V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rebeccaMyKid
V2EX  ›  问与答

感觉被监控了,有内行人能分析一下吗?

  •  
  •   rebeccaMyKid · 2017-09-11 17:57:31 +08:00 · 11037 次点击
    这是一个创建于 2634 天前的主题,其中的信息可能已经有所发展或是发生改变。

    几个朋友感觉电脑被监控了,经常聊着聊着微信就被经理叫去谈话,想请大佬们分析一二,帮帮忙。

    朋友的都是 IT 部门发的 win 笔记本,win7 + win10,我的是自带的 win10 电脑(我没被监控的感觉,也可能我没发觉)。

    1、假设朋友电脑没被装后门,他们连的都是公司的小米路由和 TP-Link,能被监控到微信的消息和上网记录吗? 我觉得 http 请求还能看看,但是 https 和微信这种有加密协议的应该看不了吧?(小公司,那种很高深的技术肯定是没有的,能买的应该都是市面上普遍有的)

    2、假设电脑被装后门。那其实被装后门想看什么都能看得到了。看不了你微信那监控你屏幕行吧,不知道有没有这样普及的东西?对于第 2 种可能性,我准备安装几个正规的杀毒软件来全盘扫描。

    内行人能给点思路吗?或者简单的排查方法,比如某典型后门程序的典型进程名字或者是文件夹位置?(真不懂。。)

    先谢过:D。

    94 条回复    2017-09-13 11:22:19 +08:00
    66beta
        1
    66beta  
       2017-09-11 18:08:34 +08:00
    第二种,你杀掉了,经理看不到屏幕,又要叫过去谈心了!
    rebeccaMyKid
        2
    rebeccaMyKid  
    OP
       2017-09-11 18:15:18 +08:00
    有没有老司机帮忙排查一下啊,有偿,留个联系方式。
    des
        3
    des  
       2017-09-11 18:20:15 +08:00 via Android
    如果可以重装
    cheng12308
        4
    cheng12308  
       2017-09-11 18:37:46 +08:00 via iPhone
    重装了系统直接釜底抽薪
    joyqi
        5
    joyqi  
       2017-09-11 18:39:27 +08:00   ❤️ 1
    有内鬼。。。
    yghack
        6
    yghack  
       2017-09-11 18:41:46 +08:00
    直接重装系统吧
    yuanhua123
        7
    yuanhua123  
       2017-09-11 18:41:56 +08:00 via Android
    你去百度下威盾,你的电脑任何操作都能监控,你自己是感觉不到的。
    we000
        8
    we000  
       2017-09-11 18:43:10 +08:00
    路由器可以看到用微信, 只不过看不到内容
    LosLord
        9
    LosLord  
       2017-09-11 18:45:09 +08:00 via Android
    全局挂代理
    CEBBCAT
        10
    CEBBCAT  
       2017-09-11 18:48:43 +08:00 via Android
    布置监控这种操作不是经理搞得来的,让你朋友问问身边的同事吧
    ik
        11
    ik  
       2017-09-11 18:54:54 +08:00 via iPhone
    重装系统,理由:系统用起来卡卡的,不顺手
    Rice
        12
    Rice  
       2017-09-11 18:55:08 +08:00 via iPhone   ❤️ 2
    大公司都是专门的 IT 部门监控。
    大家摸鱼都是玩手机不用电脑上网。
    designer
        13
    designer  
       2017-09-11 18:57:16 +08:00
    装一个 linux 看他咋监控
    CEBBCAT
        14
    CEBBCAT  
       2017-09-11 18:59:07 +08:00 via Android
    @designer 微信不用了?
    a1044634486
        15
    a1044634486  
       2017-09-11 19:01:26 +08:00
    第一行,谈话谈的是他们聊天的内容?
    yoyoyoyo
        16
    yoyoyoyo  
       2017-09-11 19:03:06 +08:00 via iPhone
    公司的电脑 你重装系统都是违规行为
    不要用公司电脑做私人的事情应该是基本原则吧
    ila
        17
    ila  
       2017-09-11 19:08:16 +08:00 via Android   ❤️ 1
    摸鱼用流量,就算有免费 wifi 也不用
    rebeccaMyKid
        18
    rebeccaMyKid  
    OP
       2017-09-11 19:14:33 +08:00
    @a1044634486 对,聊天相关。
    rebeccaMyKid
        19
    rebeccaMyKid  
    OP
       2017-09-11 19:15:16 +08:00
    @yoyoyoyo 老哥你开玩笑吧,这跟监控装后门是几码事了好吗。
    rebeccaMyKid
        20
    rebeccaMyKid  
    OP
       2017-09-11 19:15:41 +08:00
    @Rice 学到了
    rebeccaMyKid
        21
    rebeccaMyKid  
    OP
       2017-09-11 19:16:22 +08:00
    @yuanhua123 太多这样的软件了,自己一个一个排查得花费好几天啊。
    rebeccaMyKid
        22
    rebeccaMyKid  
    OP
       2017-09-11 19:17:57 +08:00
    @designer 又不都是猿
    a1044634486
        23
    a1044634486  
       2017-09-11 19:18:26 +08:00
    你确定不是同事告密吗
    zlhdd108
        24
    zlhdd108  
       2017-09-11 19:20:09 +08:00 via Android
    看流量,如果有,每个人的进程都会向一个固定的 ip 发送,流量也较为固定
    rebeccaMyKid
        25
    rebeccaMyKid  
    OP
       2017-09-11 19:20:10 +08:00
    @a1044634486 确定
    rebeccaMyKid
        26
    rebeccaMyKid  
    OP
       2017-09-11 19:21:11 +08:00
    @zlhdd108 用什么命令看?能简单讲讲么
    Mogugugugu
        27
    Mogugugugu  
       2017-09-11 19:25:22 +08:00
    企业下发的电脑装监控的可能性很大,国内也有很多软件都支持做到聊天记录监控的,例如[这个]( http://www.weaview.com/)
    TigerK
        28
    TigerK  
       2017-09-11 19:26:38 +08:00
    是不是微信群里有经理在呀?
    yoyoyoyo
        29
    yoyoyoyo  
       2017-09-11 19:29:20 +08:00 via iPhone
    @rebeccaMyKid 我没开玩笑 公司下发的电脑做监控后门非常正常 而且是公司资产 公司有权知道所有行为
    不夸张的说 哪个员工看黄网多 老爸都知道的
    a342191555
        30
    a342191555  
       2017-09-11 19:36:18 +08:00 via iPhone
    Google 关键词:深信服 qq
    hoyixi
        31
    hoyixi  
       2017-09-11 19:52:24 +08:00
    WX 本身就是个最大的后门
    llldean
        32
    llldean  
       2017-09-11 19:54:10 +08:00
    自带 macbook 解决一切问题
    tomczhen
        33
    tomczhen  
       2017-09-11 19:55:35 +08:00   ❤️ 1
    有安装客户端,所有行为都能监控。

    无客户端,仅通过网关的话,不带 https 的都能记录,带 https 的可以通过 DNS 记录一些。
    IM 软件聊天内容都是加密的,不过在线状态还是可以获取的,比如登录帐号之类的。另外,QQ 群聊发图之类的走的是 HTTP 可以被记录。

    开代理虽然可以隐藏信息,但是仍然可以被发现开代理的行为。

    如果你真的很在意,应该使用自己的手机,并且用移动网络上网。单纯的想规避监管是不现实的,因为监管不到的话也是会找你麻烦的。
    Chieh
        34
    Chieh  
       2017-09-11 19:58:26 +08:00 via Android
    会不会是单纯摄像头
    rebeccaMyKid
        35
    rebeccaMyKid  
    OP
       2017-09-11 20:00:44 +08:00 via Android
    @tomczhen 感谢
    freed
        36
    freed  
       2017-09-11 20:04:13 +08:00 via Android   ❤️ 1
    关于 26 楼,可以用 ip 雷达,或者系统自带的资源监视器应该也可以
    18725769609
        37
    18725769609  
       2017-09-11 20:07:04 +08:00 via Android
    重装系统吧 简单粗暴
    AEANWspPmj3FUhDc
        38
    AEANWspPmj3FUhDc  
       2017-09-11 20:07:47 +08:00
    还是重装系统彻底。
    rebeccaMyKid
        39
    rebeccaMyKid  
    OP
       2017-09-11 20:20:28 +08:00 via Android
    @18725769609 如果软件不是装在 C 分区呢?重装系统是指把其它分区也都格式化掉吗?
    ProjectAmber
        40
    ProjectAmber  
       2017-09-11 20:36:50 +08:00
    在学校 NIC 兼职过,微信直接就能解密,不需要在你本地动什么手脚。
    freed
        41
    freed  
       2017-09-11 20:37:26 +08:00 via Android
    @rebeccaMyKid 不在 c 分区,除非他感染了全盘文件,否则重装了系统他也无法自己再运行起来了…如果感染了文件,运行那些文件会再次运行那个程序…不过公司监控又不是木马,不可能感染其他文件吧…
    yan5990853
        42
    yan5990853  
       2017-09-11 20:46:24 +08:00 via Android
    我会和交心的同事说:不要我在公司干私事。
    key
        43
    key  
       2017-09-11 21:09:57 +08:00
    会不会是公司里布置的高清摄像头直接摄你们的屏幕?
    rebeccaMyKid
        44
    rebeccaMyKid  
    OP
       2017-09-11 21:18:14 +08:00 via Android
    @key 公司就几个摄像头,装在哪里比较清楚。看摄像头不如直接装监控,反正电脑都是自己的。
    lyhiving
        45
    lyhiving  
       2017-09-11 22:02:10 +08:00 via Android
    Windows 还是会有很多东西,建议重装
    rashawn
        46
    rashawn  
       2017-09-11 23:39:53 +08:00 via iPhone
    为啥要在电脑上用微信…
    cxbig
        47
    cxbig  
       2017-09-11 23:57:24 +08:00
    V2 的风格不是应该说“换个工作”么。。。
    cisisustring
        48
    cisisustring  
       2017-09-11 23:59:16 +08:00
    全盘格式化,然后重新分区装新系统。
    技术上防监控不难,难的是监控不到你找你谈话,要你自己”主动“安装监控软件。
    结论:这种对员工监控的行为一开始问清楚,不同意就不要入职。
    hanqian
        49
    hanqian  
       2017-09-12 00:15:38 +08:00
    换个工作
    doubleflower
        50
    doubleflower  
       2017-09-12 00:20:46 +08:00 via Android
    https 也是可以监控的
    shuirong1997
        51
    shuirong1997  
       2017-09-12 00:42:32 +08:00 via Android
    @ProjectAmber 能多说些吗
    wellsc
        52
    wellsc  
       2017-09-12 00:49:32 +08:00
    深信服貌似有监控的硬件,可以监控上网记录
    just1
        53
    just1  
       2017-09-12 01:12:41 +08:00 via Android
    走公司网关你就可以被监控。深信服
    3500333
        54
    3500333  
       2017-09-12 01:14:59 +08:00 via iPhone
    还记得灰鸽子吗?
    JamesR
        55
    JamesR  
       2017-09-12 03:49:57 +08:00   ❤️ 2



    datocp
        56
    datocp  
       2017-09-12 06:29:49 +08:00 via Android
    workwin。。。以前公司推广的就是这个,当时我在公司内部论坛曝了一下侵犯个人隐私,那几个论坛管理员还说不怕无所谓之类的,但很快公司就让这个软件消失了。
    接着上场网康行为管理设备,很多公司领导对这些设备是什么用途,如何使用,如何监督使用根本不懂。最终花了大价钱,却被网管用来监控他们隐私搞笑,事发后直接开除,可惜人家早已经掌握大量隐私,清空设备上的设置,无事身退。
    真不知道装这些设备的公司领导怎么想的。还有神经病天天看监控视频的,在这种公司还是早离职好。
    slack
        57
    slack  
       2017-09-12 07:59:08 +08:00 via Android
    Linux 的 live cd 能否启动?
    gimp
        58
    gimp  
       2017-09-12 08:49:31 +08:00
    没有什么是重装 windows 解决不了的

    如果有,那就换用 Linux
    mosliu
        59
    mosliu  
       2017-09-12 08:50:54 +08:00
    全局挂代理吧。
    murmur
        60
    murmur  
       2017-09-12 09:12:08 +08:00
    windows 加域之后想搞什么就搞什么
    所以换自己电脑不就可以了么
    rebeccaMyKid
        61
    rebeccaMyKid  
    OP
       2017-09-12 09:22:21 +08:00
    算了算了,这不是我等屁民能解决的。电脑是同事的,你让人家重装人家说不定嫌麻烦。
    反正我是不敢跟其他任何同事讨论一点私人话题了。。这种感觉,你们想象一下。。

    我觉得好几个员工都对老板有这样的猜疑和想法,这公司呆得没意思,有点人心惶惶的感觉,我自己的都怕,不是说马上要走,有机会的话,就换吧。。
    rebeccaMyKid
        62
    rebeccaMyKid  
    OP
       2017-09-12 09:22:55 +08:00
    散了散了
    voidtools
        63
    voidtools  
       2017-09-12 09:23:16 +08:00
    问题:咱公司肯定是装了的。如何嗅探出是什么方案,什么软件,什么版本呢?
    oska874
        64
    oska874  
       2017-09-12 09:28:33 +08:00
    坑能是你聊天时间太长了,所以经历每次叫你的时候,你都是在聊天。

    迫害妄想症。
    rebeccaMyKid
        65
    rebeccaMyKid  
    OP
       2017-09-12 09:46:07 +08:00
    @oska874 叫的不是我啊。你想想如果你其他同事装了,你还敢跟他们聊私人话题吗?
    missdeer
        66
    missdeer  
       2017-09-12 09:46:23 +08:00   ❤️ 1
    1. 可以,即使 https 也有 SNI 呢
    2. 可以。我家那位待过的上家公司的办公室斗争跟谍战片一样,一个老大叫 IT 部门的人监控获取了另一个老大的微信聊天截屏,然后搞下去了。。。。
    rebeccaMyKid
        67
    rebeccaMyKid  
    OP
       2017-09-12 09:46:25 +08:00
    @voidtools 对啊,就没人回我这个。
    natforum
        68
    natforum  
       2017-09-12 09:57:00 +08:00
    杀毒是查不出来的,一般这类都是免杀,你可以看看异常的 tcp 端口,还有异常的服务
    ytpfxnj
        69
    ytpfxnj  
       2017-09-12 10:05:45 +08:00
    wireshark 抓包,看看有没有局域网内大量到数据传输
    ic2y
        70
    ic2y  
       2017-09-12 10:07:44 +08:00
    @rebeccaMyKid 如果是公司发的电脑,看看里面有没有安装 自签的证书。
    Kelv
        71
    Kelv  
       2017-09-12 10:21:32 +08:00 via Android
    kingda
        72
    kingda  
       2017-09-12 10:53:51 +08:00
    以前在深圳一个广告公司,域+屏幕截图!
    7colcor
        73
    7colcor  
       2017-09-12 11:46:45 +08:00
    正常,我们公司都有装。
    同事直接问老大,这是个什么东西
    rebeccaMyKid
        74
    rebeccaMyKid  
    OP
       2017-09-12 12:35:25 +08:00
    @7colcor 你们装的是什么?我连有没有“这个东西”都不知道。
    rebeccaMyKid
        75
    rebeccaMyKid  
    OP
       2017-09-12 12:35:40 +08:00
    @kingda 装的是什么?
    rebeccaMyKid
        76
    rebeccaMyKid  
    OP
       2017-09-12 12:45:22 +08:00
    @ic2y 证书太多了,这个不实用
    243205964
        77
    243205964  
       2017-09-12 13:24:56 +08:00 via Android
    有没有可能是办公室有监控器能看到你朋友的电脑屏幕?
    kingda
        78
    kingda  
       2017-09-12 13:38:16 +08:00
    @rebeccaMyKid 网上找一个易语言源码修改的!
    jane35622
        79
    jane35622  
       2017-09-12 13:46:08 +08:00 via Android
    有太正常了,公司花钱买你的时间是让你干活的,不是让你玩耍的。直接重装最靠谱,问题重装之后上面会不会找你?因为如果有监控的话,突然监控没了就。。。。
    vigoss
        80
    vigoss  
       2017-09-12 13:47:44 +08:00
    重装系统并不能解决啊,老板发现他监控不了你的系统了不就又找你谈话了么?此事无解好么?离职吧。
    niuoh
        81
    niuoh  
       2017-09-12 14:10:28 +08:00
    我工作系统用 ubuntu 建议楼主可以用这个办法
    timwei
        82
    timwei  
       2017-09-12 14:13:05 +08:00
    Wireshark 抓包阿
    moonkiller
        83
    moonkiller  
       2017-09-12 14:23:56 +08:00
    你不知道小米路由器最新版的 app,可以直接查看手机上 app 的使用时长吗--
    rebeccaMyKid
        84
    rebeccaMyKid  
    OP
       2017-09-12 16:32:06 +08:00
    @moonkiller。。嗯,我已经学乖了,手机不连公司 wifi 了。
    rebeccaMyKid
        85
    rebeccaMyKid  
    OP
       2017-09-12 16:33:05 +08:00
    @timwei 对,这个可以试试,说不定就看到发的截图了。
    rebeccaMyKid
        86
    rebeccaMyKid  
    OP
       2017-09-12 16:34:51 +08:00
    @jane35622
    @vigoss
    我电脑是自带的 Win,没问题的。
    我觉得就算要装监控,你得先在合同里或者协议了告知一下啊
    SlipStupig
        87
    SlipStupig  
       2017-09-12 17:07:12 +08:00
    要监控你真的非常容易,替换根证书 HTTPS 流量基本上透明,路由上全局流量,截屏 /键盘记录,录音,摄像头等等这些玩烂了的东西只有你想不到,没有做不到,你想找进程,通过链路表查看,完全可以让你找不到。不要存有侥幸,电脑本来就是公司的,而且上班时间不要用公司的电脑,干私人的事情本来就不对,别想着绕过。
    处理私人的事情用自己的设备,不要用公司的任何网络,顺带说一下你哪怕用移动网络依然不安全,所以我建议的事情,下班了再去干
    woyaojizhu8
        88
    woyaojizhu8  
       2017-09-12 17:47:16 +08:00
    @ProjectAmber #40 微信是明文发送,还是加密手段比较简单,容易破?
    Osk
        89
    Osk  
       2017-09-12 18:04:10 +08:00
    发一张应景的图,我连接 wifi 后开 V2EX 的(虽然图中 WiFi 已经显示断开)


    我会假装不知道发生了什么,然后默默地点 “继续浏览”, 呃,好像没有继续。。。
    Osk
        90
    Osk  
       2017-09-12 18:06:48 +08:00
    建议楼主同事不要去折腾了,带个平板或者自己的电脑去用吧,现在电信联通的无限流量还算能接受的价格,这根本不是技术能解决的问题
    rebeccaMyKid
        91
    rebeccaMyKid  
    OP
       2017-09-12 18:40:59 +08:00
    @SlipStupig 进程还是有的吧老哥
    @Osk
    嗯,不打算折腾了。但是想到一个方法,直接看进程的流量上传,然后再看目的 IP,如果是发到本地同域 IP 那就很可疑了。
    SlipStupig
        92
    SlipStupig  
       2017-09-12 18:56:39 +08:00   ❤️ 1
    @rebeccaMyKid 15 年前就没有进程了,用 dll 注入就没有进程,只有一个 dll 驻留在进程空间里面,如果是 shellcode 注入,连 dll 都没有,而且全局 Hook 直接可以隐藏进程,恐怕你要失望......如果是 bootkit 你重装系统都没用,这个事情说了不要反抗,毫无意义
    rebeccaMyKid
        93
    rebeccaMyKid  
    OP
       2017-09-13 00:17:38 +08:00 via Android
    @SlipStupig 小公司小公司……用不了这么高深的东西。我去问过几家百度搜到的,反馈都是有进程的。
    7colcor
        94
    7colcor  
       2017-09-13 11:22:19 +08:00
    @rebeccaMyKid 网络哨兵还是网络卫士,不知道怎么装上去的。我们是偶然发现的。
    这个软件挺出名
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3382 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 11:33 · PVG 19:33 · LAX 03:33 · JFK 06:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.