Под присмотром..." либо Vs Admin (LAN version)
Что может сделать Сис Админ?
Например, видеть копию вашего экрана, полностью перехватить управление компьютером, т.е даже выключить:) также к тому бла бла узнать все введенные вами пароли... последнее разрешено сделать незаметно от пользователя:) Все это делается при подмоге специальных программ для удаленного администрирования например: Remote Administrator (Radmin) и т.п., еще к программам для удаленного управления относятся трояны и все написанное ниже так бла бла относится и к ним. Работают данные программы по принципу "Клиент-сервер" Клиентская доля программы установлена у того кто управляет, а сервер незаметно трудится у того, кем управляют. Обычно сервер прописан в автозагрузку также стартует совместно с Windows. При загрузке, сервер затевает "Слушать" определенный порт, т.е. он ждет соединения на этом порту, но тот у кого клиент, для установления соединения с "жертвой" вписывает IP-адрес также порт(тот какой слушает сервак) позже чего нажимает "Connect"... Для того дабы узнать какие порты открыты, можно просто посмотреть все активные соединения, воспользовавшись например Internet Maniac, в меню "SNMP"> "Active connections", так выглядит сервер Remote Administrator'a, который (по умолчанию) медлит соединения на 4899 порту, в настройках разрешено поменять порт: Статус соединения при этом "LISTENING"
Можно воспользоваться стандартными утилитами Windows'а, в меню "Программы" запустите "сеанас MS-Dos" также введите "netstat -a" без кавычек;) Формат выдаваемого результата: "имя своего компа:порт имя удаленного компа:порт статус соединения" Если надобно увидеть все установленные соединения в числовом виде, но никак не ввиде имен, то введите netstat -n.
Если заказчик соединился с сервером(установленным у меня), то это будет выглядеть так:
Как видно к моему компу подключился пользователь с IP-адресом XXX.168.1.25, (статус соединения ESTABLISHED- объединение установлено)
Примечание: В момент проверки должны быть закрыты все сетевые программы: Internet explorer, ICQ, почтовые проги...
Определяем момент соединения
Если вам хочется узнать, в какое время к вам будут подключаться, IP-адрес также имя компьютера в сети, воспользуйтесь программой Attacker, она следит за указанными портами также при поползновению подключения отчуждает знать:) Например если, среди активных соединений видно, что кокое-то приложение "Слушает" порт 4899 (Radmin), то надобно взять прогу Attacker плюс добавть этот порт(в TCP) для слежения за ним, при поползновению подключения к нему прога вас известит(соединение при этом установлено никак не будет). На скине видно что в 13:51:17 с IP-адреса: XXX.168.1.177 была попытка подключения к порту 4899, имя удаленного компьютера в сети: YURI.
Если кто-то из пользователей локальной сети "залез" к вам на жесткий диск, то среди соединений станет еще на 139-м порту (nbsession). На скине видно что пользователь с IP-адресом XXX.168.1.25 подключился к моему компу чрез сетевое окружение :) Программа Internet Maniac вместо номера порта может иллюстрировать название сервиса, присвоенного этому порту, в данном случае это nbsession- порт 139.
Сканирование удаленного компьютера
Когда на компьютере запущены какие-то сетевые сервисы, они открывают порты, т.е. просканировав порты на удаленном компьютере, разрешено увидеть какие из них открыты, на скине изображен результат сканирования компа на котором установлен сервер программы Radmin(порт по умолчанию: 4899). Т.е. ежели при сканировании вы увидели открытый порт 80, это значит что там установлен web-сервер, если 3218, 8080 либо 80 то это скорее всего proxy-сервер...
Как определить установлена прога, либо нет
Если у вас открыты порты(статус LISTEN либо ESTABLISHED), при этом никак не запущены никакие сетевые программы, то возможно, что это сервер программы удаленного управления, попробуйте посмотреть все запущенные программы (CTRL-ALT-DELETE) ежели таким образом вы ничто никак не нашли(часто проги специально так сделаны, дабы их никак не было видно), то разрешено воспользоваться всяким менеджером задач, который покажет все запущенные приложения например Process Wiewer, Task Meneger... нынче разрешено выгрузить любую прогу, Если объединение было установлено то оно разорвется.
Как узнают пароли
Для того дабы узнать пароли админы могут использовать несколько способов, самый простой также наиболее зачастую встречающийся это использование Keylogger'ов, т.е. программ, которые записывают все нажатые клавиши, самая известная из них- hookdump95, обычно подобные проги ловят антивирусы, но кто помешает написать свою?
ЗЫ: Пока что делал скриншоты к статье, админ почистил мою дискету, которая в это пора была в дисководе, но на ней чужая семестровая была... также кто он позже этого???
Дата створення/оновлення: 25.05.2018