一、检查安装程序
打开浏览器,以 Chrome 为例chrome://extensions/,看看有没有不明插件,特别是带录屏、键盘记录功能的
一搬常用的监控软件就那几款如Symantec Endpoint Protection、McAfee ePO、LanDesk等,所以直接去安装程序里面看看,注意:win11已经叫安装应用了,直接搜索安装应用就能找到
二、分析网络流量
我个人觉得最有用的方法还是这个,无论如何都需要通过网络把数据传过去,别人才能收到你在计算机上做了什么,所以直接看网络流量就行了。
使用Wireshark、Fiddler等专业工具分析网络流量(注意这可能违反公司政策),查看是否有数据发送到不明地址。Fiddler下载
以下经典强大的抓包软件都可尝试一下:SPSniffer、Fiddler、Charles、Scapy抓包软件、FiddlerCap、PorxyPin、omnipeek,具体使用就不做详细介绍了。主要分享下Wireshark的使用方法:
1、安装驱动库
前提条件:必须安装捕获网络适配器数据所需的驱动库。Win10Pcap(仅适配Win10的WinPcap),Windows 11无需安装。
在Wireshark文件夹中,有一个npcap-1.50.exe的程序,点击即可完成Npcap安装
2、选择网卡
网卡非常多,不知道选择哪个?
看下图,有数据波动的就是正在使用的有效网卡
当我们想要查找属于某个发送者的所有数据包时,我们会使用下面的过滤器。
ip.addr == 119.75.217.26 and icmp
表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包
Wireshark界面:
三、观察计算机异常行为
· 摄像头/麦克风突然自己启动(指示灯亮了要注意)
· 没动过的文件出现修改记录
· 无故弹出权限请求,或者计算机突然变卡,都可能是监控软件在运行
四、检查组策略
在运行中输入“gpedit.msc”查看本地组策略编辑器(专业版Windows),看是否有特别的限制设置
五、看任务管理器,揪出“可疑程序”
这个方法比较适合Windows 用户,具体做法:按下“Ctrl+Shift+Esc”,打开任务管理器,然后切换到“进程”或“详细信息”的标签页。看看后台有没有陌生程序在运行,尤其是一些占用CPU、内存特别高的。其中要重点排查下名字比较奇怪的.exe文件,或者不认识的远程控制软件,如果发现有可疑程序,立即点击右键——结束任务,赶紧查查这到底是什么程序。
六、检查网络流量,看有没有“偷传数据”
这个方法适合所有计算机,具体做法:按下“Win+R”输入“resmon”回车打开资源监视器,然后切换到“网络”标签页,看看有哪些程序在疯狂上传/下载数据。尤其重点关注一下有没有你不认识的程序在持续联网,或者上传流量异常大的情况,比如自己明明没传文件,确一直有数据在往外跑。如果发现某个程序比较可疑,可以查一下名字,看看是不是监控软件。
七、查远程连接记录,看有没有人“偷偷控制”你计算机
有些监控软件会开启远程桌面或RDP连接,让别人可以直接操控你的计算机,那么泽中情况怎么排查呢?按下“Win+R”输入“eventvwr.msc”,打开事件查看器,依次展示Windows 日志——安全,找到事件ID4624(登录成功)和4625(登录失败)。检查有没有陌生IP或者账号登录过你的计算机,如果发现有不明IP登录记录,赶紧断网+杀毒
感谢您的阅读,驰网IDC-国内领先的互联网业务平台服务提供商,助您成为更专业的服务器管理员!
