This page has been robot translated, sorry for typos if any. Original content here.

Unter Aufsicht ... "oder Vs Admin (LAN-Version)

Unabhängig davon, wo Sie im Internet "ausgehen", können Sie überwacht werden, wenn Sie ein Gebäude sind, das mit Hilfe von Trojanern (Programmen wie "Trojanisches Pferd") funktionieren kann, um Ihre Passwörter in Internetcafés, usw. Sie können von Systemlehrern beobachtet werden, das sind Leute, die sich um lokale Netzwerke kümmern, normalerweise ist ihr Aufenthalt unsichtbar, aber manchmal werden sie einfach unverschämt, denken sie, wenn sie Admins sind, dann können sie alles tun, was kann der Administrator tun? Als wir noch im ersten Jahr waren, haben wir oft in der Computerklasse aufgehängt, nur gechattet, aber es gab ein Problem, wir haben "Es ist verboten, auch zu spielen", aber was gibt es sonst noch zu tun? :) Nach einigen unschlüssigen :) Anfragen von Administratoren, um den Chat zu schließen, begann etwas seltsames: Die Maus selbst begann sich zu bewegen, auch die Fenster zu schließen, manchmal sogar in Form von Texteingaben in den Chat geschriebenen Text "Alle Freaks" wurde auch an den Chat gesendet, Lächeln glücklich Wir haben uns einfach gefickt, ohne Zweifel, dass diese Admins "scherzen", aber nichts tun konnten ... In diesem Artikel schreiben wir, wie man herausfindet, ob man beobachtet wird oder nicht, die IP-Adresse dieses " -So im lokalen Netzwerk (LAN-Local Area Network) kam auf die Festplatte.

Was kann Sis Admin tun?
Um beispielsweise eine Kopie Ihres Bildschirms zu sehen, müssen Sie die Steuerung des Computers vollständig abfangen, dh sogar herunterfahren :) Auch zu diesem bla bla, um alle Passwörter herauszufinden, die Sie eingegeben haben ... letzteres darf vom Benutzer unbemerkt gemacht werden :) Dies alles geschieht mit Hilfe spezieller Programme für die Remote-Verwaltung, zum Beispiel: Remote Administrator (Radmin) usw. Trojaner gehören ebenfalls zu Fernbedienungsprogrammen, und alles, was unten beschrieben wird, passt gut zu ihnen . Die Daten des Programms arbeiten nach dem Prinzip "Client-Server". Der Client-Anteil des Programms wird von demjenigen, der es verwaltet, installiert und der Server arbeitet in Ruhe mit der kontrollierten Person zusammen. Normalerweise wird der Server beim Start registriert und startet auch zusammen mit Windows. Beim Start startet der Server einen bestimmten Port, d. H. es wartet auf eine Verbindung an diesem Port, aber derjenige, mit dem der Client die IP-Adresse an den Port anschließt (der eine die Verbindung hört), um sich mit dem Opfer zu verbinden, drückt dann später auf "Verbinden" ... Um herauszufinden, welche Ports offen sind, Sehen Sie sich beispielsweise alle aktiven Verbindungen mit Internet Maniac an. Der Server des Remote Administrators sieht im Menü "SNMP"> "Aktive Verbindungen" so aus (Standard), verlangsamt die Verbindungen am 4899-Port, dieses " HÖREN "

Sie können die Standard-Windows-Dienstprogramme verwenden, indem Sie im Menü "Programme" "MS-DOS Seanas" auch "netstat -a" ohne Anführungszeichen eingeben;) Format der Ausgabe: " Name Ihres Computers: Portname des Remotecomputers: Portverbindungsstatus Es ist notwendig, alle erstellten Verbindungen in einer numerischen Form zu sehen, aber in irgendeiner Weise als Namen, geben Sie netstat -n ein.

Wenn der Kunde mit dem Server verbunden ist (von mir installiert), sieht das so aus:

Wie Sie sehen können, ist ein Benutzer mit der IP-Adresse XXX.168.1.25 an meinem Computer angeschlossen (der Verbindungsstatus ist auf ESTABLISHED-Zuordnung eingestellt)

Hinweis : Zum Zeitpunkt der Überprüfung sollten alle Netzwerkprogramme geschlossen sein: Internet Explorer, ICQ, E-Mail-Programme ...

Bestimmen Sie den Zeitpunkt der Verbindung
Wenn Sie wissen möchten, wann eine Verbindung zu Ihnen hergestellt werden soll, ist die IP-Adresse auch der Name des Computers im Netzwerk. Verwenden Sie das Programm Attacker, überwacht es die angegebenen Ports und verfremdet die Verbindung, wenn die Verbindung gezogen wird :) Wenn Sie unter aktiven Verbindungen sehen, dass eine Anwendung den Port 4899 (Radmin) "hört", dann müssen Sie einen Prog-Attacker nehmen und diesen Port (in TCP) hinzufügen, um eine Verbindung herzustellen. Das Programm benachrichtigt Sie während es nicht installiert ist). Auf der Skin sehen Sie, dass um 13:51:17 von IP-Adresse: XXX.168.1.177 versucht wurde, eine Verbindung zu Port 4899 herzustellen, dem Namen des entfernten Computers im Netzwerk: YURI.

Wenn jemand von den lokalen Netzwerkbenutzern auf die Festplatte "geklettert" ist, dann befinden sich die Verbindungen auf dem 139. Port ( nbsession ). Auf der Haut können Sie sehen, dass der Benutzer mit der IP-Adresse XXX.168.1.25 über die Netzwerkumgebung mit meinem Computer verbunden ist :) Das Programm Internet Maniac anstelle der Portnummer kann den Namen des diesem Port zugeordneten Dienstes anzeigen, in diesem Fall ist es nbsession-port 139.

Einen Remote-Computer scannen
Wenn einige Netzwerkdienste auf dem Computer ausgeführt werden, öffnen sie Ports, d. H. Nachdem Sie die Ports auf dem Remote-Computer gescannt haben, können Sie sehen, welche geöffnet sind. Das Scannen des Computers, auf dem der Radmin-Programm-Server installiert ist (Port default: 4899) Dh. Wenn Sie beim Scannen den offenen Port 80 gesehen haben, bedeutet dies, dass ein Webserver installiert ist, wenn 3218, 8080 oder 80 dann wahrscheinlich ein Proxy-Server ist ...

Wie ermittelt man das installierte Programm oder nicht
Wenn Sie über offene Ports verfügen (Status LISTEN oder ESTABLISHED), werden keine Netzwerkprogramme ausgeführt. Wenn dies der Fall ist, versuchen Sie, alle laufenden Programme (CTRL-ALT-DELETE) (oft werden die Programme speziell so erstellt, dass sie überhaupt nicht sichtbar sind), dann ist es erlaubt, jeden Task-Manager zu verwenden, der alle laufenden Anwendungen wie Process Wiewer, Task Meneger ... anzeigt. Ich bin.

So erkennen Sie Passwörter
Um die Passwörter zu erlernen, können Administratoren verschiedene Methoden anwenden, am einfachsten ist auch die Verwendung von Keyloggern, d. H. Programme, die alle Tastenanschläge aufzeichnen, ist die berühmteste von ihnen hookdump95, in der Regel solche Programme werden von Antiviren erfasst, aber wer verhindert, dass Sie Ihre eigenen schreiben?

PS: Während ich Screenshots für den Artikel erstellte, hat der Admin meine Diskette geputzt, was es Zeit im Laufwerk war, aber darauf war das Semester einer anderen Person ... auch wer er später ??