Консультации Портала - Консультация #55944

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 55944

19.09.2006, 12:36

0.00 руб.

0 10 2

Компьютеры Программное обеспечение Защита информации

Здраствуйте Уважаемые эксперты! Вопрос может показаться комуто смешным. Я работаю в офисе. Как бы системным администратором. Но я учусь покачто. Один из начальников помогает мне. Так вот. У меня есть подозрения что он в отсутствие меня установил на моем компьютере какието программы по слежению за пользователем. Например клавиатурные шпионы или проги, которые составляют отчет о том, что делал и где лазил пользователь. Вопрос такой, можно ли спомощью какого-нибудь софта обнаруживать эти самые проги? Должен ли на них реагировать антивирус? Ну вообщем нужно удостовериться, есть ли на компе чтото в таком роде или нету.

Обсуждение

Неизвестный

19.09.2006, 14:24

общий

это ответ

Антивирус на такие будет реагировать лишь если считает их троянами да и не во все антивирусные базы включают обнаружение подобного. Например, к DrWeb для этого надо добавить дополнительную базу.
Можно воспользоваться программой типа Process Explorer - http://www.sysinternals.com/Utilities/ProcessExplorer.html для просмотра названий программ, загруженных в память. Если видите подозрительные объекты, то удалите их из памяти. Если есть затруднения с определением назначения того, что в памяти, то перечень можете привести здесь.

Неизвестный

19.09.2006, 14:33

общий

Да, конечно, можно воспользоваться специализированными утилитами, например, такой: http://softsearch.ru/programs/63-369-anti-trojan-elite-download.shtmlНо они, как правило, имеют довольно ограниченный набор обнаруживаемых программ, потому я и не рекомендовал этот способ первоначально - существует большая вероятность, что будет установлена вполне легальная и даже "коммерческая" программа просмотра удалённого стола или протоколирования действий...

Неизвестный

19.09.2006, 14:40

общий

это ответ

Здравствуйте, Евгений Юрьевич!

Как правило, антивирусы могут находить разные шпионские модули, но если программа самодельная или слабо распространенная, то вероятность обнаружения очень маленькая.

Искать такие программы нужно вручную или по следам их активности:
1. проверьте все места автозапуска на наличие посторонних или неизвестных программ.
2. аналогично просмотрите список служб, в том числе остановленных, особенно обращая внимание на службы без описаний.
3. посмотрите список процессов (рекомендую ProcessExplorer из SysInternals) - обратите внимание на неподписанные(имя компании-производителя) процессы.
4. установите персональный файрвол(рекомендую Outpost) и убедитесь что отсутствует сетевая активность по нестандартным портам, также проверьте все процессы работающие с сетью вообще.

Поскольку программам-шпионам нужно как-то сохранять собранную информацию, нужно поискать эту информацию по диску (вариант, что шпион отсылает данные по сети теоретически мы исключили в п.4).
5. Запустите поиск по всем файлам всех дисков (в т.ч. сетевым) - нужно найти все файлы содержащие текст (поочередно):
- адрес вашей электронной почты
- пароль электронной почты
- имя pop3 сервера вашей электронной почты
- логин вашей учетной записи
- пароль вашей учетной записи
- адрес сайта, на который вы заходили недавно (не прямо перед сканированием, а перед последней перезагрузкой).
- .. и прочую информацию, которая просто так на винте обычно не валяется.

Все найденные файлы нужно будет просмотреть и убедиться что это все легальные файлы системы.

Поскольку шпион может шифпровать собранданные данные, поиск может не помочь. В таком случае:
6. Запустите поиск по диску - все файлы, измененные с момента (пред)последней перезагрузки.
Аналогично - все фалы нужно будет проверить на легальность.

Все вышеперечисленное не гарантирует успешного результата, но вероятность достаточно большая.

P.S. Кстати собирать информацию о посещаемых вами сайтах и сетевые пароли в принципе можно и просто подслушивая вашу сетевую активность (т.е. без внедрения каких-либо программ на ваш компьютер)

Неизвестный

19.09.2006, 14:50

общий

Т.е. по сути. если начальник установит на сервере это ПО, то все будет работать? Я исключил возможность установки этого ПО на его комп, т.к. в сети установлены свичи. Хорошо, впринципе я все по проверял. Даж винты свои перекалопатил)) Вроде ничего нету. Большое всем спасибо.ЗЫ...LastSoul , как тебе оценку поставить через мини-форум?

Неизвестный

19.09.2006, 14:55

общий

И вот вопрос на засыпку по процессам.... 1. DPCs - что это такое? 2. Interrupts На эти два процесса нет никакой инфы

Неизвестный

19.09.2006, 15:15

общий

Наличие свичей в сети не гарантирует защиту от сниффера. Советую почитать:http://rusfaq.ru/info/Question/55849А насчет процессов DPCs и Interrupts - это процессы ядра системы, точно безопасные :),Кстати узнать подробности о процессе в ProcessExplorer можно ткнув правой кнопкой в процесс и выбрав пункт Google - первые 2-3 ссылки обычно исчерпывающе описывают всю подноготную процесса.

Неизвестный

19.09.2006, 15:18

общий

DPCs - отложенные вызовы процедур;Interrupts - системные прерывания аппаратного обеспечения.Не программы :)

Неизвестный

19.09.2006, 15:31

общий

Всем Большое Спасибо.А по по сниферов. Я просто уже тестил много разных снифферов у СЕБЯ на компе, результата никакого.

Неизвестный

19.09.2006, 15:39

общий

Если хотите результат - рекомендую посмотреть пакет Cain&Abel:http://www.oxid.it/cain.htmlОчень полезная штука.

Неизвестный

26.09.2006, 17:03

общий

Если установлен руткит, то его обычными способами Вы не найдете.

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.