This page has been robot translated, sorry for typos if any. Original content here.

Unter Überwachung ... "oder Vs Admin (LAN-Version)

Unabhängig davon, wo Sie im Internet "ausgehen", können Sie überwacht werden, ob Sie ein Gebäude sind, das mit Hilfe von Trojanern (Programme wie "Trojanisches Pferd") arbeiten kann, um Ihre Passwörter zu ermitteln, sei es in Internetcafés, in einer Computerklasse, bei der Arbeit usw. Du kannst von Systemherrschern beobachtet werden, das sind Leute, die sich um lokale Netzwerke kümmern, normalerweise ist ihr Aufenthalt unsichtbar, aber manchmal werden sie einfach unverschämt, sie denken, wenn sie Admins sind, dann können sie nichts tun, blah, kann der Administrator das tun? Als wir noch im ersten Jahr waren, haben wir oft in der Computerklasse aufgelegt, nur gequatscht, aber es gab ein Problem, wir haben "Es ist verboten zu chatten auch spielen", aber was gibt es sonst noch zu tun? :) Nach ein paar ergebnislos :) Anfragen von Administratoren, um den Chat zu schließen, etwas Seltsames begann: Die Maus selbst begann sich zu bewegen auch die Fenster zu schließen, manchmal sogar in Form von Texteingabe in den Chat getippten Text "Alle Freaks" wurde auch an den Chat gesendet, dann der Computer gerade ausgeschaltet Lächeln glücklich Wir haben einfach nur abgefuckt, ohne Zweifel haben alle gemerkt, dass diese Admins "Scherz" sind, aber nichts tun können ... In diesem Artikel werden wir schreiben, wie man herausfinden kann, ob man beobachtet wird oder nicht, die IP-Adresse dieses "schlauen Kerls" -So im lokalen Netzwerk (LAN-Local Area Network) kam zu dir auf der Festplatte.

Was kann Sis Admin tun?
Zum Beispiel, um eine Kopie Ihres Bildschirms zu sehen, vollständig abfangen die Kontrolle des Computers, dh sogar heruntergefahren :) Auch zu diesem bla bla, um alle Kennwörter herauszufinden, die du eingibst ... das Letztere darf vom Benutzer unmerklich gemacht werden :) All das geschieht mit Hilfe spezieller Programme für die Fernverwaltung, zum Beispiel: Fernadministrator (Radmin), usw., gehören auch zu Fernsteuerungsprogrammen, und alles, was unten beschrieben wird, passt gut zu ihnen . Die Daten des Programms arbeiten auf der Basis des "Client-Server" -Prinzips. Der Client-Anteil des Programms wird von demjenigen installiert, der es verwaltet, und der Server arbeitet ruhig mit der Person, die kontrolliert wird. Normalerweise wird der Server, der beim Start registriert wird, auch zusammen mit Windows gestartet. Beim Booten startet der Server "Play" einen bestimmten Port, d.h. Es wartet auf eine Verbindung an diesem Port, aber der, mit dem der Client die IP-Adresse mit dem Port verbindet (der Server, den der Server überwacht), drückt später "Connect" ... Um herauszufinden, welche Ports offen sind, können Sie Sehen Sie sich nur alle aktiven Verbindungen an, die Internet Maniac verwenden, im Menü "SNMP"> "Aktive Verbindungen" sieht der Server des Remote Administrators so aus (Standard), er verlangsamt die Verbindungen am 4899 Port, die Einstellungen erlauben das Ändern des Ports: dieses " HÖREN "

Sie können die Standard-Windows-Dienstprogramme verwenden, im Menü "Programme" "MS-DOS Seanas" ausführen und "netstat -a" ohne Anführungszeichen eingeben;) Format der Ausgabe: " Name Ihres Computers: Port-Name des Remote-Computers: Port-Verbindungsstatus " If Es ist notwendig, alle Verbindungen in numerischer Form zu sehen, aber geben Sie als Namen netstat -n ein.

Wenn der Kunde mit dem Server verbunden ist (von mir installiert), sieht es so aus:

Wie Sie sehen können, ist ein Benutzer mit der IP-Adresse XXX.168.1.25 mit meinem Computer verbunden (der Verbindungsstatus ist auf ESTABLISHED-association gesetzt).

Hinweis : Zum Zeitpunkt der Überprüfung sollten alle Netzwerkprogramme geschlossen werden: Internet Explorer, ICQ, E-Mail-Programme ...

Bestimmen Sie den Zeitpunkt der Verbindung
Wenn Sie wissen möchten, wann Sie eine Verbindung zu Ihnen herstellen sollen, ist die IP-Adresse auch der Name des Computers im Netzwerk. Verwenden Sie das Angreifer-Programm, es überwacht die angegebenen Ports und verfremdet die Verbindung, wenn die Verbindung gezogen wird :) Zum Beispiel, wenn Sie sehen, dass die Anwendung "lauscht" Port 4899 (Radmin), dann müssen Sie einen Prog Angreifer plus diesen Port (in TCP) nehmen, um es zu verfolgen, wenn Sie versuchen, eine Verbindung herzustellen, wird das Programm Sie benachrichtigen (Verbindung während es nicht installiert ist). Auf der Haut können Sie sehen, dass um 13:51:17 von IP-Adresse: XXX.168.1.177 wurde versucht, eine Verbindung zu Port 4899, der Name des Remote-Computers im Netzwerk: YURI.

Wenn jemand von den lokalen Netzwerkbenutzern auf der Festplatte zu Ihnen "geklettert" ist, befinden sich die Verbindungen auf dem 139. Port ( nbsession ). Auf der Haut können Sie sehen, dass der Benutzer mit der IP-Adresse XXX.168.1.25 über die Netzwerkumgebung mit meinem Computer verbunden ist :) Das Programm Internet Maniac anstelle der Portnummer kann den Namen des Dienstes darstellen, der diesem Port zugewiesen ist, in diesem Fall ist es nbsession-port 139.

Einen entfernten Computer scannen
Wenn einige Netzwerkdienste auf dem Computer ausgeführt werden, öffnen sie Ports, d.h. Nachdem Sie die Ports auf dem Remote-Computer gescannt haben, können Sie sehen, welche geöffnet sind. Das Ergebnis des Scannens des Computers, auf dem der Radmin-Programm-Server installiert ist (Port-Standard: 4899), wird auf dem Skin angezeigt. Ie. Wenn Sie beim Scannen den offenen Port 80 gesehen haben, bedeutet dies, dass ein Webserver installiert ist, wenn es sich bei 3218, 8080 oder 80 um einen Proxy-Server handelt ...

Wie ermittelt man das installierte prog oder nicht?
Wenn Sie offene Ports haben (Status LISTEN oder ESTABLISHED), laufen überhaupt keine Netzwerkprogramme, dann ist es möglich, dass es sich um einen Fernsteuerungsserver handelt, versuchen Sie alle laufenden Programme (CTRL-ALT-DELETE) anzuschauen, wenn Sie nichts haben gefunden (oft sind die Programme speziell so angelegt, dass sie gar nicht zu sehen sind), dann darf jeder Taskmanager verwendet werden, der alle laufenden Anwendungen wie Process Wiewer, Task Meneger anzeigt ... jetzt ist es erlaubt jedes Prog zu entladen Ich bin.

Wie erkenne ich Passwörter?
Um die Kennwörter zu lernen, können Administratoren verschiedene Methoden verwenden, die einfachste ist auch die Verwendung von Keyloggern, d. Programme, die alle Tastenanschläge aufzeichnen, ist die berühmteste von ihnen hookdump95, in der Regel solche Programme werden von Antiviren erwischt, aber wer verhindert, dass Sie Ihre eigenen schreiben?

PS: Während ich Screenshots zu dem Artikel machte, putzte der Admin meine Diskette, die es mal in der Festplatte war, aber darauf war das Semester eines anderen ... auch wer später?