Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Софт для определения кейлоггеров... (http://forum.oszone.net/showthread.php?t=67383)

bruno 17-06-2006 20:55 452014
Софт для определения кейлоггеров...
 
Впемечко добренькое всем пользователям сего замечательного форума.
Вот столкнулся с таким траблом. В офисе кто-то из "посторонних" установил кейлоггер.
У нас неск. контор на одном этаже, и даже в помещении, поэтому запретить кому-то ходить невозможно. Админа как такового нет, впрочем нет многого, что должно соблюдаться.
Так вот, уже в который раз замечаю, что материал над которым работаю, всплывет то там то сям, есть и другие приметы слежения за компом. Единственный вариант, это кто-то кто имеет доступ к компу(коллеги, руководство) установил кейлоггер, и в мое отсутствие отслеживает пароли к софту в котором хранятся данные.
Запретить кому-то другому пользоваться учетной записью я немогу.
Подскажите, или киньте ссылкой что можно сделать в данном случае. Пробывал как-то сам, нашел несколько програмуль, типа антиШпионов, антиКейлоггеров, прочесал ими все, результат нулевой, но в данных программах я сомневаюсь, т.к. кейлоггер может хорошо прятаться, и сами программы были сомнительны.

Arrest 17-06-2006 22:04 452023
Попробуй Kaspersky Internet Security. У меня он чистил их.

ScorpionXXX 18-06-2006 00:36 452061
bruno
Если у тебя был установлен Actual Spy ты не найдешь его анти вирусом. Логи могут сохраняться в файлах у тебя на жестком или отсылаться по локалке. Если последнее ставь фаер типа Outpost Firewall Pro. А так создай себе отдельного пользователя под поролем и пропиши достук к папке лично для себя, а для других полный запрет. И закрой доступ по локалке к папке.

hasherfrog 18-06-2006 01:01 452069
ScorpionXXX
>>ты не найдешь его анти вирусом

А так:
Цитата:
5. С помощью настроек программы я скрыл папку в которой она находится, а также удалил её из "Пуск->Программы". Каким образом мне её теперь запускать?

Для запуска программы зайдите в "Пуск->Выполнить" и в открывшемся окне наберите "actualspy"
? :-|

ScorpionXXX 18-06-2006 02:44 452101
hasherfrog
Цитата:
Для запуска программы зайдите в "Пуск->Выполнить" и в открывшемся окне наберите "actualspy"
Если ты заметил, то там можно менять команду на любую другую. Как потом запустишь?

hasherfrog 18-06-2006 02:48 452102
>> Как потом запустишь?
посмотрю, что до меня запускали :-)

А вообще-то у меня (кажется) есть способ определения actualspy (и похожего софта). Толбко я не знаю, как проверить. ScorpionXXX, у вас есть установленный actualspy?

((просто не хочу ставить себе лишний софт только ради того, чтобы проверить. если есть - давайте пересечёмся в личке))

APOSTOL 18-06-2006 17:33 452206
Цитата:
Запретить кому-то другому пользоваться учетной записью я немогу
А что мешает создать другую учётную запись, а свою запаролить... ?

ScorpionXXX 18-06-2006 19:32 452235
Цитата:
посмотрю, что до меня запускали :-)
Вот здесь поподробнее. Как к примеру ты узнаешь какой я ввел новую команду. Там можно поменять и горячию клавишу и команду в выполнить. А насчет способа определения я бы послушал. Я то же в одну контору поставил эту прогу и у меня были мысли как сделать не эффективной ее.

hasherfrog 18-06-2006 21:58 452263
>> Как к примеру ты узнаешь какой я ввел новую команду.
Я установлю свой кейлоггер :-)
А сначала посмотрю, что вводили в поле "пуск-Выполнить".
Если серьёзнее, то завтра с вами попробуем кое-что :]

ScorpionXXX 19-06-2006 21:42 452372
Цитата:
А сначала посмотрю, что вводили в поле "пуск-Выполнить".
Для запуска этой программы есть еще и быстрые клавиши, которые можно менять :) А вообще если у него была поставлена эта прога, то спрашивается зачем ее повторно запускать? Она и так на автомате все зделает и нечего ее лишний раз тревожить.

hasherfrog 20-06-2006 11:32 452503
В общем, так. Не сильно углублялся, но
1. Папку ASMonitor видно в far (ну и в проводнике, если включить "показывать скрытые папки").
2. Сам ASMonitor видно в списке процессов, выводимом утилитами наподобие pslist от Марка Руссиновича.
3. В список драйверов вроде не попадает (хотя глубоко не копал)
4. При совместной работе с Punto Switcher'ом, последний начинает "странничать"
5. ASMonitor периодически сбоит при завершении работы windows, выдаётся сообщение о невозможности завершения
Проверялось как под админом, так и под гостём.

ScorpionXXX 21-06-2006 01:14 452859
Цитата:
1. Папку ASMonitor видно в far (ну и в проводнике, если включить "показывать скрытые папки").
Лично когда я ставил на предприятии эту прогу ставил сюда C:\WINDOWS\system32\умное название папки. Расчитовал если у местного админа будет стоять фаер, то может быть он предположит что это система сама лезет в нет.
Цитата:
2. Сам ASMonitor видно в списке процессов, выводимом утилитами наподобие pslist от Марка Руссиновича.
pslist не проверял т.к. нету в данный момент, а в диспетчере он исчезает после команды на скрытие.
Цитата:
3. В список драйверов вроде не попадает (хотя глубоко не копал)
Вполне возможно что где-нибудь в дровах тусуется или в DLL каокй-нибудь прописался, ведь как-то он должен запускаться при старте.
Цитата:
5. ASMonitor периодически сбоит при завершении работы windows, выдаётся сообщение о невозможности завершения
Ни разу этого не было, ни в 98, ни 2000, ни в XP.

ScorpionXXX 21-06-2006 23:11 453352
Поставил ProcessExplorerNt. Он нашел процесс ASMonitor и даже указал где он находится и смог убить его. Тут уж не поспоришь.
Да вот еще. Тут проверил систему Outpost Firewall Pro ver. 3.51 (там есть встоенный поисковик шпионов) дак он эту прогу сразу же обнаружил и удалил.

stam26 02-07-2006 01:33 456852
а у меня вопрос в другом, как можно сделать так что бы ета прога и оперу контролировала ? А то когда работает опера то ета прога показывает что посещенно 0 сайтов, и если она не может ето делать то подскажите PLEASE какая прга ето умеет делать !!!


Время: 18:12.

Время: 18:12.
© OSzone.net 2001-