14:34 

Слежение за пользователем Windows

УАЗ - это диагноз. Я неизлечим, или Добро пожаловать ко мне на борт.
Как система довольно продвинутая функционально MS Windows предоставляет довольно обширный набор функций, о которых далеко не все в курсе. Зачастую «не в курсе» бывают представители MS, люди, которые пишут книги по Windows, а тем более простые системные администраторы и тем более пользователи.
Немного о приемах, которые я применяю для слежения за тем, что делают пользователи на рабочих местах и как их можно применить в других Windows системах. Насколько законны эти приемы слежения – вопрос отдельный с очень большим количеством нюансов, а пока техническая часть.
Итак поехали:
Слежение за клавиатурным вводом
В Windows есть довольно популярный механизм установки клавиатурных ловушек, 99% псевдо хакеров знают про WH_KEYBOARD и WH_MOUSE позволяющих перехватывать события мыши и клавиатуры. Захотел подсмотреть пароль – запустил ловушку, и опа – пароль и твой. Но не тут то было: во первых для того, чтобы создать эти ловушки требуются права администратора, во вторых создатели антивирусных программ тоже знают про эти функции, и при их установке антивирусник выдает предупреждение вида: «попытка вмешаться в деятельность другого процесса». Но по мимо WH_KEYBOARD и WH_MOUSE в Windows есть недокументированные официально WH_KEYBOARD_LL и WH_MOUSE_LL, которые позволяют организовать примерно тот же функционал, на требуют админских прав и что самое главное: они ставятся в клиентский пул, т.е. невидимы для антивирусника вообще. При грамотном написании этих ловушек изменений в процессе работ программ вы не заметите (кроме тех, что ими пользуетесь не только вы), грамотно написанные ловушки Windows обрабатывает быстро и корректно. Их можно вычислить? Да, если маниакально запускать программу поиска троянов каждые полчаса – они в какой-то момент попадутся, но на этот случай Windows сделал ещё несколько лазеек – смой простой, чем можно воспользоваться GetKeyboardState – вызывая её 100 раз в секунду мы не создадим никакой видимой нагрузки, и гарантированно будем знать, какие кнопки нажимал пользователь, довольно не плохая функция, что самое хорошее: гарантированно не отслеживается никакими ативирусниками, антитроянами, потому что является 100% легальной.
Слежение за экраном
Тут все немного сложнее, WinAPI для слежение за экраном предоставляет лишь довольно медленные интерфейсы, но если в слежении устраивает 10-15 кадров в минуту, то запись действий пользователя можно сделать совершенно незаметно, а потом так же незаметно собрать и посмотреть. Стандартная функция CopyFromScreen не вызывает подозрений антивирусников, и видимых задержек, если вызывать не слишком часто.
Слежение за запуском программ
Легко – EnumWindows. Абсолютно безобидная функция.
Слежение за съемными устройствами
Вот и добрались до вкусного, самое вкусное на закуску. Ситуация: вам принесли флешку, на флешке лежит куча всякого интересного, но хозяин флешки не дает посмотреть. Не проблема – делаем невидимое окно, обрабатывающее только одно событие: WM_DEVICECHANGE, при его наступлении в наглую вывешивает окно «Новосибирский Антивирус: сканирование съемного диска» и копирует все куда нам надо, при этом показывая какие именно он файлы «проверяет», а по окончании «проверки» пишет – «вирусов не обнаружено». (для любителей можно: копировать в тихую, ничего не сообщая, но тогда есть вероятность не успеть скопировать самое интересное). Тоже совершенно легальная функция, которую невозможно никак обнаружить.
А при помощи FileSystemWatcher можно отслеживать все изменения которые происходят при работе пользователя.
Установка на компьютер жертвы
Если есть возможность запустить компьютер «жертвы» в отсутствии самой «жертвы», с установкой вообще никаких проблем. Если «жертва» по неопытности не изменила стандартный пароль администратора, и вы находитесь с ней в одной сети – тоже дело 3 минут. Но самый простой путь – занести вручную: приносишь человеку фильм сжатый редким кодеком, опа – не открывается, а тут же на диске есть этот кодек, ставишь кодек и следилку (как вариант).

За каким действиями ещё можно следить? Практически за любыми (начиная от печати, до отправки почты), не вызывая подозрений ни пользователя ни его программ. Как можно ставить программы? Очень много вариантов. Благо Windows система довольно функциональная, а защита в ней сделана так, чтобы защищать саму систему от пользователей, но не как не пользовательскую информацию, ценность которой для MS не очевидна (немного оговорюсь: в Windows есть алгоритмы и приемы, при помощи которых можно обезопасить от таких вот хулиганств, но они сильно не очевидны)
Настолько это противоречит закону? В случае работодатель-сотрудник – ровно настолько, насколько прописано в трудовом договоре (читайте трудовые договора внимательно), в случае с домашними компьютерами – по идее не очень законно, но не доказуемо (есть повод задуматься)

На правах рекламы:
Пишу программы для слежения за пользователями (быстрые и аккуратные, заточенные под конкретный функционал в конкретной сети)

URL
   

Way to Amsterdam city

главная