Come verificare se il computer è controllato da remoto

3

Il mio laptop ha Windows 7 installato.

Un sabato sera non riuscivo ad addormentarmi e mi trovavo a letto. Poi, all'improvviso, verso le 2 di mattina, ho sentito la ventola del portatile che si avviava e le luci sul portatile hanno iniziato a lampeggiare. Il coperchio era chiuso e non volevo aprirlo perché avevo mal di testa.

La ventola era accesa e le spie lampeggiavano per una buona mezz'ora, quindi il laptop tornava a dormire. Al mattino ho controllato il portatile per vedere se mancavano alcuni file o se era stato fatto qualcosa. Ma non ho trovato alcun problema.

Questo mi ha fatto pensare.

Come verrebbe rilevato se qualcuno ha installato un programma di accesso remoto sul tuo computer?

Se hai qualche programma di accesso remoto, puoi svegliare il portatile dal sonno (cosa che penso sia possibile visto che ho visto alcuni programmi come logmein.com e simili)? E se così fosse, l'utente sarebbe in grado di dire se il computer è accessibile da remoto?

Se il tuo computer viene visitato da remoto dovresti spostarlo di nuovo dall'orbita o in qualche modo puoi rimuovere tutto ciò che ti permette di accedere al tuo computer.

Grazie a tutti per il loro aiuto e la spiegazione :) Ho trovato solo soluzioni per Linux e nessuna per Windows.

    
posta Quillion 06.01.2014 - 16:27
fonte

4 risposte

1

Puoi controllare gli elenchi delle porte aperte per vedere se succede qualcosa di insolito. Se qualcosa sembra strano, puoi ascoltare "cattiva porta"

Inoltre, utilizzando alcuni strumenti come processHacker, puoi vedere cosa stanno facendo ogni processo.

Tornando alla tua domanda, l'avvio remoto di un PC o il risveglio dal sonno, probabilmente non è impossibile, ma direi che è piuttosto difficile. Soprattutto avviarlo. Anche durante il sonno, il pc dovrebbe essere in ascolto su alcune porte in modo che l'utente malintenzionato possa inviare pacchetti per attivarlo. Dal momento che sta ascoltando un input da tastiera, è probabilmente fattibile, ma piuttosto difficile io -solo- supponiamo.

E l'avvio è ancora più difficile dal momento che non ascolterà nulla in quel momento. Ma potrebbe esserci un dispositivo collegato all'USB o qualsiasi altra cosa.

In ogni caso, l'ascolto delle porte e il processo di osservazione ti aiuteranno a individuare malware / virus. Non dimenticarlo, il tuo pc potrebbe anche essere diventato uno zombi che invia pacchetti all'esterno (anche il virus zombie potrebbe riattivare il PC), quindi ascolta i pacchetti in entrata e in uscita.

Modifica: Oh btw, un virus potrebbe anche avviare il tuo computer in un determinato momento. Tuttavia questo non viene fatto da remoto. Proprio come la politica di aggiornamento di Windows (che ti fa avviare il pc alle 3 del mattino, controlla se ci sono aggiornamenti, se necessario, li installa e si spegne). Un virus potrebbe anche fare la stessa cosa e connettersi al server master remoto.

TLDR; Tutto è possibile.

    
risposta data 06.01.2014 - 16:50
fonte
4

Se il tuo computer è accessibile da remoto, non hai idea di quanto sia profonda l'infezione. Nuke dall'orbita è l'unica strada da percorrere.

Come per rilevare i programmi di accesso remoto, ci sono scanner offline che puoi eseguire da molti fornitori che cercano malware noti di accesso remoto. Ma, naturalmente, questo copre solo malware conosciuti.

È possibile ascoltare le porte e elencare i processi, ma il malware può anche essere basato sul tempo e può essere eseguito solo in determinati momenti o quando si verificano determinati eventi. Il malware può anche essere collegato ai processi legittimi esistenti, in modo che risultino del tutto normali.

    
risposta data 06.01.2014 - 16:56
fonte
1

È molto probabile che si trattasse solo di aggiornamenti automatici, credo ...

Detto questo, è possibile che qualcuno abbia svegliato il tuo computer (con wake on lan) purché avesse il controllo del tuo router o di un altro computer sulla tua lan (wake on lan funziona a livello di frame MAC, cioè al livello 2, quindi non funzionerà su Internet).

Stando così le cose, molte cose sono fallibili. Esegui un virus-scan. Eseguitene un altro in una settimana per rimuoverlo (a quel punto i venditori dovrebbero essere aggiornati sui virus diffusi più diffusi che abbiamo avuto questa settimana se non potevano già vederli).

Se pensi ancora di essere di proprietà, dovrai riformattare.

Se continui a pensare di essere di proprietà in seguito, o ti stanno prendendo da una vulnerabilità lasciata aperta ... o avrai bisogno di un nuovo computer perché hanno influito sul firmware (pensa alla scheda grafica o al bios) ; al momento l'angolo del firmware è ancora possibile solo fino ad ora dimostrato, ma non realmente visto in natura.

    
risposta data 07.01.2014 - 00:55
fonte
1

Questo probabilmente non è applicabile alla tua situazione specifica, ma è rilevante per la domanda più generale.

Se hai un secondo computer, e sei in grado di fiutare il traffico proveniente dal computer su cui hai dei dubbi, allora potresti essere in grado di determinare se il sistema è compromesso guardando quel traffico. Andando ad analizzare il traffico è molto al di là della portata di una risposta qui (ma ci sono strumenti open source come SNORT (www.snort.org) che possono aiutare a identificare il traffico prodotto da sistemi compromessi). Un test semplice (ma il mio non significa in alcun modo conclusivo) è vedere se c'è traffico che si annusa, ma nessun processo di accompagnamento visibile tramite netstat. Questo è un indicatore comune di un sistema che viene rilevato.

La scansione con una soluzione antimalware installata su una macchina compromessa non è affidabile poiché il compromesso può nascondersi dal motore di scansione con gli hook nel sistema operativo.

    
risposta data 13.02.2015 - 16:57
fonte

Leggi altre domande sui tag