練經常流動辦公���,連接不同地點的WIFI,為了安全,我往往會自查自己的電腦是否被監控����。
那么判斷自己所用的電腦是否被監控���,特別是使用所在公司或機構電腦時����,更有必要查詢是否被監控��。
以下為查詢自己所用的電腦是否被監控的方法:
1�、首先按下鍵盤上的【win+R】組合鍵調出運行對話框����。
2、然后在運行框內輸入【cmd】并點擊確定按鈕���。
3�、在窗口中,輸入【ipconfig】按下回車鍵��,找到自己電腦的ip地址��。
4�、打開命令窗口后���,在其中輸入【netstat -an】命令���,點擊回車按鍵�。
5、在出現的活動連接中�����,即可看到【listening】狀態的外部地址沒有顯示�,說明沒有被監控;反之則可能被監控�。
6����、如提示不是內部或外部命令��,則原因是:【cmd】當前操作不在系統文件夾【system32icon】下���,那么只需輸入:【cd c:\WINDOWS\system32\ 】����;即可將當前操作路徑切換到Windows 操作系統的系統文件夾下�����。然后再輸入【netstat -an】�,即可解決��。
來源:網絡
里我給出一個無腦判斷的方法,即使是電腦小白也可以快速判斷。
風險發現
網絡層面判斷是否被監控
- 按下Win+R鍵����,輸入"cmd"�,彈出命令執行窗口:
2. 輸入"netstat -ano"���,然后回車,這時控制臺會按照如下格式打印自己的電腦跟外部ip的網絡交互情況:
協議 本地地址 外部地址 狀態 PID
3. 重點關注外部地址一欄���,外部地址的格式是"xxx.xxx.xxx.xxx:xxxx",冒號前面的那一串是IP地址�,后面是端口號�����。如果外部地址是"0.0.0.0:0"和"127.0.0.1:xxx"的行,直接無視掉
4. 除去上面排除掉的行后�,剩下的每一行每一行的看����,把外部地址的IP復制下來���,粘貼到威脅情報查詢平臺進行查詢����,我這里直接給出幾個查詢平臺:
奇安信威脅情報中心 https://ti.qianxin.com/
360安全大腦 https://ti.360.cn/
微步在線X情報社區-威脅情報查詢_威脅分析平臺_開放社區 ?https://x.threatbook.com/
5. 以奇安信威脅情報中心為例,我們把IP地址復制到搜索框�,回車����。就彈出這個界面:
6. 如果IP被判為可疑�,那就要小心了,先把這個IP地址和對應的PID號記錄下來(這一行的最后一列那個數字)。我們繼續從進程層面來分析。
進程層面判斷是否被監控
- 前面的步驟跟之前說的一樣�����,先用"netstat -ano"列出來�,現在我們關注每一行的PID號���,就是最后一列那個數字
2. 再打開一個cmd��,先輸入"powershell"�����,回車執行,再輸入如下命令,查看進程具體信息(把命令的YourPID替換為你進程的PID):
Get-WmiObject -Query "Select * From Win32_Process Where ProcessID='YourPID'"
3. 可以看到很多信息���,我們只關注ExecutablePath,打開文件管理器,進入ExecutablePath的路徑�,把這個文件找出來
4. 然后���,還是進入我之前給出的威脅情報平臺�,找到文件分析的查詢功能����,把文件上傳上去
5. 這里多給幾個專門針對惡意文件、病毒等進行在線檢測的網站:
VirScan - 多引擎文件在線檢測平臺 https://www.virscan.org/
VirusTotal https://www.virustotal.com/gui/home/upload
騰訊哈勃分析系統 https://habo.qq.com/
6. 如果判定為可疑��,我們同樣把IP地址和PID記錄下來
風險排除
下面所講述的排除方法���,小白請謹慎操作����,因為你也可能判斷不了你記錄的程序是否是系統關鍵程序,記錄的IP是否是系統關鍵程序連接的IP。若不會備份恢復�,可能會導致系統的功能出現問題���。
阻斷可疑IP連接
- 打開左下角菜單欄��,點擊設置按鈕
3. 在搜索框搜索防火墻�����,點擊"防火墻與網絡保護"
4. 然后點擊:"高級設置"->"入站規則"->"新建規則"->"自定義"->"所有程序"->"協議和端口"->填入記錄的可疑IP����,然后點擊確定
5. 觀察系統功能是否有影響���,如果有影響��,就把規則刪除����。
刪除可疑進程文件
- 找到之前記錄的可疑文件路徑
- 然后重命名該文件
- 在cmd里執行操作,殺掉進程
taskkill /PID your_PID /F
4. 觀察系統功能是否有影響�,如果有影響���,就把文件重新命名回去�����,然后重新啟動程序。
常有人咨詢歡哥這個問題��。其實很多需要監控的公司基本都有充足的理由�����,否則也沒有必要去做這種事情����,這個合法不合法���,各有各的理����,有過不少借此作為開除員工的依據����。行為管理也不只是用于監控方面,不過對于對通訊軟件做監控的行為�����,我還是很鄙視的��。
總結一下:
如今4G �,5G 時代���,流量用不完����,想唯一確定不會被監控的方法就是用自己的流量
- 手機 : 最安全,如果是沒越獄的iphone更不用說了���。
- PC機: 需要確認沒有安裝監控軟件的客戶端
監控的方式基本有2種:
- CS架構的軟件方式:需要安裝客戶端 ,通過特定端口通訊��,將監控所需內容(網頁��,文檔���,聊天記錄�����,以截圖和視頻(幀數低)的方式 傳遞至服務器端��?��?蛻舳嗽谟颦h境推送到域用戶不需要通知用戶(有的客戶端殺軟會報���,太久沒接觸這種不知道發展哪一步了)
歡哥點評:
此種監控最慘的可能是筆記本了�����,因為無論在不在公司,當連入公司內部網絡時候將上傳至服務器,如果是開啟外網上傳的那就是實時了�,這種客戶端一般都占系統資源��。
應對辦法(針對自己的筆記本,公司的電腦不給監控,找你算賬不要找我哦)
一般來說只要是這種方式的監控����,都需要2個端口通信(收��,發)�,用Windows防火墻屏蔽客戶端的通信端口就可以了�。
那么你要問我,我怎么知道軟件是什么����?端口是什么����? 我是小龍人��,不告訴你����。
- 放在網絡的網關下面 (或者直接就是網關)的行為管理硬件
比如大名鼎鼎的深信服上網行為管理��,此種監控大部分信息不需要在用戶電腦安裝客戶端的,但是QQ這種IM通訊軟件,需要在客戶端安裝插件�����。畢竟QQ總是不停的更新�����,把這種搞監控的累壞了����,當然他們很開心啊��,因為客戶監控不到了���,要升級���,服務又到期了��,只能續費。
應對方法:用自己的網絡嘍!
切中話題�����,如何知道公司是否有監控呢���,如果是第一種方式的話�,通過查看端口 netstat -an
排查,如果是第二種方式是,如果是深信服的話,一般會有禁止頁,打開個小姐姐站點���,禁止你訪問那就是第二種了,如果沒有設置這個方面安全策略的話�,是沒辦法知道的。最穩妥的辦法�,找管這塊的小哥哥問下�,沒有什么一頓飯搞不定的事情�����,如果搞不定��,兩頓吧。
需要更多探討和了解的話�����,歡迎關注留言�����。
版權聲明: 本文由歡哥的部落格首發于“”���,謝絕自行轉載�����,謝絕東方頭條抓取。
