This page has been robot translated, sorry for typos if any. Original content here.

Під наглядом ... "або Vs Admin (LAN version)

Незалежно звідки ви "виходите" в Internet, за вами можуть стежити, якщо ви будівлі, це можуть діяти при підмоги троянів (програми типу "Троянський кінь") з метою дізнатися ваші паролі, якщо в Інтернет-кафе, в комп'ютерному класі, на праці і т.д. за вами можуть стежити системні правителі, це такі люди, які дивляться за локальними мережами, зазвичай їх перебування непомітно, але іноді вони просто нахабніють, вважають що якщо вони адміни то їм все можна, що бла бла може зробити адмін? Коли ще ми навчався на 1-му курсі, часто зависав в комп'ютерному класі, просто чатілся, але була одна проблема, у нас "Забороняється чатитись також грати" але що там ще щось робити? :) Після кількох непереконливих :) прохань адмінів закрити чат, почалося щось дивне: мишка сама почала ворушитися також закривати вікна, іноді ще в формі введення тексту в чаті набирався текст "Все виродки" також надсилається в чат, потім комп просто вимикався Smile happy Ми просто офигели, безсумнівно все усвідомили що це адміни "жартують" але зробити нічого не могли ... В цій статті ми напишу, як дізнатися стежать за вами чи ні, IP-адреса цього "розумника" а так бла бла просто дізнатися якщо хто -то по локальній мережі (LAN- Local Area Network) зайшов до вас на жорсткий диск.

Що може зробити Сис Адмін?
Наприклад, бачити копію вашого екрану, повністю перехопити управління комп'ютером, тобто навіть вимкнути :) також до того бла бла дізнатися всі введені вами паролі ... Останнім дозволено зробити непомітно від користувача :) Все це робиться при підмозі спеціальних програм для віддаленого адміністрування наприклад: Remote Administrator (Radmin) і т.п., ще до програм для віддаленого управління відносяться трояни і все написане нижче так бла бла відноситься і до них. Працюють дані програми за принципом "Клієнт-сервер" Клієнтська частка програми встановлена ​​у того хто керує, а сервер непомітно працює у того, ким управляють. Зазвичай сервер прописаний в автозавантаження також стартує спільно з Windows. При завантаженні, сервер затіває "Слухати" певний порт, тобто він чекає з'єднання на цьому порту, але той у кого клієнт, для підтримання зв'язку з "жертвою" вписує IP-адреса також порт (той який слухає сервак) пізніше чого натискає "Connect" ... Для того щоб дізнатися які порти відкриті, можна просто подивитися всі активні сполуки, скориставшись наприклад Internet Maniac, в меню "SNMP"> "Active connections", так виглядає сервер Remote Administrator'a, який (за замовчуванням) зволікає з'єднання на 4899 порту, в настройках дозволено поміняти порт: Статус з'єднання при це "LISTENING"

Можна скористатися стандартними утилітами Windows'а, в меню "Програми" запустіть "сеанас MS-Dos" також введіть "netstat -a" без лапок;) Формат видається результату: "ім'я свого компа: порт ім'я віддаленого комп'ютера: порт статус з'єднання" Якщо треба побачити всі встановлені з'єднання в числовому вигляді, але ніяк не у вигляді імен, то введіть netstat -n.

Якщо замовник з'єднався з сервером (встановленим у мене), то це буде виглядати так:

Як видно на мій комп'ютера підключився користувач з IP-адресою XXX.168.1.25, (статус з'єднання ESTABLISHED- об'єднання встановлено)

Примітка: У момент перевірки повинні бути закриті всі мережеві програми: Internet explorer, ICQ, поштові проги ...

Визначаємо момент з'єднання
Якщо вам хочеться дізнатися, в який час до вас будуть підключатися, IP-адреса також ім'я комп'ютера в мережі, скористайтеся програмою Attacker, вона стежить за зазначеними портами також при наміри підключення відчужує знати :) Наприклад якщо, серед активних сполук видно, що кокое-то додаток "Слухає" порт 4899 (Radmin), то треба взяти прогу Attacker плюс добавть цей порт (в TCP) для стеження за ним, при наміри підключення до нього прога вас сповістить (з'єднання при цьому встановлено ніяк не буде). На скіни видно що в 13:51:17 з IP-адреси: XXX.168.1.177 була спроба підключення до порту 4899, ім'я віддаленого комп'ютера в мережі: YURI.

Якщо хтось із користувачів локальної мережі "заліз" до вас на жорсткий диск, то серед з'єднань стане ще на 139-му порту (nbsession). На скіни видно що користувач з IP-адресою XXX.168.1.25 підключився до мого комп'ютера через мережеве оточення :) Програма Internet Maniac замість номера порту може ілюструвати назва сервісу, присвоєного цьому порту, в даному випадку це nbsession- порт 139.

Сканування віддаленого комп'ютера
Коли на комп'ютері запущені якісь мережеві сервіси, вони відкривають порти, тобто просканувавши порти на віддаленому комп'ютері, дозволено побачити які з них відкриті, на скине зображений результат сканування комп'ютера на якому встановлено сервер програми Radmin (порт за замовчуванням: 4899). Тобто якщо при скануванні ви побачили відкритий порт 80, це означає що там встановлений web-сервер, якщо 3218, 8080 або 80 то це швидше за все proxy-сервер ...

Як визначити встановлена прога, чи ні
Якщо у вас відкриті порти (статус LISTEN або ESTABLISHED), при цьому ніяк не запущені ніякі мережеві програми, то можливо, що це сервер програми віддаленого управління, спробуйте подивитися всі запущені програми (CTRL-ALT-DELETE) якщо таким чином ви нічого не знайшли (часто проги спеціально так зроблено, щоб їх не було видно), то дозволено скористатися всяким менеджером завдань, який покаже всі запущені програми наприклад Process Wiewer, Task Meneger ... нині дозволено вивантажити будь-яку прогу, Якщо об'єднання було встановлено то воно разорветс я.

Як дізнаються паролі
Для того щоб дізнатися паролі адміни можуть використовувати кілька способів, найпростіший також найбільш часто зустрічається це використання Keylogger'ов, тобто програм, які записують всі натиснуті клавіші, найвідоміша з них-hookdump95, зазвичай подібні проги ловлять антивіруси, але хто завадить написати свою?

ЗИ: Поки що робив скріншоти до статті, адмін почистив мою дискету, яка в цей час була в дисководі, але на ній чужа семестрова була ... також хто він пізніше цього ???