Trang chủ » Mẹo máy tính » Cách phát hiện phần mềm theo dõi hoặc gián điệp máy tính và email

    Cách phát hiện phần mềm theo dõi hoặc gián điệp máy tính và email

    Là một IT Pro, tôi thường xuyên theo dõi máy tính và email của nhân viên. Đó là điều cần thiết trong môi trường làm việc cho mục đích hành chính cũng như bảo mật. Giám sát email, ví dụ, cho phép bạn chặn các tệp đính kèm có thể chứa vi-rút hoặc phần mềm gián điệp. Lần duy nhất tôi phải kết nối với máy tính người dùng và làm việc trực tiếp trên máy tính của họ là khắc phục sự cố.

    Tuy nhiên, nếu bạn cảm thấy rằng bạn đang bị theo dõi khi bạn không nên, có một vài mẹo nhỏ bạn có thể sử dụng để xác định xem bạn có đúng không. Trước hết, để giám sát máy tính của ai đó có nghĩa là họ có thể xem mọi thứ bạn đang làm trên máy tính của bạn trong thời gian thực. Chặn các trang web khiêu dâm, xóa tệp đính kèm hoặc chặn thư rác trước khi vào hộp thư đến của bạn, v.v. không thực sự giám sát, nhưng giống như lọc hơn.

    Một vấn đề LỚN mà tôi muốn nhấn mạnh trước khi tiếp tục là nếu bạn ở trong môi trường công ty và nghĩ rằng bạn đang bị theo dõi, bạn nên cho rằng họ có thể thấy MỌI THỨ bạn làm trên máy tính. Ngoài ra, giả sử rằng bạn sẽ không thể thực sự tìm thấy phần mềm đang ghi lại mọi thứ. Trong môi trường công ty, các máy tính được tùy chỉnh và cấu hình lại đến mức gần như không thể phát hiện bất cứ thứ gì trừ khi bạn là một hacker. Bài viết này thiên về người dùng gia đình, những người nghĩ rằng một người bạn hoặc thành viên gia đình đang cố gắng theo dõi họ.

    Giám sát máy tính

    Vì vậy, bây giờ, nếu bạn vẫn nghĩ ai đó đang theo dõi mình, đây là những gì bạn có thể làm! Cách dễ nhất và đơn giản nhất mà ai đó có thể đăng nhập vào máy tính của bạn là sử dụng máy tính để bàn từ xa. Điều tốt là Windows không hỗ trợ nhiều kết nối đồng thời trong khi ai đó đã đăng nhập vào bảng điều khiển (có một bản hack cho việc này, nhưng tôi sẽ không lo lắng về điều đó). Điều này có nghĩa là nếu bạn đăng nhập vào máy tính XP, 7 hoặc Windows 8 của mình và ai đó đã kết nối với nó bằng cách sử dụng BUILT-IN TỪ XÁC NHẬN Tính năng của Windows, màn hình của bạn sẽ bị khóa và nó sẽ cho bạn biết ai được kết nối.

    Vậy tại sao nó lại hữu ích? Điều này hữu ích vì điều đó có nghĩa là để ai đó kết nối với phiên CỦA BẠN mà bạn không nhận thấy hoặc màn hình của bạn bị chiếm, họ đã sử dụng phần mềm của bên thứ ba. Tuy nhiên, vào năm 2014, không ai có thể trở nên rõ ràng như vậy và việc phát hiện phần mềm tàng hình của bên thứ ba khó hơn rất nhiều.

    Nếu chúng tôi đang tìm kiếm phần mềm của bên thứ ba, thường được gọi là phần mềm điều khiển từ xa hoặc phần mềm điện toán mạng ảo (VNC), chúng tôi phải bắt đầu lại từ đầu. Thông thường, khi ai đó cài đặt loại phần mềm này trên máy tính của bạn, họ phải làm điều đó trong khi bạn không ở đó và họ phải khởi động lại máy tính của bạn. Vì vậy, điều đầu tiên có thể khiến bạn hiểu là nếu máy tính của bạn đã được khởi động lại và bạn không nhớ làm việc đó.

    Thứ hai, bạn nên kiểm tra Menu bắt đầu - Tất cả các chương trình và để xem liệu có hay không một cái gì đó như VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, v.v. Rất nhiều lần mọi người cẩu thả và nghĩ rằng một người dùng bình thường sẽ không biết phần mềm là gì và sẽ bỏ qua phần mềm đó. Nếu bất kỳ chương trình nào trong số đó được cài đặt, thì ai đó có thể kết nối với máy tính của bạn mà bạn không biết chương trình đó đang chạy trong nền như một dịch vụ Windows.

    Điều đó đưa chúng ta đến điểm thứ ba. Thông thường, nếu một trong các chương trình được liệt kê ở trên được cài đặt, sẽ có một biểu tượng cho nó trong thanh tác vụ vì nó cần phải liên tục chạy để hoạt động.

    Kiểm tra tất cả các biểu tượng của bạn (ngay cả những biểu tượng ẩn) và xem những gì đang chạy. Nếu bạn tìm thấy thứ gì đó bạn chưa từng nghe đến, hãy thực hiện tìm kiếm nhanh trên Google để xem nội dung bật lên. Thật dễ dàng để phần mềm giám sát ẩn biểu tượng trên thanh tác vụ, vì vậy nếu bạn không thấy điều gì bất thường ở đó, điều đó không có nghĩa là bạn không cài đặt phần mềm giám sát.

    Vì vậy, nếu không có gì hiển thị ở những nơi rõ ràng, hãy chuyển sang những thứ phức tạp hơn.

    Kiểm tra cổng tường lửa

    Một lần nữa, vì đây là các ứng dụng của bên thứ ba, chúng phải kết nối với Windows trên các cổng giao tiếp khác nhau. Các cổng chỉ đơn giản là một kết nối dữ liệu ảo mà máy tính chia sẻ thông tin trực tiếp. Như bạn có thể đã biết, Windows đi kèm với một tường lửa tích hợp chặn nhiều cổng đến vì lý do bảo mật. Nếu bạn không chạy một trang FTP, tại sao cổng 23 của bạn phải mở, đúng không?

    Vì vậy, để các ứng dụng của bên thứ ba này kết nối với máy tính của bạn, chúng phải thông qua một cổng, phải được mở trên máy tính của bạn. Bạn có thể kiểm tra tất cả các cổng mở bằng cách đi đến Khởi đầu, Bảng điều khiển, và Tường lửa Windows. Sau đó bấm vào Cho phép một chương trình tính năng thông qua Windows Firewall ở phía bên tay trái.

    Ở đây bạn sẽ thấy một danh sách các chương trình với các hộp kiểm bên cạnh chúng. Những cái được kiểm tra là những cái mở ra và những cái chưa được chọn hoặc không được liệt kê là những cái đã đóng. Đi qua danh sách và xem có chương trình nào bạn không quen thuộc hoặc phù hợp với VNC, điều khiển từ xa, v.v. Nếu vậy, bạn có thể chặn chương trình bằng cách bỏ chọn hộp cho nó!

    Kiểm tra kết nối ra

    Thật không may, nó phức tạp hơn thế này một chút. Trong một số trường hợp, có thể có kết nối đến, nhưng trong nhiều trường hợp, phần mềm được cài đặt trên máy tính của bạn sẽ chỉ có kết nối ra tới máy chủ. Trong Windows, tất cả các kết nối ngoài phạm vi đều được cho phép, điều đó có nghĩa là không có gì bị chặn. Nếu tất cả các phần mềm gián điệp thực hiện là ghi dữ liệu và gửi nó đến một máy chủ, thì nó chỉ sử dụng kết nối ra ngoài và do đó sẽ không hiển thị trong danh sách tường lửa đó.

    Để bắt được một chương trình như vậy, chúng ta phải xem các kết nối ra ngoài từ máy tính của chúng ta đến máy chủ. Có rất nhiều cách chúng ta có thể làm điều này và tôi sẽ nói về một hoặc hai ở đây. Như tôi đã nói trước đây, bây giờ nó hơi phức tạp vì chúng tôi đang xử lý phần mềm thực sự lén lút và bạn sẽ không dễ dàng tìm thấy nó.

    TCPView

    Đầu tiên, tải xuống một chương trình có tên TCPView từ Microsoft. Đó là một tệp rất nhỏ và bạn thậm chí không phải cài đặt nó, chỉ cần giải nén nó và nhấp đúp vào Tcpview. Cửa sổ chính sẽ trông như thế này và có lẽ không có ý nghĩa.

    Về cơ bản, nó hiển thị cho bạn tất cả các kết nối từ máy tính của bạn đến các máy tính khác. Ở bên trái là tên quy trình, sẽ là các chương trình đang chạy, tức là Chrome, Dropbox, v.v. Các cột khác duy nhất chúng ta cần xem là Địa chỉ từ xaTiểu bang. Đi trước và sắp xếp theo cột Nhà nước và xem xét tất cả các quy trình được liệt kê dưới đây THÀNH LẬP. Thành lập có nghĩa là hiện có một kết nối mở. Lưu ý rằng phần mềm gián điệp có thể không phải lúc nào cũng được kết nối với máy chủ từ xa, vì vậy tốt nhất là để chương trình này mở và theo dõi mọi quy trình mới có thể xuất hiện trong trạng thái đã thiết lập.

    Những gì bạn muốn làm là lọc ra danh sách đó để xử lý tên mà bạn không nhận ra. Chrome và Dropbox vẫn ổn và không có lý do gì để báo động, nhưng openvpn.exe và rubyw.exe là gì? Vâng, trong trường hợp của tôi, tôi sử dụng VPN để kết nối với Internet để các quy trình đó dành cho dịch vụ VPN của tôi. Tuy nhiên, bạn chỉ có thể Google các dịch vụ đó và nhanh chóng tự mình tìm ra. Phần mềm VPN không phải là phần mềm gián điệp, vì vậy không phải lo lắng. Khi bạn tìm kiếm một quy trình, ngay lập tức bạn sẽ có thể biết liệu nó có an toàn hay không bằng cách chỉ nhìn vào kết quả tìm kiếm.

    Một điều khác mà bạn muốn kiểm tra là các cột ngoài cùng bên phải được gọi là Gói gửi, byte đã gửi, v.v. Sắp xếp theo byte đã gửi và bạn có thể thấy ngay quá trình nào đang gửi nhiều dữ liệu nhất từ ​​máy tính của mình. Nếu ai đó đang theo dõi máy tính của bạn, họ phải gửi dữ liệu ở bất cứ đâu, vì vậy trừ khi quá trình này được ẩn rất tốt, bạn nên xem nó ở đây.

    Trình khám phá quy trình

    Một chương trình khác bạn có thể sử dụng để tìm tất cả các quy trình đang chạy trên máy tính của mình là Process Explorer từ Microsoft. Khi bạn chạy nó, bạn sẽ thấy rất nhiều thông tin về mọi quy trình đơn lẻ và thậm chí các quy trình con đang chạy bên trong các quy trình cha.

    Process Explorer khá tuyệt vời vì nó kết nối với VirusTotal và có thể cho bạn biết ngay lập tức nếu một quy trình có được phát hiện là phần mềm độc hại hay không. Để làm điều đó, bấm vào Tùy chọn, VirusTotal.com và sau đó bấm vào Kiểm tra VirusTotal.com. Nó sẽ đưa bạn đến trang web của họ để đọc ĐKDV, chỉ cần đóng nó ra và nhấp vào Vâng trên hộp thoại trong chương trình.

    Khi bạn làm điều đó, bạn sẽ thấy một cột mới hiển thị tỷ lệ phát hiện quét cuối cùng cho nhiều quy trình. Nó sẽ không thể có được giá trị cho tất cả các quy trình, nhưng tốt hơn là không có gì. Đối với những người không có điểm, hãy tiếp tục và tìm kiếm thủ công các quy trình đó trong Google. Đối với những người có điểm số, bạn muốn nó khá nhiều, nói 0 / XX. Nếu không phải là 0, hãy tiếp tục và Google xử lý hoặc nhấp vào các số được đưa đến trang web VirusTotal cho quy trình đó.

    Tôi cũng có xu hướng sắp xếp danh sách theo Tên Công ty và bất kỳ quy trình nào không có công ty được liệt kê, tôi Google để kiểm tra. Tuy nhiên, ngay cả với các chương trình này, bạn vẫn có thể không thấy tất cả các quy trình.

    Rễ cây

    Ngoài ra còn có một chương trình tàng hình lớp được gọi là rootkit, hai chương trình trên thậm chí sẽ không thể nhìn thấy. Trong trường hợp này, nếu bạn thấy không có gì khả nghi khi kiểm tra tất cả các quy trình ở trên, bạn sẽ cần thử các công cụ mạnh mẽ hơn nữa. Một công cụ tốt khác của Microsoft là Rootkit Revealer, tuy nhiên nó rất cũ.

    Các công cụ chống rootkit tốt khác là Malwarebytes Anti-Rootkit Beta, tôi rất khuyến khích vì công cụ chống phần mềm độc hại của chúng được xếp hạng số 1 vào năm 2014. Một công cụ phổ biến khác là GMER.

    Tôi đề nghị bạn cài đặt các công cụ này và chạy chúng. Nếu họ tìm thấy bất cứ điều gì, loại bỏ hoặc xóa bất cứ điều gì họ đề nghị. Ngoài ra, bạn nên cài đặt phần mềm chống phần mềm độc hại và chống vi-rút. Rất nhiều chương trình tàng hình mà mọi người sử dụng được coi là phần mềm độc hại / vi-rút, vì vậy chúng sẽ bị xóa nếu bạn chạy phần mềm thích hợp. Nếu một cái gì đó được phát hiện, hãy chắc chắn với Google để bạn có thể tìm hiểu xem nó có phải là phần mềm giám sát hay không.

    Giám sát Email & Trang web

    Để kiểm tra xem email của bạn có bị theo dõi hay không cũng phức tạp, nhưng chúng tôi sẽ sử dụng những thứ dễ dàng cho bài viết này. Bất cứ khi nào bạn gửi email từ Outlook hoặc một số ứng dụng email trên máy tính của mình, nó luôn phải kết nối với máy chủ email. Bây giờ nó có thể kết nối trực tiếp hoặc nó có thể kết nối thông qua cái được gọi là máy chủ proxy, nhận yêu cầu, thay đổi hoặc kiểm tra và chuyển tiếp nó đến máy chủ khác.

    Nếu bạn đang đi qua một máy chủ proxy để duyệt email hoặc duyệt web, hơn các trang web bạn truy cập hoặc các email bạn viết có thể được lưu và xem sau này. Bạn có thể kiểm tra cả hai và đây là cách. Đối với IE, hãy đi đến Công cụ, sau đó Tùy chọn Internet. Bấm vào Kết nối tab và chọn Cài đặt mạng Lan.

    Nếu hộp Máy chủ Proxy được chọn và nó có địa chỉ IP cục bộ có số cổng, thì điều đó có nghĩa là bạn sẽ đi qua máy chủ cục bộ trước khi đến máy chủ web. Điều này có nghĩa là bất kỳ trang web nào bạn truy cập trước tiên đều đi qua một máy chủ khác đang chạy một loại phần mềm nào đó chặn địa chỉ hoặc chỉ đơn giản là ghi nhật ký. Lần duy nhất bạn sẽ an toàn phần nào là nếu trang web bạn đang truy cập sử dụng SSL (HTTPS trên thanh địa chỉ), có nghĩa là mọi thứ được gửi từ máy tính của bạn đến máy chủ từ xa đều được mã hóa. Ngay cả khi công ty của bạn nắm bắt được dữ liệu ở giữa, nó sẽ được mã hóa. Tôi nói hơi an toàn vì nếu có phần mềm gián điệp được cài đặt trên máy tính của bạn, nó có thể chụp các tổ hợp phím và do đó nắm bắt bất cứ điều gì bạn nhập vào các trang web bảo mật đó.

    Đối với email công ty của bạn, bạn đang kiểm tra cùng một thứ, một địa chỉ IP cục bộ cho các máy chủ thư POP và SMTP. Để kiểm tra Outlook, hãy đi đến Công cụ, Các tài khoản email, và nhấp vào Thay đổi hoặc Thuộc tính và tìm các giá trị cho máy chủ POP và SMTP. Thật không may, trong môi trường công ty, máy chủ email có thể là cục bộ và do đó bạn chắc chắn bị theo dõi, ngay cả khi nó không thông qua proxy..

    Bạn nên luôn luôn cẩn thận trong việc viết email hoặc duyệt các trang web trong khi ở văn phòng. Cố gắng vượt qua bảo mật cũng có thể khiến bạn gặp rắc rối nếu họ phát hiện ra bạn bỏ qua hệ thống của họ! Dân IT không thích điều đó, tôi có thể nói với bạn từ kinh nghiệm! Tuy nhiên, bạn muốn bảo mật hoạt động duyệt web và email của mình, cách tốt nhất của bạn là sử dụng VPN như Private Internet Access.

    Điều này đòi hỏi phải cài đặt phần mềm trên máy tính, điều mà bạn có thể không thực hiện được ngay từ đầu. Tuy nhiên nếu bạn có thể, bạn có thể khá chắc chắn rằng không ai có thể xem những gì bạn đang làm trong trình duyệt của mình miễn là họ không cài đặt phần mềm gián điệp cục bộ! Không có gì có thể che giấu các hoạt động của bạn khỏi phần mềm gián điệp được cài đặt cục bộ vì nó có thể ghi lại các lần nhấn phím, v.v., vì vậy hãy cố gắng làm theo hướng dẫn của tôi ở trên và vô hiệu hóa chương trình giám sát. Nếu bạn có bất kỳ câu hỏi hoặc mối quan tâm, hãy bình luận. Thưởng thức!