几个朋友感觉电脑被监控了,经常聊着聊着微信就被经理叫去谈话,想请大佬们分析一二,帮帮忙。
朋友的都是 IT 部门发的 win 笔记本,win7 + win10,我的是自带的 win10 电脑(我没被监控的感觉,也可能我没发觉)。
1、假设朋友电脑没被装后门,他们连的都是公司的小米路由和 TP-Link,能被监控到微信的消息和上网记录吗? 我觉得 http 请求还能看看,但是 https 和微信这种有加密协议的应该看不了吧?(小公司,那种很高深的技术肯定是没有的,能买的应该都是市面上普遍有的)
2、假设电脑被装后门。那其实被装后门想看什么都能看得到了。看不了你微信那监控你屏幕行吧,不知道有没有这样普及的东西?对于第 2 种可能性,我准备安装几个正规的杀毒软件来全盘扫描。
内行人能给点思路吗?或者简单的排查方法,比如某典型后门程序的典型进程名字或者是文件夹位置?(真不懂。。)
先谢过:D。
1
66beta 2017-09-11 18:08:34 +08:00
第二种,你杀掉了,经理看不到屏幕,又要叫过去谈心了!
|
2
rebeccaMyKid OP 有没有老司机帮忙排查一下啊,有偿,留个联系方式。
|
3
des 2017-09-11 18:20:15 +08:00 via Android
如果可以重装
|
4
cheng12308 2017-09-11 18:37:46 +08:00 via iPhone
重装了系统直接釜底抽薪
|
5
joyqi 2017-09-11 18:39:27 +08:00 1
有内鬼。。。
|
6
yghack 2017-09-11 18:41:46 +08:00
直接重装系统吧
|
7
yuanhua123 2017-09-11 18:41:56 +08:00 via Android
你去百度下威盾,你的电脑任何操作都能监控,你自己是感觉不到的。
|
8
we000 2017-09-11 18:43:10 +08:00
路由器可以看到用微信, 只不过看不到内容
|
9
LosLord 2017-09-11 18:45:09 +08:00 via Android
全局挂代理
|
10
CEBBCAT 2017-09-11 18:48:43 +08:00 via Android
布置监控这种操作不是经理搞得来的,让你朋友问问身边的同事吧
|
11
ik 2017-09-11 18:54:54 +08:00 via iPhone
重装系统,理由:系统用起来卡卡的,不顺手
|
12
Rice 2017-09-11 18:55:08 +08:00 via iPhone 2
大公司都是专门的 IT 部门监控。
大家摸鱼都是玩手机不用电脑上网。 |
13
designer 2017-09-11 18:57:16 +08:00
装一个 linux 看他咋监控
|
15
a1044634486 2017-09-11 19:01:26 +08:00
第一行,谈话谈的是他们聊天的内容?
|
16
yoyoyoyo 2017-09-11 19:03:06 +08:00 via iPhone
公司的电脑 你重装系统都是违规行为
不要用公司电脑做私人的事情应该是基本原则吧 |
17
ila 2017-09-11 19:08:16 +08:00 via Android 1
摸鱼用流量,就算有免费 wifi 也不用
|
18
rebeccaMyKid OP @a1044634486 对,聊天相关。
|
19
rebeccaMyKid OP @yoyoyoyo 老哥你开玩笑吧,这跟监控装后门是几码事了好吗。
|
20
rebeccaMyKid OP @Rice 学到了
|
21
rebeccaMyKid OP @yuanhua123 太多这样的软件了,自己一个一个排查得花费好几天啊。
|
22
rebeccaMyKid OP @designer 又不都是猿
|
23
a1044634486 2017-09-11 19:18:26 +08:00
你确定不是同事告密吗
|
24
zlhdd108 2017-09-11 19:20:09 +08:00 via Android
看流量,如果有,每个人的进程都会向一个固定的 ip 发送,流量也较为固定
|
25
rebeccaMyKid OP @a1044634486 确定
|
26
rebeccaMyKid OP @zlhdd108 用什么命令看?能简单讲讲么
|
27
Mogugugugu 2017-09-11 19:25:22 +08:00
企业下发的电脑装监控的可能性很大,国内也有很多软件都支持做到聊天记录监控的,例如[这个]( http://www.weaview.com/)
|
28
TigerK 2017-09-11 19:26:38 +08:00
是不是微信群里有经理在呀?
|
29
yoyoyoyo 2017-09-11 19:29:20 +08:00 via iPhone
@rebeccaMyKid 我没开玩笑 公司下发的电脑做监控后门非常正常 而且是公司资产 公司有权知道所有行为
不夸张的说 哪个员工看黄网多 老爸都知道的 |
30
a342191555 2017-09-11 19:36:18 +08:00 via iPhone
Google 关键词:深信服 qq
|
31
hoyixi 2017-09-11 19:52:24 +08:00
WX 本身就是个最大的后门
|
32
llldean 2017-09-11 19:54:10 +08:00
自带 macbook 解决一切问题
|
33
tomczhen 2017-09-11 19:55:35 +08:00 1
有安装客户端,所有行为都能监控。
无客户端,仅通过网关的话,不带 https 的都能记录,带 https 的可以通过 DNS 记录一些。 IM 软件聊天内容都是加密的,不过在线状态还是可以获取的,比如登录帐号之类的。另外,QQ 群聊发图之类的走的是 HTTP 可以被记录。 开代理虽然可以隐藏信息,但是仍然可以被发现开代理的行为。 如果你真的很在意,应该使用自己的手机,并且用移动网络上网。单纯的想规避监管是不现实的,因为监管不到的话也是会找你麻烦的。 |
34
Chieh 2017-09-11 19:58:26 +08:00 via Android
会不会是单纯摄像头
|
35
rebeccaMyKid OP @tomczhen 感谢
|
36
freed 2017-09-11 20:04:13 +08:00 via Android 1
关于 26 楼,可以用 ip 雷达,或者系统自带的资源监视器应该也可以
|
37
18725769609 2017-09-11 20:07:04 +08:00 via Android
重装系统吧 简单粗暴
|
38
AEANWspPmj3FUhDc 2017-09-11 20:07:47 +08:00
还是重装系统彻底。
|
39
rebeccaMyKid OP @18725769609 如果软件不是装在 C 分区呢?重装系统是指把其它分区也都格式化掉吗?
|
40
ProjectAmber 2017-09-11 20:36:50 +08:00
在学校 NIC 兼职过,微信直接就能解密,不需要在你本地动什么手脚。
|
41
freed 2017-09-11 20:37:26 +08:00 via Android
@rebeccaMyKid 不在 c 分区,除非他感染了全盘文件,否则重装了系统他也无法自己再运行起来了…如果感染了文件,运行那些文件会再次运行那个程序…不过公司监控又不是木马,不可能感染其他文件吧…
|
42
yan5990853 2017-09-11 20:46:24 +08:00 via Android
我会和交心的同事说:不要我在公司干私事。
|
43
key 2017-09-11 21:09:57 +08:00
会不会是公司里布置的高清摄像头直接摄你们的屏幕?
|
44
rebeccaMyKid OP @key 公司就几个摄像头,装在哪里比较清楚。看摄像头不如直接装监控,反正电脑都是自己的。
|
45
lyhiving 2017-09-11 22:02:10 +08:00 via Android
Windows 还是会有很多东西,建议重装
|
46
rashawn 2017-09-11 23:39:53 +08:00 via iPhone
为啥要在电脑上用微信…
|
47
cxbig 2017-09-11 23:57:24 +08:00
V2 的风格不是应该说“换个工作”么。。。
|
48
cisisustring 2017-09-11 23:59:16 +08:00
全盘格式化,然后重新分区装新系统。
技术上防监控不难,难的是监控不到你找你谈话,要你自己”主动“安装监控软件。 结论:这种对员工监控的行为一开始问清楚,不同意就不要入职。 |
49
hanqian 2017-09-12 00:15:38 +08:00
换个工作
|
50
doubleflower 2017-09-12 00:20:46 +08:00 via Android
https 也是可以监控的
|
51
shuirong1997 2017-09-12 00:42:32 +08:00 via Android
@ProjectAmber 能多说些吗
|
52
wellsc 2017-09-12 00:49:32 +08:00
深信服貌似有监控的硬件,可以监控上网记录
|
53
just1 2017-09-12 01:12:41 +08:00 via Android
走公司网关你就可以被监控。深信服
|
54
3500333 2017-09-12 01:14:59 +08:00 via iPhone
还记得灰鸽子吗?
|
55
JamesR 2017-09-12 03:49:57 +08:00 2
|
56
datocp 2017-09-12 06:29:49 +08:00 via Android
workwin。。。以前公司推广的就是这个,当时我在公司内部论坛曝了一下侵犯个人隐私,那几个论坛管理员还说不怕无所谓之类的,但很快公司就让这个软件消失了。
接着上场网康行为管理设备,很多公司领导对这些设备是什么用途,如何使用,如何监督使用根本不懂。最终花了大价钱,却被网管用来监控他们隐私搞笑,事发后直接开除,可惜人家早已经掌握大量隐私,清空设备上的设置,无事身退。 真不知道装这些设备的公司领导怎么想的。还有神经病天天看监控视频的,在这种公司还是早离职好。 |
57
slack 2017-09-12 07:59:08 +08:00 via Android
Linux 的 live cd 能否启动?
|
58
gimp 2017-09-12 08:49:31 +08:00
没有什么是重装 windows 解决不了的
如果有,那就换用 Linux |
59
mosliu 2017-09-12 08:50:54 +08:00
全局挂代理吧。
|
60
murmur 2017-09-12 09:12:08 +08:00
windows 加域之后想搞什么就搞什么
所以换自己电脑不就可以了么 |
61
rebeccaMyKid OP 算了算了,这不是我等屁民能解决的。电脑是同事的,你让人家重装人家说不定嫌麻烦。
反正我是不敢跟其他任何同事讨论一点私人话题了。。这种感觉,你们想象一下。。 我觉得好几个员工都对老板有这样的猜疑和想法,这公司呆得没意思,有点人心惶惶的感觉,我自己的都怕,不是说马上要走,有机会的话,就换吧。。 |
62
rebeccaMyKid OP 散了散了
|
63
voidtools 2017-09-12 09:23:16 +08:00
问题:咱公司肯定是装了的。如何嗅探出是什么方案,什么软件,什么版本呢?
|
64
oska874 2017-09-12 09:28:33 +08:00
坑能是你聊天时间太长了,所以经历每次叫你的时候,你都是在聊天。
迫害妄想症。 |
65
rebeccaMyKid OP @oska874 叫的不是我啊。你想想如果你其他同事装了,你还敢跟他们聊私人话题吗?
|
66
missdeer 2017-09-12 09:46:23 +08:00 1
1. 可以,即使 https 也有 SNI 呢
2. 可以。我家那位待过的上家公司的办公室斗争跟谍战片一样,一个老大叫 IT 部门的人监控获取了另一个老大的微信聊天截屏,然后搞下去了。。。。 |
67
rebeccaMyKid OP @voidtools 对啊,就没人回我这个。
|
68
natforum 2017-09-12 09:57:00 +08:00
杀毒是查不出来的,一般这类都是免杀,你可以看看异常的 tcp 端口,还有异常的服务
|
69
ytpfxnj 2017-09-12 10:05:45 +08:00
wireshark 抓包,看看有没有局域网内大量到数据传输
|
70
ic2y 2017-09-12 10:07:44 +08:00
@rebeccaMyKid 如果是公司发的电脑,看看里面有没有安装 自签的证书。
|
72
kingda 2017-09-12 10:53:51 +08:00
以前在深圳一个广告公司,域+屏幕截图!
|
73
7colcor 2017-09-12 11:46:45 +08:00
正常,我们公司都有装。
同事直接问老大,这是个什么东西 |
74
rebeccaMyKid OP @7colcor 你们装的是什么?我连有没有“这个东西”都不知道。
|
75
rebeccaMyKid OP @kingda 装的是什么?
|
76
rebeccaMyKid OP @ic2y 证书太多了,这个不实用
|
77
243205964 2017-09-12 13:24:56 +08:00 via Android
有没有可能是办公室有监控器能看到你朋友的电脑屏幕?
|
78
kingda 2017-09-12 13:38:16 +08:00
@rebeccaMyKid 网上找一个易语言源码修改的!
|
79
jane35622 2017-09-12 13:46:08 +08:00 via Android
有太正常了,公司花钱买你的时间是让你干活的,不是让你玩耍的。直接重装最靠谱,问题重装之后上面会不会找你?因为如果有监控的话,突然监控没了就。。。。
|
80
vigoss 2017-09-12 13:47:44 +08:00
重装系统并不能解决啊,老板发现他监控不了你的系统了不就又找你谈话了么?此事无解好么?离职吧。
|
81
niuoh 2017-09-12 14:10:28 +08:00
我工作系统用 ubuntu 建议楼主可以用这个办法
|
82
timwei 2017-09-12 14:13:05 +08:00
Wireshark 抓包阿
|
83
moonkiller 2017-09-12 14:23:56 +08:00
你不知道小米路由器最新版的 app,可以直接查看手机上 app 的使用时长吗--
|
84
rebeccaMyKid OP @moonkiller。。嗯,我已经学乖了,手机不连公司 wifi 了。
|
85
rebeccaMyKid OP @timwei 对,这个可以试试,说不定就看到发的截图了。
|
86
rebeccaMyKid OP |
87
SlipStupig 2017-09-12 17:07:12 +08:00
要监控你真的非常容易,替换根证书 HTTPS 流量基本上透明,路由上全局流量,截屏 /键盘记录,录音,摄像头等等这些玩烂了的东西只有你想不到,没有做不到,你想找进程,通过链路表查看,完全可以让你找不到。不要存有侥幸,电脑本来就是公司的,而且上班时间不要用公司的电脑,干私人的事情本来就不对,别想着绕过。
处理私人的事情用自己的设备,不要用公司的任何网络,顺带说一下你哪怕用移动网络依然不安全,所以我建议的事情,下班了再去干 |
88
woyaojizhu8 2017-09-12 17:47:16 +08:00
@ProjectAmber #40 微信是明文发送,还是加密手段比较简单,容易破?
|
89
Osk 2017-09-12 18:04:10 +08:00
|
90
Osk 2017-09-12 18:06:48 +08:00
建议楼主同事不要去折腾了,带个平板或者自己的电脑去用吧,现在电信联通的无限流量还算能接受的价格,这根本不是技术能解决的问题
|
91
rebeccaMyKid OP |
92
SlipStupig 2017-09-12 18:56:39 +08:00 1
@rebeccaMyKid 15 年前就没有进程了,用 dll 注入就没有进程,只有一个 dll 驻留在进程空间里面,如果是 shellcode 注入,连 dll 都没有,而且全局 Hook 直接可以隐藏进程,恐怕你要失望......如果是 bootkit 你重装系统都没用,这个事情说了不要反抗,毫无意义
|
93
rebeccaMyKid OP @SlipStupig 小公司小公司……用不了这么高深的东西。我去问过几家百度搜到的,反馈都是有进程的。
|
94
7colcor 2017-09-13 11:22:19 +08:00
@rebeccaMyKid 网络哨兵还是网络卫士,不知道怎么装上去的。我们是偶然发现的。
这个软件挺出名 |