Slik oppdager datamaskinen og e-post overvåking eller spionprogramvare
Som IT Pro overvåker jeg rutinemessige datamaskiner og e-post. Det er viktig i et arbeidsmiljø for administrative formål og for sikkerhet. Overvåking av e-post, for eksempel, lar deg blokkere vedlegg som kan inneholde virus eller spionprogrammer. Den eneste gangen jeg må koble til en brukerdatamaskin og jobbe direkte på datamaskinen, er å løse et problem.
Men hvis du føler at du blir overvåket når du ikke skal være, er det noen få triks du kan bruke for å finne ut om du har rett. For det første, for å overvåke noen computers betyr det at de kan se alt du gjør på datamaskinen din i sanntid. Blokkering av pornofilter, fjerning av vedlegg eller blokkering av spam før det kommer til innboksen din, osv. Overvåker ikke, men mer som å filtrere.
Det eneste store problemet jeg vil understreke før du går videre er at hvis du er i et bedriftsmiljø og tror du blir overvåket, bør du anta at de kan se alt du gjør på datamaskinen. Anta også at du ikke kan faktisk finne programvaren som registrerer alt. I bedriftens miljøer er datamaskinene så tilpasset og omkonfigurert at det er nesten umulig å oppdage noe, med mindre du er en hacker. Denne artikkelen er mer rettet mot hjemmebrukere som mener at en venn eller et familiemedlem prøver å overvåke dem.
Datamaskinovervåking
Så nå, hvis du fortsatt tror noen spionerer på deg, så er det du kan gjøre! Den enkleste og enkleste måten noen kan logge på datamaskinen, er å bruke eksternt skrivebord. Det gode er at Windows ikke støtter flere samtidige tilkoblinger mens noen er logget inn i konsollen (det er en hack for dette, men jeg ville ikke bekymre meg om). Hva dette betyr er at hvis du er logget på din XP, 7 eller Windows 8-datamaskin og noen skulle koble til den ved hjelp av BUILT-IN REMOTE DESKTOP funksjon av Windows, vil skjermen bli låst og det vil fortelle deg hvem som er tilkoblet.
Så hvorfor er det nyttig? Det er nyttig fordi det betyr at for at noen skal koble til din økt uten at du merker eller skjermen blir tatt over, har de bruk fra tredjeparts programvare. Imidlertid vil i 2014 ikke være så åpenbart, og det er mye vanskeligere å oppdage tredjeparts software-programvare.
Hvis vi leter etter tredjeparts programvare, som vanligvis kalles fjernkontroll programvare eller virtuell nettverks databehandling (VNC) programvare, må vi starte fra bunnen av. Vanligvis, når noen installerer denne typen programvare på datamaskinen din, må de gjøre det mens de ikke er der, og de må starte datamaskinen på nytt. Så det første som kan tyde deg av er om datamaskinen din har blitt startet på nytt, og du husker ikke å gjøre det.
For det andre bør du sjekke inn din Start-menyen - Alle programmer og for å se om noe som VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc er installert. Mange ganger er folk slurvete og skjønner at en vanlig bruker ikke vet hva et stykke programvare er og vil bare ignorere det. Hvis noen av disse programmene er installert, kan noen koble til datamaskinen din uten at du vet det så lenge programmet kjører i bakgrunnen som en Windows-tjeneste.
Det bringer oss til det tredje punktet. Vanligvis, hvis et av de ovennevnte programmene er installert, vil det være et ikon for det i oppgavelinjen fordi det må løpende løpe på jobb.
Sjekk alle ikonene dine (selv de skjulte) og se hva som kjører. Hvis du finner noe du ikke har hørt om, gjør et raskt Google-søk for å se hva som kommer opp. Det er ganske enkelt å overvåke programvare for å skjule oppgavelinjeikonet, så hvis du ikke ser noe uvanlig der, betyr det ikke at du ikke har overvåkingsprogramvare installert.
Så hvis ingenting vises på de åpenbare stedene, la oss gå videre til de mer kompliserte ting.
Sjekk brannmurportene
Igjen, fordi disse er tredjepartsapps, må de koble til Windows på forskjellige kommunikasjonsporter. Porter er ganske enkelt en virtuell datatilkobling hvor datamaskiner deler informasjon direkte. Som du kanskje allerede vet, kommer Windows med en innebygd brannmur som blokkerer mange av de innkommende porter av sikkerhetshensyn. Hvis du ikke kjører et FTP-nettsted, hvorfor bør porten din 23 være åpen, høyre?
Så for at disse tredjepartsappene skal koble til datamaskinen din, må de komme gjennom en port, som må være åpen på datamaskinen din. Du kan sjekke alle åpne porter ved å gå til Start, Kontrollpanel, og Windows brannmur. Klikk deretter på Tillat et program av funksjon gjennom Windows-brannmur på venstre side.
Her ser du en liste over programmer med avmerkingsbokser ved siden av dem. De som er merket er "åpne" og de ukontrollerte eller unoterte er "stengt". Gå gjennom listen og se om det er et program du ikke er kjent med eller som samsvarer med VNC, fjernkontroll, etc. Hvis det er tilfelle, kan du blokkere programmet ved å fjerne markeringen av boksen for det!
Sjekk utgående tilkoblinger
Dessverre er det litt mer komplisert enn dette. I noen tilfeller kan det være en innkommende tilkobling, men i mange tilfeller vil programvaren som er installert på datamaskinen kun ha en utgående forbindelse til en server. I Windows er alle utgående tilkoblinger tillatt, noe som betyr at ingenting er blokkert. Hvis alt spionprogramvaren gjør det, er rekorddata og sender det til en server, bruker den bare en utgående tilkobling og vil derfor ikke vises i den brannmurlisten.
For å få et program slik, må vi se utgående tilkoblinger fra vår datamaskin til servere. Det er mange måter vi kan gjøre dette på, og jeg skal snakke om en eller to her. Som jeg sa tidligere, blir det litt komplisert nå fordi vi har å gjøre med veldig smidig programvare, og du kommer ikke til å finne den lett.
TCPView
For det første, last ned et program kalt TCPView fra Microsoft. Det er en veldig liten fil, og du trenger ikke engang å installere den, bare pakke den ut og dobbeltklikk på Tcpview. Hovedvinduet ser slik ut og sannsynligvis gir ingen mening.
I utgangspunktet viser det deg alle tilkoblingene fra datamaskinen til andre datamaskiner. På venstre side er prosessnavnet, som vil være programmene som kjører, dvs. Chrome, Dropbox, etc. De eneste andre kolonnene vi må se på er Fjernadresse og Stat. Gå videre og sorter etter Statens kolonne og se på alle dem prosesser som er oppført under eTABLERT. Etablert betyr at det for tiden er en åpen forbindelse. Merk at spionprogramvaren kanskje ikke alltid er koblet til den eksterne serveren, så det er en god ide å la dette programmet være åpent og overvåke for eventuelle nye prosesser som kan oppstå under etablerte tilstander.
Det du vil gjøre er å filtrere ut den listen til prosesser hvis navn du ikke gjenkjenner. Chrome og Dropbox er fine og ingen årsak til alarm, men hva er openvpn.exe og rubyw.exe? Vel, i mitt tilfelle bruker jeg en VPN til å koble til Internett, slik at prosessen er for min VPN-tjeneste. Du kan imidlertid bare Google disse tjenestene og raskt finne ut det selv. VPN-programvare spionerer ikke programvare, så ingen bekymringer der. Når du søker etter en prosess, vil du umiddelbart kunne fortelle om det er trygt ved bare å se på søkeresultatene.
En annen ting du vil sjekke, er de høyest høyre kolonnene som heter Sent Packets, Sent Bytes, etc. Sorter etter Sendte Byte, og du kan øyeblikkelig se hvilken prosess som sender mest mulig data fra datamaskinen. Hvis noen overvåker datamaskinen din, må de sende dataene som helst, så med mindre prosessen er skjult ekstremt bra, bør du se det her.
Prosess Explorer
Et annet program du kan bruke til å finne alle prosessene som kjører på datamaskinen, er Process Explorer fra Microsoft. Når du kjører det, vil du se mye informasjon om hver enkelt prosess og til og med barnprosesser som kjører i foreldreprosesser.
Process Explorer er ganske kjempebra fordi den kobles opp med VirusTotal og kan fortælle deg om en prosess har blitt oppdaget som skadelig programvare eller ikke. For å gjøre det, klikk på alternativer, VirusTotal.com og klikk deretter på Sjekk VirusTotal.com. Det bringer deg til deres hjemmeside for å lese TOS, bare lukk det ut og klikk Ja på dialogboksen i programmet.
Når du har gjort det, vil du se en ny kolonne som viser den siste skannedeteksjonstakten for mange prosesser. Det vil ikke kunne få verdien for alle prosesser, men det er bedre enn ingenting. For de som ikke har noen poengsum, gå videre og søk manuelt etter disse prosessene i Google. For de med score, vil du ha det til å si stort sett 0 / XX. Hvis det ikke er 0, gå videre og Google prosessen eller klikk på tallene som skal tas til VirusTotals nettsted for den prosessen.
Jeg har også en tendens til å sortere listen etter Firmanavn og en prosess som ikke har et selskap, jeg Google sjekker. Men selv med disse programmene kan du fortsatt ikke se alle prosessene.
rootkits
Det er også en klassesøktprogrammer kalt rootkits, som de to programmene ovenfor ikke engang vil kunne se. I dette tilfellet, hvis du ikke fant noe mistenkelig når du kontrollerer alle prosessene ovenfor, må du prøve enda mer robuste verktøy. Et annet godt verktøy fra Microsoft er Rootkit Revealer, men det er veldig gammelt.
Andre gode anti-rootkit-verktøy er Malwarebytes Anti-Rootkit Beta, som jeg vil anbefale siden deres anti-malware-verktøy ble rangert som nummer 1 i 2014. En annen populær er GMER.
Jeg foreslår at du installerer disse verktøyene og kjører dem. Hvis de finner noe, fjern eller fjern hva de foreslår. I tillegg bør du installere anti-malware og anti-virus programvare. Mange av disse skjulprogrammene som folk bruker, betraktes som skadelig programvare / virus, så de vil bli fjernet hvis du kjører riktig programvare. Hvis noe blir oppdaget, sørg for at det er Google, slik at du kan finne ut om det var å overvåke programvare eller ikke.
Overvåking av e-post og nettsted
For å sjekke om e-posten din blir overvåket, er det også komplisert, men vi holder fast med de enkle tingene for denne artikkelen. Når du sender en e-post fra Outlook eller noen e-postklient på datamaskinen din, må den alltid koble til en e-postserver. Nå kan det enten koble direkte eller det kan koble til via det som kalles en proxy-server, som tar en forespørsel, endrer eller sjekker den, og videresender den videre til en annen server.
Hvis du går gjennom en proxy-server for e-post eller nettlesing, kan de webområdene du får tilgang til eller e-postene du skriver, bli lagret og sett senere. Du kan sjekke for begge og her er hvordan. For IE, gå til Verktøy, deretter Internett instillinger. Klikk på tilkoblinger kategorien og velg LAN-innstillinger.
Hvis proxy-server-boksen er merket og den har en lokal IP-adresse med et portnummer, betyr det at du går gjennom en lokal server først før den når webserveren. Dette betyr at et nettsted du besøker først går gjennom en annen server som kjører en slags programvare som enten blokkerer adressen eller bare logger den. Den eneste gangen du ville være litt trygg, er om nettstedet du besøker bruker SSL (HTTPS i adressefeltet), som betyr at alt som sendes fra datamaskinen til den eksterne serveren er kryptert. Selv om firmaet ditt skulle fange dataene i mellom, ville det bli kryptert. Jeg sier noe trygt fordi hvis det er spionprogramvare installert på datamaskinen din, kan det fange tastetrykk og derfor fange hva du skriver inn i de sikre nettstedene.
For bedriftens e-post ser du etter det samme, en lokal IP-adresse for POP- og SMTP-postserverne. For å sjekke inn Outlook, gå til Verktøy, E-postkontoer, og klikk Endre eller Egenskaper, og finn verdiene for POP og SMTP-serveren. Dessverre, i bedriftsmiljøer, er e-postserveren sannsynligvis lokal og derfor blir du mest overvåket, selv om den ikke er gjennom en proxy.
Du bør alltid være forsiktig med å skrive e-post eller surfe på nettsider mens du er på kontoret. Å forsøke å bryte gjennom sikkerheten kan også få deg i trøbbel hvis de finner ut at du har gått forbi deres systemer! IT-folk liker ikke det, jeg kan fortelle deg fra erfaring! Men du ønsker å sikre nettlesing og e-postaktivitet, din beste innsats er å bruke VPN som Private Internet Access.
Dette krever at du installerer programvare på datamaskinen, som du kanskje ikke kan gjøre i utgangspunktet. Men hvis du kan, kan du være ganske sikker på at ingen kan se hva du gjør i nettleseren din så lenge det ikke er installert noen lokal spionprogramvare! Det er ingenting som kan skjule aktivitetene dine fra lokalt installert spionprogramvare fordi det kan ta opp tastetrykk osv. Så prøv ditt beste for å følge instruksjonene ovenfor og deaktiver overvåkingsprogrammet. Hvis du har spørsmål eller bekymringer, vær så snill å kommentere. Nyt!