共计 2632 个字符,预计需要花费 7 分钟才能阅读完成。
华强北大多数公司,我感觉起码 80% 以上。都是装了一些监控软件的。当然可能没有深信服那么高端,但是也有一大堆其他小厂商的产品。最低的一个端只要 150 元左右。如果公司有 20 台电脑,也就是 3k 的成本而已(不好意思,这是基础代理价,可能终端不是这个价格)。 功能主要有:实时录屏、截屏、软件运行记录、聊天记录、键盘记录、实时桌面、摄像头采集、U 盘外设记录,文件拷贝记录 …… 而且可以限制安装软件。这些程序过了 360,QQ 等一些常见安全厂商的白名单。被监控的电脑装那些安全软件,没有任何提示。只限常用安全软件。 截屏也好,协议记录也好。其实更多也是考虑到公司层面。现在生意不好做,工作效率卡的严。 安全保密、价格红线,上班摸鱼 ….. |
网友回复:
注册 : https://www.anxinsec.com/view/antirootkit/ http://www.pysafe.cn/index.html 常备 如果软件有心跳包 提前抓好然后自己写一个伪造心跳 在大学对抗过校园网拨号程序的 基本到了公司之后对抗这种监控程序也不会有什么难度 唯一的差别是假心跳出问题在学校里只是被断网 在公司里可能就要被叫去 diss 一番了
tubos: 这个不算是黑产哦。那些开发公司都是要去北岸的。而且程序过了 360,QQ 等一些安全厂商的白名单。被监控的电脑装那些安全软件,没有任何提示。。。
龟龟酱 : 黑产
tubos: 腾讯管家小团队版不是免费吗?
spr1ng: 现在逐渐换成云桌面了 类似阿里的无影 移动的云桌面 PC 硬件成本可以省去 一个工控机可以解决了
wange008: 那怎么知道公司电脑有没有安装这些软件呢?有蛛丝马迹吗?
小旭 : ARK 工具都能发现 因为这种类型的软件拿不到微软的 ELAM 签名 也不会被 AM-PPL 保护 只是最普通的 ring0 权限 只要你想办法加载起 ARK 工具(可以参考 360 急救箱里那个所有 360 软件无法运行的方法来绕过部分监控工具的 ARK 检测)然后就可以发现它的驱动 之后就不用我说了吧 1. 抓包抓心跳(不然就会发现你关了监控)2. 写个小工具重放心跳 3. 用 ARK 工具重启后删除服务 4. 扒干净驱动 5. 再次重启后删光文件 完工 毕竟做这些的都不是专业安全公司,都还挺好对付的
banker: 一般跟员工签署劳动合同,会有一条关于行为审计的说明。当然也可能没有。这些软件有个特点,就是数据和截屏储存在本机,一般是 C 盘,你会发现 C 盘有一个特殊格式,非常大的文件。总控端上不留数据,反而是需要从被监控机上获取。
龟龟酱 : 所以找个不是事逼的单位才是要点,公司有监控需求这个也没办法,我之前待的单位都有深信服行为管理啥的,我还有一台内网保密机,外网随便天天摸鱼也没啥人懒得管你,主要是公司别事逼
注册 : 我只是想知道电脑有没有这种软件,不是想要解决方法。我就是想知道有没有安装有监控软件,听说有监控的话鼠标会一闪一闪?
注册 : 我好奇你在你在某游的时候做过吗?
banker: 如果是国外的“EDR”类 除了用 ARK 工具看驱动 不会有啥明显的肉眼可见的特征 深信服的会装一个根证书 可以通过根证书判断 再小一些的厂商甚至是 ring3 的可能 总之就是加载起 ARK 工具然后在驱动和进程里慢慢找呗 排除掉 Microsoft 签名的 驱动应该最多也就几十个 不认识的全部尝试干一遍(毕竟监控端发现你设备短时间离线应该也不会怀疑什么 可能以为你只是重启了一下电脑)
小旭 : 大佬牛逼!!!
龟龟酱 : 太专业,学不会。我以为有什么简单的方法可以发现。
tubos: 某游的电脑上没有类似东西 但是某马家的有 是的我干过 而且不止我干过 因为我是 Linux 运维的身份 我不用干都可以 我可以名正言顺的要一台装了 ubuntu 的机器办公
banker: 截屏和记录,录像文件一般是保存在被监控端的本地,一个特殊格式的文件,特别大。。。默认是 7 天,有的是 30 天,所以很容易找出来。至少几家小厂商都是这样的.
龟龟酱 : 可以告知几个类似这种软件的名字么 我研究下
tubos: 国内的:深信服 https://www.sangfor.com.cn/product-and-solution/sangfor-security/NGAC 启明星辰 https://www.venustech.com.cn/new_type/wlsj/ 国外的:crowdstrike https://www.crowdstrike.com/ palo alto https://www.paloaltonetworks.com/cortex/cortex-xdr 这几个都是大厂 小厂的就太多了 而且比较好玩的是 国外都是正经安全厂商在做(所以也挺难对付的)国内就算是最大的两家都挺好解决的
咖啡与美酒 : 大佬好 哪个 pchunter 是要收费 的吗
注册 : 感谢!!
注册 : 免费 信息随便填一下下载之后保存就行了 不过 pchunter 对新系统支持不是很好 win11 建议用 pyark win10 大概 pchunter 也只支持到 21h1 左右的版本
咖啡与美酒 : 好的谢谢 正好在 21h1
龟龟酱 : 摸鱼越来越难了
aeox: 第一时间重装系统,或者开机启动 3.0 U 盘里面的系统。如果要求必须装软件才能上网,那百分百就是网络审计 / 间谍 软件。工作就工作,用手机流量摸鱼。
nexus: 带小工控机 + wifi 网卡 用自己流量摸鱼 只用公司显示器
yanzhiling2002: 好几台腾讯云的 248,爽的很,有装了 vscode 写代码的,有装了迅雷下载东西的,有装了微信 QQ 挂机的,还剩一台装了 QB 挂 pt 魔力
燕十三丶 : 还好我用 MacBook
花样 : 国内的我不清楚 国外那几个 EDR 都有 MacOS 版的 复制了一下 CrowdStrike EDR Client 的 OS Support Windows 8/8.1/10/11 MacOS Catalina or later Debian 9 or later Ubuntu 16 or later CentOS 7 or later Redhat 7 or later ArchLinux Fedora 24 or later Mageia 8 or later
花样 : 这根本不是摸不摸鱼的问题吧? 每一帧都要被实时采集 听着就觉得恶心
注册 : 超级眼,第三只眼,域之盾 …..
注册 : 专业
tubos: https://docs.microsoft.com/zh-cn/sysinternals/downloads/ 用微软的工具监视下就知道了。进程 网络 硬盘读写。
fatal: 公司单位电脑这种无解的,就像通知你离职那刻就不让你碰电脑一样,甚至旁边还有保安跟着你收拾东西。
acpp: 重做