چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - نسخهی قابل چاپ +- باشگاه کاربران روماک (https://forum.romaak.ir) +-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3) +--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5) +--- موضوع: چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود (/showthread.php?tid=1609) |
چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - saberi - ۹۵/۷/۱۴ اگر احساس میکنید که کامپیوترتان مانیتور میشود، با چند ترفند ساده میتوانید مطمئن شوید که واقعا کامپیوترتان مانیتور میشود یا خیر. اول از همه، مانیتور کردن کامپیوتر یعنی اینکه آنها میتوانند تمام کارهایی که با کامپیوترتان انجام میدهید را در آن لحظه مشاهد کنند. کارهای اولیهای که باید انجام دهید از این قرار است، سایتهای porn را مسدود کنید، فایلهای ضمیمه را حذف کنید، اسپمها را قبل از اینکه به inbox تان منتقل شوند مسدود کنید و غیره. که البته اینها در جهت حذف مانیتورینگ نیست بلکه بیشتر شبیه فیلتر کردن هست.
قبل از اینکه وارد بحث اصلی بشویم باید نکته مهمی را بگوییم، اگر در یک محیط کاری هستید و فکر میکنید که کامپیوترتان مانیتور میشود باید فرض را بر این بگذارید که آنها تمام کارهایی را که با کامپیوتر انجام میدهید میبینند. و همچنین فرض را بر این میگذارید که قادر نخواهید بود نرم افزاری که تمام وقایع را ذخیره میکند پیدا کنید. در محیط کاری، کامپیوترها، شخصی سازی و پیکربندی میشوند و تقریبا به هیچ وجه نمیتوانید هیچ نرم افزار ذخیره کنندهای را پیدا کنید مگر اینکه هکر باشید.
مانیتورینگ کامپیوتر بااین حال اگر فکر میکنید کسی جاسوسی شما را میکند، با مطالعه این متن میفهمید که چه کار باید کنید! آسانترین و ساده ترین راه این است که شخصی بتواند به صورت ریموت وارد کامپیوترتان شود.
یک نکته مثبت در مورد ویندوز وجود دارد، اینکه وقتی یک نفر به کامپیوتر لاگین کرده است، این سیستم عامل به صورت همزمان اتصالات دیگر به این کامپیوتر را پشتیبانی نمیکند (البته راه میانبری هم وجود دارد که کار هر کسی نیست ). این بدین معناست که وقتی شما به ویندوز xp, 7 یا 8 وصل شده باشید و شخصی بخواهد توسط ویژگی BUILT-IN REMOTE DESKTOP ویندوز به کامپیوترتان وصل شود، صفحه نمایشتان قفل خواهد شد و اعلام میکند که چه کسی به کامپیوترتان وصل شده است.
در نتیجه افرادی که بخواهند سیستم عاملهای ویندوز را مانیتور کنند، باید از نرمافزارهای دیگری استفاده کنند (third-party) و شناسایی نرم افزارهای مانیتورینگ سخت تر میشود.
اگر ما دنبال نرم افزارهای third-party در کامپیوترمان بگردیم ( معمولا به عنوان نرم افزار از راه دور یا نرم افزار محاسبات شبکه مجازی (VNC) شناخته میشود) باید از ابتدا شروع کنیم. معمولا اگر کسی این نوع نرم افزار را روی کامپیوترتان نصب کند، مجبور است این کار را وقتی انجام دهد که شما پشت کامپیوترتان نیستید و مجبور است که کامپیوترتان را restart کند. بنابراین اولین سرنخی که میتوانید بدست آوردید این است که کامپیوترتان خود به خود restart شده بدون اینکه شما این کار را انجام داده باشید.
دومین کار این است که به Start Menu – All Programs بروید و کنترل کنید که آیا همچین نرم افزارهایی VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC و غیره روی سیستمتان نصب شده اند یا خیر. بعضی اوقات سیستم کاربران نامرتب هست به طوریکه یک کاربر معمولی متوجه نمی شود که چه نرم افزاری اضافه شده است و خیلی ساده آن را نادیده میگیرد. اگر یکی از این برنامهها نصب شده باشد، یعنی شخصی میتواند بدون اینکه شما متوجه شوید به کامپیوترتان وصل شود البته زمانیکه آن برنامه در پس زمینه سیستمتان به عنوان یک سرویس ویندوز در حال اجرا باشد.
و نکته سوم اینکه اگر یکی از نرم افزارهای بالا نصب شده باشند معمولا آیکون آن روی نوار وظیفه نشان داده میشود زیرا باید به طور مداوم در حال اجرا باشد.
تمام آیکنها را کنترل کنید (حتی آنهایی که مخفی هستند) و ببینید که چه چیزی در حال اجرا است. اگر به چیزی برخورد کردید که تا حالا آن را ندیده بودید، در گوگل آن را جستجو کنید و ببینید مربوط به چه چیزی است. برای نرم افزارهای مانیتورینگ خیلی ساده است که آیکونشان را در نوار وظیفه مخفی کنند. بنابراین اگر شما چیز غیر معمولی در نوار وظیفه ندیدید دلیلش این نیست که نرم افزار مانیتورینگ روی سیستمتان نصب نشده است. اگر در مسیرهای معمولی سیستمتان چیزی ندیدید، در ادامه مطلب راههای دیگر را بررسی میکنیم.
پورتهای فایروال را بررسی کنید
برنامههای third-party باید برای اتصال به ویندوز از پورتهای (درگاه) ارتباطی متفاوتی استفاده کنند. پورتها به سادگی یک ارتباط مجازی داده هستند که کامپیوتر به وسیله آن اطلاعات را به صورت مستقیم به اشتراک میگذارد. همانطور که میدانید ویندوز درون خودش یک فایروال دارد که به دلایل امنیتی خیلی از پورتها را برای ورود مسدود میکند. اگر شما نیازی به FTP (پروتکلی برای انتقال فایل) ندارید پس چرا پورت 23 را باید باز بگذارید، اینطورنیست؟
بنابراین اگر برنامههای third-party بخواهند به کامپیوترتان وصل شوند باید از یک پورتی که روی کامپیوترتان باز است وارد شوند. برای اینکه تمام پورتهای باز را کنترل کنید به مسیر Start, Control Panel, and Windows Firewall بروید و سپس از قسمت سمت چپ روی گزینه Allow a program of feature through Windows Firewall کلیک کنید.
در اینجا شما لیستی از برنامهها را به همراه کادر انتخاب در کنارشان میبینید. آنهایی که انتخاب شدهاند باز هستند و آنهایی که انتخاب نشدهاند بسته هستند. لیست برنامهها را مشاهده کنید اگر برنامهای به نظرتان ناآشنا هست و یا منطبق با برنامههای VNC یا از راه دور و غیره هست، میتوانید آنها را از حالت انتخاب خارج کنید تا مسدود شوند. بررسی اتصالات خروجی
متاسفانه این موضوع کمی پیچیده است. در بعضی از موارد، ممکن است یک اتصال ورودی (incoming connection) وجود داشته باشد، اما در بسیاری از موارد، نرم افزارهای نصب شده روی کامپیوترتان اتصال خروجی به سرور دارند و در ویندوز تمام اتصالهای خروجی مجاز هستند، به این معنی که چیزی مسدود نیست. اگر تمام نرم افزارهای جاسوسی اطلاعات را ذخیره کنند و به سرور بفرستند، آنها در حال استفاده از یک اتصال خروجی هستند و در نتیجه چیزی در لیست فایروال نشان داده نخواهد شد. چون ارتباط آنها با سرورشان از کامپیوتر شما به بیرون است نه از بیرون به کامپیوتر شما.
برای شناخت همچین برنامههایی باید اتصالات خروجی از کامپیوترمان به سرورها را ببینیم. راههایی زیادی برای این کار وجود دارد که یک یا دو مورد از آنها را میگوییم. در اول این بحث گفتیم که کمی پیچیده است چون ما با یک نرم افزار خیلی پنهانی روبرو هستیم و به راحتی نمیشود آن را پیدا کرد.
TCPView
ابتدا، برنامهای به اسم دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
را از ماکروسافت دانلود کنید، فایل بسیار کوچکی هست و نیازی به نصب هم ندارد، فقط آن را unzip کنید و دوبار روی آن کلیک کنید تا برنامه TCPView باز شود. پنجره اصلی آن این شکلی است. در واقع این برنامه تمام اتصالات کامپیوتر شما به دیگر کامپیوترها را نشان میدهد. در ستون زیر process برنامههایی که در حال اجرا هستند را نشان میدهد مثل کروم ، دراپ باکس و غیره. ستونهای دیگری که باید آنها را بررسی کنیم Remote Address و State هستند. بر اساس ستون State اطلاعات را مرتب کنید و تمام پردازشهایی که در وضعیت ESTABLISHED هستند را بررسی کنید. Established به این معناست که در حال حاضر یک اتصال باز وجود دارد. توجه داشته باشید که نرم افزارهای جاسوسی همیشه به سرورهای remote وصل نیستند پس ایده خوبی هست که این برنامه را باز بگذارید و هر پردازش جدیدی که در وضعیت ESTABLISHED قرار میگیرد را مانیتور کنید. کاری که باید انجام دهید این است که در لیست پردازشها، آن مواردی که نمیشناسید را فیلتر کنید. مثلا پردازش کروم و دراپ باکس موردی ندارند. ولی openvpn.exe و rubyw.exe چطور؟ خوب در سیستمم از VPN برای اتصال به اینترنت استفاده میکنم بنابراین این پردازشها برای سرویس VPN هستند. VPN یک نرم افزار جاسوسی نیست پس نگران آن نباشید. وقتی یک پردازش را جستجو میکنید بلافاصله میتوانید متوجه شوید که آیا این پردازش امن هست یا خیر. هر سرویسی را که نمیشناسید در گوگل جستجو کنید و از آن اطلاعات بدست بیاورید.
موارد دیگری که باید بررسی کنید ستونهای Sent Packets و Sent Bytes و غیره که در سمت راست هستند میباشد. اطلاعات را بر اساس Sent Bytes مرتب کنید و بلافاصله متوجه میشوید که چه پردازشی بیشترین اطلاعات را از کامپیوترتان ارسال کرده است. اگر کسی کامپیوترتان را مانیتور کند پس باید اطلاعات را به جایی ارسال کند، هر چقدر پردازش به صورت پنهانی باشد شما میتوانید آن را در اینجا ببینید.
Process Explorer برنامه دیگری که میتوانید برای پیدا کردن پردازشهای در حال اجرا روی کامپیوترتان از آن استفاده کنید برنامه دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
محصول مایکروسافت است. زمانیکه آن را اجرا میکنید، اطلاعات زیادی در مورد پردازشهای والد و پردازشهای زیر مجموعه آن بدست میآورید. Process Explorer بسیار عالی است زیرا به VirusTotal وصل میشود و میتواند اعلام کند که بدافزاری را تشخیص داده یا نه. برای استفاده از این ویژگی به مسیر Options, VirusTotal.com بروید و گزینه Check VirusTotal.com را انتخاب کنید. که وب سایت خودش را باز میکند تا TOS (نحوه و مدت خدماتی که سرویسی به کاربرانش میدهد) را بخوانید، آن را ببندید و روی کادر محاورهای که در برنامه باز شده است گزینه Yes را انتخاب کنید. وقتی این مراحل را طی کردید، یک ستون جدید اضافه میشود که آخرین میزان تشخیص اسکن برای بسیاری از پردازشها را نشان میدهد. این برنامه قادر نیست که مقداری برای تمام پردازشها بگیرد، اما بهتر از هیچی است. برای پردازشهایی که مقداری ندارند آنها را در گوگل جستجو کنید. برای پردازشهایی که مقدار دارند، آن باید به صورت 0/XX باشد، اگر مقدار اول آن 0 نباشد آن پردازش را در گوگل جستجو کنید یا روی شمارهای که توسط وب سایت VirusTotal برای آن پردازش گرفته شده است کلیک کنید. یک راه دیگر این است که اطلاعات را بر اساس Company Name مرتب کنید و هر پردازشی که متعلق به شرکت خاصی نبود، آن را در گوگل جستجو کنید. به هر حال با این برنامهها شما باز هم نمیتوانید تمام پردازشها را ببینید. روت کیتها
برنامههایی وجود دارند به نام rootkit که حتی دو برنامه اسکنی که در بالا معرفی کردیم قادر به دیدن rootkit ها نیستند. اگر در هنگام کنترل کردن پردازشها مورد مشکوکی ندیدید. باید از ابزار قویتری استفاده کنید. یک ابزار خوب دیگر از ماکروسافت دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
نام دارد که البته خیلی قدیمی است. یکی دیگر از ابزارهای ضد rootkit، برنامه دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
است و دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. هم ابزار محبوب دیگری است. پیشنهاد میکنیم که این ابزارها را نصب و اجرا کنید. اگر آنها موردی پیدا کردند، آن را پاک کنید و یا به هر طریقی که خودشان اعلام میکنند آن را حذف کنید. علاوه بر این، شما باید anti-malware و نرم افزار ضد ویروس را هم نصب کنید. بسیاری از این نرم افزارهای پنهانی که افراد یا کاربران استفاده میکنند بدافزار یا ویروس هستند، بنابراین اگر از ضد بدافزارها و آنتیویروسها استفاده کنید میتوانید آنها را پاک کنید. اگر موردی را تشخیص دادند آن را در گوگل جستجو کنید تا بفهمید که آیا نرم افزار مانیتورینگ بوده است یا خیر. ایمیل و وب سایت مانیتور شده
کنترل کردن ایمیلتان که آیا مانیتور می شود، نیز پیچیده است. وقتی شما یک ایمیل از Outlook یا هر سرویس ایمیل دیگر، ارسال میکنید ، آن همیشه به یک سرور ایمیل وصل میشود. حالا میتواند مستقیم به سرور وصل شود یا از طریق پراکسی سرور وصل شود. که درخواستی را میگیرد، آن را تغییر میدهد یا کنترل میکند و به یک سرور دیگر ارسال میکند.
اگر شما از پراکسی سرور برای ایمیل و وب گردی استفاده میکنید، صفحات وبی که بازدید میکنید و همچنین ایمیلهایی که مینویسید ذخیره میشوند و میتوانند بعدها خوانده شوند. در ادامه مطلب میتوانید این مورد را بررسی کنید. برای مرور گر IE به Tools-Internet Options بروید، روی برگه Connections کلیک کنید و LAN Settings را انتخاب کنید.
اگر پراکسی سرور انتخاب شده باشد و IP آدرس محلی و شماره پورت داشته باشد. به این معنی است که درخواست شما قبل از اینکه به وب سرور برسد از یک سرور محلی عبور میکند. یعنی هر وب سایتی که مشاهده میکنید اول از یک سرور دیگر عبور میکند، میتواند آدرسی را بلاک کند و یا سایت فیلتر شده ای را به شما نشان دهد و همچنین IP شما مخفی بماند و البته اطلاعاتی از شما در خودش نگاه دارد. تنها زمانی اطلاعاتی که ارسال میکنید امن خواهد بود که از پروتکل SSL استفاده کنید (یعنی آدرس با HTTPS شروع شود) یعنی هر چیزی که از کامپیوترتان به سرور ارسال میکنید به صورت رمز شده است. حتی اگر شرکت تان تمام دادههای رد و بدل شده را ضبط میکند آن به صورت رمزگذاری خواهد بود. و میتوانیم بگوییم که تا حدی امن هست. تا حدودی امن است زیرا اگر نرم افزار جاسوسی روی کامپیوترتان نصب شده باشد میتواند کلماتی که در این سایتهای امن تایپ میکنید را ضبط کند. به عنوان نمونه ایمیلی که مینویسد و یا رمز عبورتان و … هر چیزی که در این سایتها بنویسید توسط نرمافزارهای جاسوسی که در کامپیوترتان نصب شده است ضبط میشوند. برای ایمیلهای تجاری نیز IP آدرس محلی برای سرویس دهنده POP و SMTP را کنترل کنید. برای بررسی در Outlook به مسیر Tools, Email Accounts بروید و روی Change or Properties کلیک کنید و مقادیری برای سرور POP و SMTP پیدا کنید. متاسفانه در محیط شرکتها، سرور ایمیل محلی است و در نتیجه ایمیلهایتان قطعا مانیتور میشود حتی اگر از پراکسی هم عبور نکنند.
وقتی در محل کار هستید باید درهنگام نوشتن ایمیل و وب گردی همیشه محتاط باشید. اگر تلاش کنید که سیستم آنها را دور بزنید تا امنیت خودتان را تامین کنید و آنها بفهمند موجب دردسرتان میشود. به هر حال اگر میخواهید فعالیتهای وب گردی و ایمیلتان امن باشد از VPN (دسترسی به اینترنت به صورت محرمانه) استفاده کنید. اما قبل از نصب VPN مطمئن باشیدکه کامپیوتر شما مانیتور نمیشود.
RE: چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - soraya - ۹۵/۷/۱۴ بسیار مفید بود RE: چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - p.em - ۹۵/۷/۱۶ ممنون، مفید بود Sent from my LenovoA3300-GV using Tapatalk RE: چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - saberi - ۹۵/۷/۱۷ متشکرم موفق باشید RE: چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - ms.khassi - ۹۵/۷/۱۷ عالی بود مثل همیشه سپاسگزارم RE: چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود - saberi - ۹۵/۷/۱۸ سپاسگزارم از شما |