วิธีการตรวจจับการตรวจสอบคอมพิวเตอร์และอีเมลหรือซอฟต์แวร์สอดแนม
ในฐานะผู้เชี่ยวชาญด้านไอทีฉันจะตรวจสอบคอมพิวเตอร์และอีเมลของพนักงานเป็นประจำ มันจำเป็นในสภาพแวดล้อมการทำงานเพื่อการบริหารเช่นเดียวกับการรักษาความปลอดภัย ตัวอย่างเช่นการตรวจสอบอีเมลช่วยให้คุณสามารถบล็อกสิ่งที่แนบที่อาจมีไวรัสหรือสปายแวร์ ครั้งเดียวที่ฉันต้องเชื่อมต่อกับคอมพิวเตอร์ของผู้ใช้และทำงานโดยตรงบนคอมพิวเตอร์ของพวกเขาคือการแก้ไขปัญหา.
อย่างไรก็ตามหากคุณรู้สึกว่าคุณกำลังถูกจับตามองเมื่อคุณไม่ควรจะมีเทคนิคเล็กน้อยที่คุณสามารถใช้เพื่อพิจารณาว่าคุณพูดถูกหรือไม่ ก่อนอื่นการตรวจสอบคอมพิวเตอร์ someones หมายความว่าพวกเขาสามารถดูทุกสิ่งที่คุณทำบนคอมพิวเตอร์ของคุณแบบเรียลไทม์ การปิดกั้นเว็บไซต์ลามกลบสิ่งที่แนบมาหรือปิดกั้นสแปมก่อนที่จะเข้าสู่กล่องจดหมายของคุณและอื่น ๆ ไม่ได้ตรวจสอบ แต่จริงๆเช่นการกรอง.
ปัญหาใหญ่อย่างหนึ่งที่ฉันต้องการเน้นก่อนที่จะดำเนินการต่อคือถ้าคุณอยู่ในสภาพแวดล้อมขององค์กรและคิดว่าคุณกำลังถูกจับตามองคุณควรถือว่าพวกเขาสามารถเห็นทุกสิ่งที่คุณทำบนคอมพิวเตอร์ นอกจากนี้สมมติว่าคุณจะไม่สามารถค้นหาซอฟต์แวร์ที่บันทึกทุกอย่างได้ ในสภาพแวดล้อมขององค์กรคอมพิวเตอร์ถูกปรับแต่งและกำหนดค่าใหม่ว่าแทบจะเป็นไปไม่ได้เลยที่จะตรวจจับสิ่งใด ๆ เว้นแต่คุณจะเป็นแฮ็กเกอร์ บทความนี้เหมาะสำหรับผู้ใช้ตามบ้านที่คิดว่าเพื่อนหรือสมาชิกในครอบครัวกำลังพยายามตรวจสอบพวกเขา.
การตรวจสอบคอมพิวเตอร์
ดังนั้นตอนนี้ถ้าคุณยังคิดว่ามีคนแอบมองคุณอยู่นี่คือสิ่งที่คุณสามารถทำได้! วิธีที่ง่ายที่สุดและง่ายที่สุดที่ใครบางคนสามารถเข้าสู่คอมพิวเตอร์ของคุณคือการใช้เดสก์ท็อประยะไกล สิ่งที่ดีคือ Windows ไม่รองรับการเชื่อมต่อพร้อมกันหลายครั้งในขณะที่บางคนล็อกอินเข้าสู่คอนโซล (มีแฮ็คสำหรับสิ่งนี้ แต่ฉันไม่ต้องกังวล) สิ่งนี้หมายความว่าหากคุณลงชื่อเข้าใช้คอมพิวเตอร์ XP, 7 หรือ Windows 8 และมีผู้อื่นเชื่อมต่อกับคอมพิวเตอร์โดยใช้ BUILT-IN REMOTE DESKTOP คุณสมบัติของ Windows หน้าจอของคุณจะถูกล็อคและมันจะบอกคุณว่าใครกำลังเชื่อมต่ออยู่.
เหตุใดจึงมีประโยชน์ มีประโยชน์เพราะหมายความว่าเพื่อให้ใครบางคนสามารถเชื่อมต่อกับเซสชันของคุณโดยที่คุณไม่สังเกตเห็นหรือหน้าจอของคุณถูกครอบงำพวกเขาใช้ซอฟต์แวร์ของบุคคลที่สาม อย่างไรก็ตามในปี 2014 ไม่มีใครจะเห็นได้ชัดและเป็นเรื่องยากมากในการตรวจสอบซอฟต์แวร์ซ่อนตัวของบุคคลที่สาม.
หากเรากำลังมองหาซอฟต์แวร์บุคคลที่สามซึ่งมักจะเรียกว่าซอฟต์แวร์ควบคุมระยะไกลหรือซอฟต์แวร์การคำนวณเครือข่ายเสมือน (VNC) เราต้องเริ่มจากศูนย์ โดยปกติเมื่อมีคนติดตั้งซอฟต์แวร์ประเภทนี้ในคอมพิวเตอร์ของคุณพวกเขาจะต้องทำในขณะที่คุณไม่ได้อยู่ที่นั่นและพวกเขาต้องรีสตาร์ทคอมพิวเตอร์ของคุณ ดังนั้นสิ่งแรกที่สามารถแย่งคุณได้คือถ้าคอมพิวเตอร์ของคุณถูกรีสตาร์ทและคุณจำไม่ได้.
ประการที่สองคุณควรตรวจสอบในของคุณ เมนูเริ่ม - โปรแกรมทั้งหมด และเพื่อดูว่ามีการติดตั้ง VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC และอื่น ๆ หรือไม่ หลายครั้งที่คนเลอะเทอะและคิดว่าผู้ใช้ทั่วไปไม่รู้ว่าซอฟต์แวร์คืออะไรและจะเพิกเฉย หากมีการติดตั้งโปรแกรมใด ๆ แล้วบางคนสามารถเชื่อมต่อกับคอมพิวเตอร์ของคุณโดยที่คุณไม่รู้ตัวตราบใดที่โปรแกรมทำงานในพื้นหลังเป็นบริการ Windows.
นั่นนำเราไปสู่จุดที่สาม โดยปกติหากมีการติดตั้งโปรแกรมใดโปรแกรมหนึ่งข้างต้นรายการนั้นจะมีไอคอนอยู่ในทาสก์บาร์เพราะจะต้องทำงานตลอดเวลาเพื่อให้ทำงานได้.
ตรวจสอบไอคอนทั้งหมดของคุณ (แม้แต่ไอคอนที่ซ่อนอยู่) และดูสิ่งที่กำลังทำงานอยู่ หากคุณพบบางสิ่งที่คุณไม่เคยได้ยินให้ทำการค้นหาโดย Google อย่างรวดเร็วเพื่อดูว่ามีอะไรโผล่ขึ้นมาบ้าง มันค่อนข้างง่ายสำหรับซอฟต์แวร์การตรวจสอบเพื่อซ่อนไอคอนแถบงานดังนั้นหากคุณไม่เห็นสิ่งผิดปกติที่นั่นหมายความว่าคุณไม่ได้ติดตั้งซอฟต์แวร์การตรวจสอบ.
ดังนั้นหากไม่มีสิ่งใดปรากฏขึ้นในสถานที่ที่ชัดเจนลองไปยังสิ่งที่ซับซ้อนกว่ากัน.
ตรวจสอบไฟร์วอลล์พอร์ต
อีกครั้งเนื่องจากเป็นแอพของบุคคลที่สามจึงต้องเชื่อมต่อกับ Windows ในพอร์ตการสื่อสารที่แตกต่างกัน พอร์ตเป็นเพียงการเชื่อมต่อข้อมูลเสมือนที่คอมพิวเตอร์แบ่งปันข้อมูลโดยตรง ดังที่คุณอาจทราบอยู่แล้วว่า Windows มาพร้อมกับไฟร์วอลล์ในตัวซึ่งบล็อกพอร์ตขาเข้าจำนวนมากเพื่อเหตุผลด้านความปลอดภัย หากคุณไม่ได้ใช้งานเว็บไซต์ FTP เหตุใดพอร์ต 23 ของคุณจึงควรเปิดขวา?
ดังนั้นเพื่อให้แอปของบุคคลที่สามเหล่านี้เชื่อมต่อกับคอมพิวเตอร์ของคุณพวกเขาจะต้องผ่านพอร์ตซึ่งจะต้องเปิดในคอมพิวเตอร์ของคุณ คุณสามารถตรวจสอบพอร์ตที่เปิดอยู่ทั้งหมดได้โดยไปที่ เริ่มต้น, แผงควบคุม, และ ไฟร์วอลล์หน้าต่าง. จากนั้นคลิกที่ อนุญาตโปรแกรมของคุณสมบัติผ่านไฟร์วอลล์ Windows ด้านซ้ายมือ.
ที่นี่คุณจะเห็นรายการโปรแกรมพร้อมช่องทำเครื่องหมายถัดจากรายการ รายการที่ถูกตรวจสอบคือ "เปิด" และรายการที่ไม่ได้ตรวจสอบหรือไม่แสดงนั้นคือ "ปิด" ผ่านรายการและดูว่ามีโปรแกรมที่คุณไม่คุ้นเคยหรือตรงกับ VNC รีโมทคอนโทรล ฯลฯ ถ้าใช่คุณสามารถบล็อกโปรแกรมโดยยกเลิกการทำเครื่องหมายในช่อง!
ตรวจสอบการเชื่อมต่อขาออก
น่าเสียดายที่มันซับซ้อนกว่านี้เล็กน้อย ในบางกรณีอาจมีการเชื่อมต่อเข้ามา แต่ในหลายกรณีซอฟต์แวร์ที่ติดตั้งในคอมพิวเตอร์ของคุณจะมีการเชื่อมต่อขาออกกับเซิร์ฟเวอร์เท่านั้น ใน Windows อนุญาตการเชื่อมต่อส่วนนอกทั้งหมดซึ่งหมายความว่าไม่มีอะไรถูกบล็อก หากซอฟต์แวร์สอดแนมทั้งหมดบันทึกข้อมูลและส่งไปยังเซิร์ฟเวอร์ก็จะใช้การเชื่อมต่อขาออกเท่านั้นดังนั้นจะไม่แสดงในรายการไฟร์วอลล์นั้น.
เพื่อจับโปรแกรมเช่นนั้นเราต้องเห็นการเชื่อมต่อขาออกจากคอมพิวเตอร์ของเราไปยังเซิร์ฟเวอร์ มีหลายวิธีที่เราสามารถทำได้และฉันจะพูดเกี่ยวกับหนึ่งหรือสองที่นี่ อย่างที่ฉันบอกไปก่อนหน้านี้มันซับซ้อนเล็กน้อยในตอนนี้เพราะเรากำลังจัดการกับซอฟต์แวร์ลับ ๆ ล่อ ๆ และคุณจะไม่สามารถหาได้ง่าย.
TCPView
ก่อนอื่นดาวน์โหลดโปรแกรมที่เรียกว่า TCPView จาก Microsoft เป็นไฟล์ที่มีขนาดเล็กมากและคุณไม่จำเป็นต้องติดตั้งเพียงเปิดเครื่องรูดมันและดับเบิลคลิกที่ TCPView. หน้าต่างหลักจะมีลักษณะเช่นนี้และอาจไม่มีเหตุผล.
โดยพื้นฐานแล้วมันจะแสดงการเชื่อมต่อทั้งหมดจากคอมพิวเตอร์ของคุณไปยังคอมพิวเตอร์เครื่องอื่น ทางด้านซ้ายคือชื่อกระบวนการซึ่งจะเป็นโปรแกรมที่กำลังทำงานเช่น Chrome, Dropbox เป็นต้นคอลัมน์อื่น ๆ ที่เราต้องดูคือ ที่อยู่ระยะไกล และ สถานะ. ไปข้างหน้าและจัดเรียงตามคอลัมน์รัฐและดูกระบวนการทั้งหมดที่ระบุไว้ด้านล่าง ที่จัดตั้งขึ้น. ก่อตั้งขึ้นหมายความว่าขณะนี้มีการเชื่อมต่อแบบเปิด โปรดทราบว่าซอฟต์แวร์การสอดแนมอาจไม่ได้เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเสมอไปดังนั้นจึงเป็นความคิดที่ดีที่จะเปิดโปรแกรมนี้และตรวจสอบกระบวนการใหม่ ๆ ที่อาจปรากฏขึ้นภายใต้สถานะที่กำหนดไว้.
สิ่งที่คุณต้องการทำคือกรองรายการนั้นไปยังกระบวนการที่มีชื่อที่คุณไม่รู้จัก Chrome และ Dropbox นั้นใช้ได้ดีและไม่ก่อให้เกิดสัญญาณเตือน แต่ openvpn.exe และ rubyw.exe คืออะไร ในกรณีของฉันฉันใช้ VPN เพื่อเชื่อมต่ออินเทอร์เน็ตเพื่อให้กระบวนการเหล่านั้นใช้สำหรับบริการ VPN ของฉัน อย่างไรก็ตามคุณสามารถใช้บริการเหล่านั้นกับ Google และค้นหาตัวเองอย่างรวดเร็ว ซอฟต์แวร์ VPN ไม่ใช่ซอฟต์แวร์สอดแนมดังนั้นจึงไม่ต้องกังวล เมื่อคุณค้นหากระบวนการคุณจะสามารถบอกได้ทันทีว่าปลอดภัยหรือไม่เพียงแค่ดูผลการค้นหา.
สิ่งที่คุณต้องการตรวจสอบก็คือคอลัมน์ทางด้านขวาสุดที่เรียกว่า Sent Packets, Sent Bytes, ฯลฯ เรียงลำดับตาม Sent Bytes และคุณสามารถดูได้ทันทีว่ากระบวนการใดกำลังส่งข้อมูลมากที่สุดจากคอมพิวเตอร์ของคุณ หากใครบางคนกำลังตรวจสอบคอมพิวเตอร์ของคุณพวกเขาจะต้องส่งข้อมูลไปที่ไหนสักแห่งดังนั้นถ้ากระบวนการนั้นถูกซ่อนไว้อย่างดีมากคุณควรเห็นมันที่นี่.
Process Explorer
โปรแกรมอื่นที่คุณสามารถใช้เพื่อค้นหากระบวนการทั้งหมดที่ทำงานบนคอมพิวเตอร์ของคุณคือ Process Explorer จาก Microsoft เมื่อคุณเรียกใช้คุณจะเห็นข้อมูลจำนวนมากเกี่ยวกับทุกกระบวนการเดียวและแม้แต่กระบวนการลูกที่ทำงานในกระบวนการหลัก.
Process Explorer นั้นยอดเยี่ยมเพราะมันเชื่อมต่อกับ VirusTotal และสามารถบอกคุณได้ทันทีว่ากระบวนการตรวจพบว่าเป็นมัลแวร์หรือไม่ ในการทำเช่นนั้นคลิกที่ ตัวเลือก, VirusTotal.com จากนั้นคลิกที่ ตรวจสอบ VirusTotal.com. มันจะนำคุณไปยังเว็บไซต์ของพวกเขาเพื่ออ่าน TOS เพียงแค่ปิดและคลิก ใช่ บนกล่องโต้ตอบในโปรแกรม.
เมื่อคุณทำเช่นนั้นคุณจะเห็นคอลัมน์ใหม่ที่แสดงอัตราการตรวจจับการสแกนล่าสุดสำหรับกระบวนการจำนวนมาก มันจะไม่สามารถรับค่าสำหรับกระบวนการทั้งหมด แต่จะดีกว่าไม่มีอะไร สำหรับคนที่ไม่มีคะแนนให้ไปข้างหน้าและค้นหากระบวนการเหล่านั้นด้วยตนเองใน Google สำหรับคนที่มีคะแนนคุณอยากบอกว่า 0 / XX หากไม่ใช่ 0 ให้ไปข้างหน้าแล้ว Google ทำกระบวนการหรือคลิกที่หมายเลขที่จะเข้าสู่เว็บไซต์ VirusTotal สำหรับกระบวนการนั้น.
ฉันมักจะเรียงลำดับรายการตามชื่อ บริษัท และกระบวนการใด ๆ ที่ไม่มีรายชื่อ บริษัท ฉันจะตรวจสอบ Google อย่างไรก็ตามแม้จะมีโปรแกรมเหล่านี้คุณยังอาจไม่เห็นกระบวนการทั้งหมด.
รูทคิท
นอกจากนี้ยังมีโปรแกรมการซ่อนตัวของคลาสที่เรียกว่ารูทคิทซึ่งทั้งสองโปรแกรมดังกล่าวจะไม่สามารถมองเห็นได้ ในกรณีนี้หากคุณไม่พบสิ่งที่น่าสงสัยเมื่อตรวจสอบกระบวนการทั้งหมดข้างต้นคุณจะต้องลองใช้เครื่องมือที่มีประสิทธิภาพยิ่งขึ้น เครื่องมือที่ดีอีกอย่างหนึ่งจาก Microsoft คือ Rootkit Revealer แต่มันเก่ามาก.
เครื่องมือต่อต้านรูทคิทอื่น ๆ ที่ดีคือ Malwarebytes Anti-Rootkit Beta ซึ่งฉันอยากจะแนะนำอย่างสูงเนื่องจากเครื่องมือป้องกันมัลแวร์ของพวกเขาอยู่ในอันดับที่ 1 ในปี 2014 อีกอันที่นิยมคือ GMER.
ฉันขอแนะนำให้คุณติดตั้งเครื่องมือเหล่านี้และเรียกใช้พวกเขา หากพวกเขาพบสิ่งใดลบหรือลบสิ่งที่พวกเขาแนะนำ นอกจากนี้คุณควรติดตั้งซอฟต์แวร์ป้องกันมัลแวร์และป้องกันไวรัส โปรแกรมซ่อนเร้นเหล่านี้จำนวนมากที่ผู้คนใช้ถือว่าเป็นมัลแวร์ / ไวรัสดังนั้นพวกเขาจะถูกลบทิ้งหากคุณเรียกใช้ซอฟต์แวร์ที่เหมาะสม หากตรวจพบสิ่งใดให้ตรวจสอบกับ Google เพื่อให้คุณทราบว่าเป็นซอฟต์แวร์ตรวจสอบหรือไม่.
อีเมล์และการตรวจสอบเว็บไซต์
ในการตรวจสอบว่าอีเมลของคุณกำลังถูกตรวจสอบนั้นมีความซับซ้อนหรือไม่ แต่เราจะยึดสิ่งที่ง่ายสำหรับบทความนี้ เมื่อใดก็ตามที่คุณส่งอีเมลจาก Outlook หรือไคลเอนต์อีเมลบางรายการในคอมพิวเตอร์ของคุณจะต้องเชื่อมต่อกับเซิร์ฟเวอร์อีเมลเสมอ ตอนนี้มันสามารถเชื่อมต่อโดยตรงหรือสามารถเชื่อมต่อผ่านสิ่งที่เรียกว่าพร็อกซีเซิร์ฟเวอร์ซึ่งรับการร้องขอแก้ไขหรือตรวจสอบและส่งต่อไปยังเซิร์ฟเวอร์อื่น.
หากคุณกำลังใช้พร็อกซีเซิร์ฟเวอร์สำหรับอีเมลหรือท่องเว็บกว่าเว็บไซต์ที่คุณเข้าถึงหรืออีเมลที่คุณเขียนสามารถบันทึกและดูได้ในภายหลัง คุณสามารถตรวจสอบทั้งสองวิธีได้ สำหรับ IE ไปที่ เครื่องมือ, แล้วก็ ตัวเลือกอินเทอร์เน็ต. คลิกที่ สัมพันธ์ แท็บและเลือก การตั้งค่า LAN.
หากมีการทำเครื่องหมายที่ช่องเซิร์ฟเวอร์พร็อกซีและมีที่อยู่ IP ในระบบพร้อมหมายเลขพอร์ตหมายความว่าคุณต้องผ่านเซิร์ฟเวอร์ภายในก่อนที่จะถึงเว็บเซิร์ฟเวอร์ ซึ่งหมายความว่าเว็บไซต์ใด ๆ ที่คุณเยี่ยมชมครั้งแรกต้องผ่านเซิร์ฟเวอร์อื่นที่ใช้ซอฟต์แวร์บางประเภทที่บล็อกที่อยู่หรือเพียงแค่บันทึกมัน ในครั้งเดียวที่คุณจะค่อนข้างปลอดภัยคือถ้าเว็บไซต์ที่คุณกำลังเยี่ยมชมใช้ SSL (HTTPS ในแถบที่อยู่) ซึ่งหมายความว่าทุกอย่างที่ส่งจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์ระยะไกลจะถูกเข้ารหัส แม้ว่า บริษัท ของคุณจะเก็บข้อมูลไว้ระหว่างนั้นก็จะถูกเข้ารหัส ฉันบอกว่าค่อนข้างปลอดภัยเพราะหากมีซอฟต์แวร์สอดแนมติดตั้งอยู่ในคอมพิวเตอร์ของคุณมันสามารถดักจับการกดแป้นและดังนั้นจึงจับสิ่งที่คุณพิมพ์ลงในเว็บไซต์ที่ปลอดภัยเหล่านั้น.
สำหรับอีเมล บริษัท ของคุณคุณกำลังตรวจสอบสิ่งเดียวกันซึ่งเป็นที่อยู่ IP ท้องถิ่นสำหรับเซิร์ฟเวอร์อีเมล POP และ SMTP ในการตรวจสอบใน Outlook ไปที่ เครื่องมือ, บัญชีอีเมล, และคลิกเปลี่ยนหรือคุณสมบัติและค้นหาค่าสำหรับเซิร์ฟเวอร์ POP และ SMTP น่าเสียดายที่ในสภาพแวดล้อมขององค์กรเซิร์ฟเวอร์อีเมลอาจอยู่ในพื้นที่ดังนั้นคุณจึงถูกตรวจสอบอย่างแน่นอนแม้ว่าจะไม่ผ่านพร็อกซี.
คุณควรระมัดระวังในการเขียนอีเมลหรือเรียกดูเว็บไซต์ขณะอยู่ที่สำนักงาน การพยายามเจาะระบบรักษาความปลอดภัยอาจทำให้คุณประสบปัญหาหากพวกเขาพบว่าคุณผ่านระบบของพวกเขาไป! คนไอทีไม่ชอบสิ่งนั้นฉันสามารถบอกคุณได้จากประสบการณ์! อย่างไรก็ตามคุณต้องการรักษาความปลอดภัยในการท่องเว็บและกิจกรรมทางอีเมลทางออกที่ดีที่สุดคือการใช้ VPN เช่นการเข้าถึงอินเทอร์เน็ตส่วนตัว.
ต้องมีการติดตั้งซอฟต์แวร์บนคอมพิวเตอร์ซึ่งคุณอาจไม่สามารถทำได้ตั้งแต่แรก อย่างไรก็ตามถ้าคุณทำได้คุณมั่นใจได้เลยว่าจะไม่มีใครสามารถดูสิ่งที่คุณทำในเบราว์เซอร์ของคุณได้ตราบใดที่ไม่มีซอฟต์แวร์สอดแนมในเครื่องติดตั้งอยู่! ไม่มีสิ่งใดที่สามารถซ่อนกิจกรรมของคุณจากซอฟต์แวร์การสอดแนมที่ติดตั้งในเครื่องเนื่องจากสามารถบันทึกการกดแป้นพิมพ์และอื่น ๆ ได้ดังนั้นให้ลองทำตามคำแนะนำของฉันอย่างดีที่สุด หากคุณมีคำถามหรือข้อสงสัยโปรดแสดงความคิดเห็น สนุก!