This page has been robot translated, sorry for typos if any. Original content here.

Unter der Aufsicht ... "oder Vs Admin (LAN-Version)

Unabhängig davon, wo Sie ins Internet gehen, Sie können überwacht werden, ob Sie ein Gebäude sind. Dies kann durch Verstärken von Trojanern (Programmen wie "Trojanisches Pferd") zur Ermittlung Ihrer Passwörter geschehen, wenn Sie sich in einem Internetcafé, in einer Computerklasse oder bei der Arbeit befinden usw. Systemherrscher können auf Sie aufpassen, dies sind Personen, die sich um lokale Netzwerke kümmern, in der Regel ist ihr Aufenthalt nicht wahrnehmbar, aber manchmal werden sie einfach unverschämt. Sie meinen, wenn sie Administratoren sind, ist ihnen alles möglich. Was kann bla bla admin tun? Als wir noch im ersten Jahr lernten, war ich oft in einer Computer-Klasse, hatte gerade plaudert, aber es gab ein Problem: "Es ist verboten, auch zu plaudern", aber was gibt es sonst noch? :) Nach mehreren nicht schlüssigen :) Admin fordert den Chat zu schließen, etwas Seltsames begann: Die Maus selbst begann sich zu bewegen, auch die Fenster zu schließen, manchmal wurde auch der Text "All Freaks" in den Chat in das Texteingabeformular eingegeben, dann wurde der Computer einfach ausgeschaltet Lächle glücklich Wir sind einfach durchgeknallt, zweifellos haben alle gemerkt, dass die Admins "Witze" machen, aber nichts tun konnten ... In diesem Artikel werden wir schreiben, wie man herausfindet, ob sie dich beobachten oder nicht, die IP-Adresse dieses "Schlauen" und so bla bla, ob jemand da ist über ein lokales Netzwerk (LAN - Local Area Network) kamen Sie auf Ihre Festplatte.

Was kann Sis Admin tun?
Wenn Sie beispielsweise eine Kopie Ihres Bildschirms sehen möchten, übernehmen Sie die gesamte Computersteuerung, d. H. Schalten Sie sie sogar aus :) blah blah alle von Ihnen eingegebenen Passwörter herausfinden ... letzteres darf vom Benutzer unbemerkt ausgeführt werden :) All dies geschieht mit Hilfe spezieller Programme für die Remote-Verwaltung, z. B. Remote Administrator (Radmin) usw., die Trojaner gehören auch zu den Programmen für die Remote-Verwaltung und alles, was unten beschrieben ist, so dass das Blah auf sie zutrifft . Diese Programme arbeiten nach dem "Client-Server" -Prinzip. Der Clientanteil des Programms ist für den Verwalter festgelegt, und der Server arbeitet für den Verwalter unmerklich. Normalerweise wird der Server beim automatischen Laden auch in Verbindung mit Windows gestartet. Beim Laden beginnt der Server mit dem Abhören eines bestimmten Ports, d. H. Er wartet auf eine Verbindung an diesem Port, aber derjenige, der den Client hat, um eine Verbindung mit dem "Opfer" herzustellen, gibt die IP-Adresse auch den Port ein (den der Server abhört), nach dem er auf "Verbinden" klickt ... Um herauszufinden, welche Ports offen sind, können Sie dies tun Sehen Sie sich einfach alle aktiven Verbindungen an, zum Beispiel mit Internet Maniac, im Menü "SNMP"> "Aktive Verbindungen". So sieht der Remote-Administrator-Server aus. Standardmäßig verlangsamen die Verbindungen auf Port 4899 die Einstellungen in den Einstellungen: dieses " HÖREN "

Sie können Standard-Windows-Dienstprogramme verwenden. Führen Sie im Menü "Programme" die MS-Dos-Sitzung aus und geben Sie "netstat -a" ohne Anführungszeichen ein. Das Format des Ausgabeergebnisses lautet: " Name Ihres Computers: Name des Remote-Computers des Computers: Status der Anschlussverbindung " Sie müssen alle bestehenden Verbindungen in numerischer Form anzeigen, jedoch nicht in Form von Namen. Geben Sie dann netstat -n ein.

Wenn der Kunde eine Verbindung mit dem von mir installierten Server hergestellt hat, sieht das folgendermaßen aus:

Wie Sie sehen, ist ein Benutzer mit der IP-Adresse XXX.168.1.25 an meinen Computer angeschlossen (der Verbindungsstatus lautet ESTABLISHED- die Vereinigung ist hergestellt).

Hinweis : Zum Zeitpunkt der Überprüfung sollten alle Netzwerkprogramme geschlossen sein: Internet Explorer, ICQ, E-Mail-Programme ...

Bestimmen Sie den Zeitpunkt der Verbindung
Wenn Sie wissen möchten, wann die Verbindung zu Ihnen hergestellt wird, ist die IP-Adresse auch der Name des Computers im Netzwerk. Verwenden Sie Attacker. Er überwacht die angegebenen Ports auch, wenn Sie versuchen, eine Verbindung herzustellen :) Wenn Sie beispielsweise unter den aktiven Verbindungen sehen können, dass die Anwendung auf Port 4899 (Radmin) „hört“, müssen Sie das Attacker-Programm nehmen und diesen Port hinzufügen (in TCP), um ihn zu überwachen. Wenn Sie eine Verbindung herstellen, werden Sie vom Prog benachrichtigt (Verbindung) es wird in keiner Weise installiert). Auf der Haut sehen Sie um 13:51:17 von der IP-Adresse: XXX.168.1.177, dass versucht wurde, eine Verbindung zu Port 4899 herzustellen, dem Namen des Remote-Computers im Netzwerk: YURI.

Wenn einer der Benutzer des lokalen Netzwerks auf Ihre Festplatte "geklettert" ist, befinden sich die Verbindungen auf Port 139 ( nbsession ). Auf der Skin sehen Sie, dass der Benutzer mit der IP-Adresse XXX.168.1.25 über die Netzwerkumgebung mit meinem Computer verbunden ist :) Das Programm Internet Maniac kann anstelle der Portnummer den Namen des diesem Port zugewiesenen Dienstes veranschaulichen. In diesem Fall handelt es sich um den NBS-Port 139.

Scannen Sie einen Remote-Computer
Wenn einige Netzwerkdienste auf dem Computer ausgeführt werden, öffnen sie Ports, d. H. Nach dem Scannen der Ports auf dem Remote-Computer kann man sehen, welche davon offen sind. Das Skin zeigt das Ergebnis des Scannens des Computers an, auf dem der Radmin-Programm-Server installiert ist (Standardport: 4899). Ie Wenn Sie beim Scannen einen offenen Port 80 gesehen haben, bedeutet dies, dass dort ein Webserver installiert ist, wenn 3218, 8080 oder 80, dann ist dies höchstwahrscheinlich ein Proxyserver ...

So können Sie feststellen, ob das Programm installiert ist oder nicht
Wenn Ihre Ports offen sind (Status LISTEN oder ESTABLISHED) und überhaupt keine Netzwerkprogramme ausgeführt werden, ist dies möglicherweise ein Server des Fernsteuerungsprogramms. Versuchen Sie, alle laufenden Programme (CTRL-ALT-DELETE) zu überwachen, wenn Sie nichts tun gefunden (oft sind die Programme speziell so erstellt, dass sie nicht gesehen werden können), ist es erlaubt, einen Task-Manager zu verwenden, der alle laufenden Anwendungen wie Process Wiewer, Task Meneger zeigt ... jetzt darf jedes Programm entladen werden. Wenn die Assoziation hergestellt wurde, wird die Verbindung unterbrochen ich

Kennwörter kennen
Um Kennwörter herauszufinden, können Admins mehrere Methoden verwenden. Die einfachste Methode ist die am häufigsten anzutreffende Verwendung von Keyloggern, d. H. Programme, die alle Tastatureingaben aufzeichnen, der bekannteste ist hookdump95, in der Regel werden ähnliche Programme mit Antivirenprogrammen belegt, aber wer kann aufhören, eigene zu schreiben?

PS: Bisher habe ich Screenshots des Artikels gemacht, der Administrator hat meine Diskette aufgeräumt, die sich zu diesem Zeitpunkt im Diskettenlaufwerk befand, aber das Semester eines anderen war dran ... auch wer ist er später?