื่อมต่อขาออกเท่านั้นจึงจะไม่ปรากฏในรายการไฟร์วอลล์

เพื่อที่จะจับโปรแกรมดังกล่าว เราต้องดูการเชื่อมต่อขาออกจากคอมพิวเตอร์ของเราไปยังเซิร์ฟเวอร์ มีหลายวิธีที่เราสามารถทำได้และฉันจะพูดถึงหนึ่งหรือสองที่นี่ เช่นเดียวกับที่เราได้กล่าวมาก่อนหน้านี้จะมีความซับซ้อนเล็กน้อยเพราะเราต้องจัดการกับซอฟต์แวร์ลัดเลาะจริงๆและคุณจะไม่สามารถหาได้ง่ายๆ

TCPView

ก่อนอื่นให้ดาวน์โหลด โปรแกรมที่เรียกว่า ​​2จาก Microsoft เป็นไฟล์ขนาดเล็กมากและคุณไม่จำเป็นต้องติดตั้งเพียงเปิดเครื่องรูดซิปและดับเบิลคลิกที่ Tcpviewหน้าต่างหลักจะมีลักษณะเช่นนี้และอาจไม่มีเหตุผล

tcpview

โดยทั่วไปแล้วจะแสดงการเชื่อมต่อทั้งหมดจากคอมพิวเตอร์ของคุณไปยังคอมพิวเตอร์เครื่องอื่น ๆ ด้านซ้ายเป็นชื่อกระบวนการซึ่งจะเป็นโปรแกรมที่เรียกใช้งานเช่น Chrome, Dropbox เป็นต้นคอลัมน์อื่น ๆ ที่เราต้องดูคือ ที่อยู่ระยะไกลและ รัฐไปข้างหน้าและจัดเรียงตามคอลัมน์รัฐและดูกระบวนการทั้งหมดที่ระบุไว้ใน ESTABLISHEDปัจจุบันมีการเชื่อมต่อแบบเปิดแล้ว โปรดทราบว่าซอฟต์แวร์สอดแนมอาจไม่ได้เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเสมอดังนั้นควรปล่อยให้โปรแกรมนี้เปิดขึ้นและตรวจสอบกระบวนการใหม่ ๆ ที่อาจปรากฏขึ้นภายใต้สถานะที่กำหนดไว้

สิ่งที่คุณต้องการ ต้องทำคือกรองรายการที่มีกระบวนการที่ชื่อที่คุณไม่รู้จัก Chrome และ Dropbox ดีและไม่มีสาเหตุอะไรสำหรับการปลุก แต่ Openvpn.exe และ Rubyw.exe คืออะไร? ดีในกรณีของฉันฉันใช้ VPN เพื่อเชื่อมต่อกับอินเทอร์เน็ตเพื่อให้กระบวนการเหล่านี้เป็นบริการ VPN ของฉัน อย่างไรก็ตามคุณสามารถใช้บริการเหล่านี้ของ Google ได้อย่างรวดเร็วและคิดอย่างง่ายๆว่าด้วยตัวคุณเอง ซอฟต์แวร์ VPN ไม่ใช่ซอฟต์แวร์สอดแนมดังนั้นไม่ต้องกังวลกับซอฟต์แวร์ เมื่อคุณค้นหากระบวนการคุณจะสามารถบอกได้ทันทีว่าปลอดภัยหรือไม่โดยดูจากผลการค้นหา

สิ่งอื่นที่คุณต้องการตรวจสอบคือคอลัมน์ทางขวาสุดที่เรียกว่า Sent Packets, ส่ง Bytes ฯลฯ เรียงลำดับตาม Bytes ที่ส่งแล้วคุณจะเห็นได้ทันทีว่ากระบวนการใดส่งข้อมูลมากที่สุดจากคอมพิวเตอร์ของคุณ ถ้ามีคนตรวจสอบคอมพิวเตอร์ของคุณพวกเขาจะต้องส่งข้อมูลไปที่ใดดังนั้นถ้ากระบวนการนี้ไม่ได้รับการตรวจสอบอย่างละเอียดคุณควรจะดูที่นี่

sent data

Process Explorer

โปรแกรมอื่นที่คุณสามารถใช้เพื่อค้นหากระบวนการทั้งหมดที่รันบนคอมพิวเตอร์ของคุณคือ Process Explorer จาก Microsoft เมื่อคุณเรียกใช้คุณจะเห็นข้อมูลทั้งหมดเกี่ยวกับกระบวนการเดียวทั้งหมดและแม้แต่กระบวนการย่อยที่ทำงานภายในกระบวนการหลัก

process explorer

Explorer น่ารักมากเพราะเชื่อมต่อกับ VirusTotal และสามารถแจ้งให้คุณทราบได้ทันทีหากกระบวนการได้รับการตรวจพบว่าเป็นมัลแวร์หรือไม่ โดยคลิกที่ ตัวเลือกVirusTotal.comจากนั้นคลิกที่ ตรวจสอบ VirusTotal.comมันจะนำคุณไปยังเว็บไซต์ของพวกเขาเพื่ออ่าน TOS เพียงแค่ปิดที่ออกและคลิก ใช่ในกล่องโต้ตอบในโปรแกรม

check virustotal

เมื่อคุณดำเนินการแล้วคุณจะเห็นคอลัมน์ใหม่ที่แสดงอัตราการตรวจหาการสแกนครั้งสุดท้ายสำหรับกระบวนการจำนวนมาก จะไม่สามารถรับค่าสำหรับกระบวนการทั้งหมด แต่ดีกว่าไม่มีอะไร สำหรับคนที่ไม่มีคะแนนให้ดำเนินการต่อและค้นหากระบวนการเหล่านี้ด้วยตนเองใน Google สำหรับคนที่มีคะแนนคุณต้องการให้สวยมากพูด 0 / XX ถ้าไม่ใช่ 0 ให้ดำเนินการต่อหรือคลิกที่หมายเลขที่จะนำไปยังเว็บไซต์ VirusTotal สำหรับกระบวนการนั้น

virustotal scan

ฉัน นอกจากนี้ยังมีแนวโน้มที่จะเรียงลำดับรายชื่อตามชื่อ บริษัท และกระบวนการใด ๆ ที่ไม่มี บริษัท จดทะเบียนอยู่ฉันจะตรวจสอบ Google อย่างไรก็ตามแม้ในโปรแกรมเหล่านี้คุณอาจยังไม่เห็นกระบวนการทั้งหมด

Rootkits

นอกจากนี้ยังมีโปรแกรมลักลอบในระดับที่เรียกว่า rootkit ซึ่งทั้งสองโปรแกรมข้างต้นจะไม่สามารถมองเห็นได้ ในกรณีนี้หากคุณไม่พบสิ่งที่น่าสงสัยเมื่อตรวจสอบกระบวนการทั้งหมดข้างต้นคุณจะต้องลองใช้เครื่องมือที่มีประสิทธิภาพมากยิ่งขึ้น เครื่องมือที่ดีอีกอย่างหนึ่งจาก Microsoft คือ Rootkit Revealer แต่ก็เก่ามาก

เครื่องมือป้องกัน rootkit อื่น ๆ ที่ดีคือ Malwarebytes Anti-Rootkit Beta ซึ่งผมขอแนะนำอย่างมากตั้งแต่ เครื่องมือป้องกันมัลแวร์ได้รับการจัดอันดับเป็นอันดับ 1 ในปี 2014 อีกหนึ่งครั้งที่ได้รับความนิยมคือ GMER

เครื่องมือเหล่านี้และเรียกใช้ หากพบสิ่งใดให้นำออกหรือลบสิ่งที่พวกเขาแนะนำ นอกจากนี้คุณควรติดตั้งซอฟต์แวร์ป้องกันมัลแวร์และซอฟต์แวร์ป้องกันไวรัส โปรแกรมลักลอบมากมายที่ผู้คนใช้ถือเป็นมัลแวร์ / ไวรัสดังนั้นจึงจะถูกลบออกถ้าคุณเรียกใช้ซอฟต์แวร์ที่เหมาะสม หากมีบางอย่างตรวจพบให้ตรวจสอบกับ Google เพื่อให้คุณสามารถตรวจสอบได้ว่ากำลังตรวจสอบซอฟต์แวร์หรือไม่

อีเมล & amp; การตรวจสอบเว็บไซต์

เพื่อตรวจสอบว่าอีเมลของคุณกำลังได้รับการตรวจสอบมีความซับซ้อนหรือไม่ แต่เราจะยึดติดกับเนื้อหาที่ง่ายสำหรับบทความนี้ เมื่อใดก็ตามที่คุณส่งอีเมลจาก Outlook หรือโปรแกรมรับส่งเมลบางอย่างในคอมพิวเตอร์ของคุณจะต้องเชื่อมต่อกับเซิร์ฟเวอร์อีเมลเสมอ ตอนนี้สามารถเชื่อมต่อโดยตรงหรือสามารถเชื่อมต่อผ่านสิ่งที่เรียกว่าพร็อกซีเซิร์ฟเวอร์ซึ่งจะขอเปลี่ยนหรือตรวจสอบและส่งต่อไปยังเซิร์ฟเวอร์อื่น

ถ้าคุณกำลังจะผ่าน เซิร์ฟเวอร์พร็อกซีสำหรับอีเมลหรือการท่องเว็บมากกว่าที่คุณเข้าถึงเว็บไซต์หรืออีเมลที่คุณเขียนจะสามารถบันทึกและดูได้ในภายหลัง คุณสามารถตรวจสอบได้ทั้งสองวิธีและนี่คือวิธี สำหรับ IE ให้ไปที่ เครื่องมือจากนั้นเลือก ตัวเลือกอินเทอร์เน็ตคลิกที่แท็บ การเชื่อมต่อและเลือก LAN Settings

หาก Proxy Server จะมีการตรวจสอบและมีที่อยู่ IP ภายในที่มีหมายเลขพอร์ตนั่นหมายความว่าคุณจะต้องผ่านเซิร์ฟเวอร์ภายในตัวเครื่องก่อนที่จะถึงเว็บเซิร์ฟเวอร์ ซึ่งหมายความว่าเว็บไซต์ใด ๆ ที่คุณเข้าชมก่อนจะต้องผ่านเซิร์ฟเวอร์อื่นที่ใช้ซอฟต์แวร์บางประเภทซึ่งอาจบล็อคที่อยู่หรือเพียงแค่บันทึกข้อมูลดังกล่าว เวลาเดียวที่คุณจะปลอดภัยคือถ้าไซต์ที่คุณกำลังเข้าชมกำลังใช้ SSL (HTTPS ในแถบที่อยู่) ซึ่งหมายความว่าทุกอย่างที่ส่งจากคอมพิวเตอร์ไปยังเซิร์ฟเวอร์ระยะไกลจะถูกเข้ารหัส แม้ว่า บริษัท ของคุณจะสามารถจับภาพข้อมูลระหว่างกันได้ แต่ก็จะได้รับการเข้ารหัส ฉันพูดปลอดภัยเพราะถ้ามีซอฟต์แวร์สอดแนมติดตั้งอยู่ในคอมพิวเตอร์ของคุณก็สามารถจับภาพการกดแป้นพิมพ์และจับสิ่งที่คุณพิมพ์ลงในไซต์ที่ปลอดภัยได้

สำหรับอีเมลขององค์กรคุณกำลังตรวจสอบสิ่งเดียวกัน , ที่อยู่ IP แบบโลคัลสำหรับเซิร์ฟเวอร์จดหมาย POP และ SMTP ในการตรวจสอบใน Outlook ให้ไปที่ เครื่องมือบัญชีอีเมลและคลิกเปลี่ยนหรือคุณสมบัติและค้นหาค่าสำหรับเซิร์ฟเวอร์ POP และ SMTP แต่น่าเสียดายที่ในสภาพแวดล้อมขององค์กรเซิร์ฟเวอร์อีเมลอาจเป็นแบบท้องถิ่นดังนั้นคุณจึงควรได้รับการตรวจสอบเป็นอย่างดีแม้ว่าจะไม่ใช่ผ่านพร็อกซีก็ตาม

คุณควรระมัดระวังในการเขียนอีเมลหรือเรียกดูเว็บไซต์ในขณะที่ออฟฟิศ การพยายามเจาะระบบรักษาความปลอดภัยอาจทำให้คุณประสบปัญหาหากพบว่าระบบสามารถข้ามระบบได้! คนไอทีไม่ชอบที่ฉันสามารถบอกคุณจากประสบการณ์! อย่างไรก็ตามคุณต้องการความปลอดภัยในการเรียกดูเว็บและกิจกรรมทางอีเมลของคุณทางออกที่ดีที่สุดคือการใช้ VPN เช่น Internet Access ส่วนตัว

การดำเนินการนี้จะต้องติดตั้งซอฟต์แวร์ในคอมพิวเตอร์ซึ่งคุณอาจไม่สามารถดำเนินการได้ สถานที่แรก อย่างไรก็ตามหากคุณสามารถทำได้คุณสามารถมั่นใจได้เลยว่าจะไม่มีใครสามารถดูสิ่งที่คุณกำลังทำในเบราว์เซอร์ได้ตราบเท่าที่ไม่มีซอฟต์แวร์สอดแนมท้องถิ่นอยู่! ไม่มีอะไรที่สามารถซ่อนกิจกรรมของคุณจากซอฟต์แวร์สอดแนมที่ติดตั้งในระบบเพราะสามารถบันทึกการกดแป้นพิมพ์ ฯลฯ ได้ดังนั้นลองทำตามคำแนะนำข้างต้นและปิดใช้งานโปรแกรมตรวจสอบ หากคุณมีคำถามหรือข้อสงสัยใด ๆ โปรดอย่าลังเลที่จะแสดงความคิดเห็น สนุก!

ถอนการติดตั้ง แอป

กระทู้ที่เกี่ยวข้อง:


18.08.2014