This page has been robot translated, sorry for typos if any. Original content here.

Unter Aufsicht ... "oder Vs Admin (LAN Version)

Unabhängig davon, wo man sich im Internet versteht, kannst du überwacht werden, wenn du ein Gebäude bist, das kann mit Hilfe von Trojanern arbeiten (Programme wie "Trojanisches Pferd"), um deine Passwörter herauszufinden, wenn in Internetcafés, in einer Computerklasse, bei der Arbeit usw. Sie können von systemischen Herrschern beobachtet werden, das sind Leute, die sich um lokale Netzwerke kümmern, in der Regel ist ihr Aufenthalt unsichtbar, aber manchmal werden sie einfach unverschämt, sie denken, dass wenn sie Admins sind, dann alles, was sie tun können, ist blah blah kann der admin tun? Als wir noch im ersten Jahr waren, haben wir oft in der Computerklasse aufgehängt, nur unterbrochen, aber es gab ein Problem, wir haben "Es ist verboten, auch zu spielen", aber was gibt es sonst noch? :) Nach ein paar unschlüssig :) Anfragen von Administratoren, um den Chat zu schließen, begann etwas seltsam: die Maus selbst begann sich zu bewegen, um die Fenster zu schließen, manchmal sogar in Form von Texteingaben in den Chat-typisierten Text "Alle Freaks" wurde auch an den Chat gesendet, dann wurde der Computer gerade ausgeschaltet Lächle glücklich Wir haben es nur geschafft, zweifellos hat jeder erkannt, dass diese Administratoren "Witz" haben, aber nichts machen konnten ... In diesem Artikel schreiben wir, wie wir herausfinden können, ob du gerade gesehen wirst oder nicht, die IP-Adresse dieses "smart guy" und so blah blah nur herausfinden, wenn jemand -So auf dem lokalen Netzwerk (LAN-Local Area Network) kam zu Ihnen auf der Festplatte.

Was kann Sis Admin tun?
Zum Beispiel, um eine Kopie Ihres Bildschirms zu sehen, komplett abfangen Computer-Steuerung, dh sogar heruntergefahren :) Auch zu diesem bla bla, um herauszufinden, alle Passwörter, die Sie eingegeben haben ... Letzteres darf von dem Benutzer unbemerkt gemacht werden :) All dies geschieht mit Hilfe von speziellen Programmen für die Remote-Administration, zum Beispiel: Remote Administrator (Radmin), etc., Trojaner gehören auch zu Fernbedienungsprogrammen, und alles, was unten geschrieben ist, passt gut zu ihnen . Die Daten des Programms arbeiten nach dem Prinzip des "Client-Servers". Der Client-Anteil des Programms wird von dem verwaltet, der verwaltet, und der Server arbeitet leise mit der kontrollierten Person. Normalerweise wird der Server beim Start registriert auch startet zusammen mit Windows. Beim Booten startet der Server "Play" einen bestimmten Port, d.h. Es wartet auf eine Verbindung auf diesem Port, aber derjenige, mit dem der Client die IP-Adresse mit dem Port verbindet (der, den das Servic hört) verbindet dann die "Connect", um mit dem "Opfer" zu verbinden ... Um herauszufinden, welche Ports offen sind, kannst du Schauen Sie sich alle aktiven Verbindungen mit Internet Maniac an, zB im Menü "SNMP"> "Aktive Verbindungen" sieht der Server des Remote Administrators so aus (standardmäßig) hängt er Verbindungen am 4899-Port auf, die Einstellungen erlauben es, den Port zu ändern: Dieses " HÖREN "

Sie können die Standard-Windows-Dienstprogramme verwenden, im Menü "Programme" ausführen "MS-DOS Seanas" auch "netstat -a" ohne Anführungszeichen eingeben;) Format der Ausgabe: " Name des Rechners: Portname des Remote-Rechners: Port-Verbindungsstatus " If Es ist notwendig, alle etablierten Verbindungen in numerischer Form zu sehen, aber in keiner Weise nicht als Namen, dann geben Sie netstat -n ein.

Wenn der Kunde mit dem Server verbunden ist (von mir installiert), sieht es so aus:

Wie Sie sehen können, ist ein Benutzer mit IP-Adresse XXX.168.1.25 an meinen Computer angeschlossen (der Verbindungsstatus ist auf ESTABLISHED-Assoziation gesetzt)

Hinweis : Zum Zeitpunkt der Überprüfung sollten alle Netzwerkprogramme geschlossen werden: Internet Explorer, ICQ, E-Mail-Programme ...

Bestimmen Sie den Moment der Verbindung
Wenn Sie wissen wollen, wann Sie verbunden sein werden, ist die IP-Adresse auch der Name des Computers im Netzwerk, verwenden Sie das Attacker-Programm, es überwacht die angegebenen Ports und, wenn die Verbindung gezogen wird, entfremdet das Wissen :) Zum Beispiel, wenn unter aktiven Verbindungen die Anwendung "hört" Port 4899 (Radmin), dann müssen Sie die Attacker prog plus fügen Sie diesen Port (in TCP), um es zu verfolgen, wird die Verbindung wird Ihnen durch die Verbindung (Verbindung Es ist überhaupt nicht installiert). Auf der haut kann man sehen, dass um 13:51:17 von der IP-Adresse: XXX.168.1.177 gab es einen Versuch, eine Verbindung zu Port 4899, den Namen des Remote-Rechners im Netzwerk: YURI.

Wenn jemand von den lokalen Netzbenutzern "kletterte" auf Sie auf der Festplatte, dann unter den Verbindungen wird auf dem 139. Hafen ( nbsession ) sein. Auf der Haut sehen Sie, dass der Benutzer mit der IP-Adresse XXX.168.1.25 über die Netzwerkumgebung mit meinem Computer verbunden ist :) Das Programm Internet Maniac anstelle der Portnummer kann den Namen des Dienstes veranschaulichen, der diesem Port zugeordnet ist, in diesem Fall ist es nbsession-port 139.

Scannen eines Remotecomputers
Wenn einige Netzwerkdienste auf dem Computer laufen, öffnen sie die Ports, d.h. Nachdem Sie die Ports auf dem Remotecomputer gescannt haben, können Sie sehen, welche geöffnet sind, das Ergebnis des Scannens des Computers, auf dem der Radmin-Programmserver installiert ist (Port-Standard: 4899) wird auf der Skin angezeigt. Dh. Wenn du den offenen Port 80 beim Scannen gesehen hast, bedeutet das, dass ein Webserver installiert ist, wenn 3218, 8080 oder 80 dann ist dies wahrscheinlich ein Proxy-Server ...

Wie man das installierte prog ermittelt oder nicht
Wenn Sie offene Ports haben (LISTEN- oder ESTABLISHED-Status), laufen keine Netzwerkprogramme, dann ist es möglich, dass es sich um einen Remote-Management-Server handelt, versuchen Sie, alle laufenden Programme zu sehen (CTRL-ALT-DELETE), wenn Sie nichts haben Gefunden (oft sind die Programme speziell so gemacht, dass sie überhaupt nicht gesehen werden konnten), dann ist es erlaubt, jeden Task-Manager zu verwenden, der alle laufenden Anwendungen wie Process Wiewer, Task Meneger ... jetzt zeigt, dass es erlaubt ist, irgendwelche prog zu entladen, wenn die Vereinigung gegründet wurde, dann würde es rippen Ich bin

Wie man Passwörter erkennt
Um die Passwörter zu lernen, können Administratoren mehrere Methoden verwenden, die einfachste ist auch die häufigste ist die Verwendung von Keyloggern, d.h. Programme, die alle Tastenanschläge aufzeichnen, die berühmteste von ihnen ist Hookdump95, in der Regel solche Programme sind von Antiviren gefangen, aber wer wird Sie daran hindern, Ihre eigenen zu schreiben?

PS: Während ich Screenshots zum Artikel machte, hat der Administrator meine Diskette gereinigt, was es war mal in der Fahrt, aber auf ihm war jemand anderes Semester ... auch wer er später das ???