web-dev-qa-db-ja.com

コンピュータがリモートで制御されているかどうかを確認する方法

私のラップトップにはWindows 7がインストールされています。

ある土曜日の夜、私は眠ることができず、ただベッドに横たわっていました。それから突然、朝の2時頃にラップトップのファンが起動し、ラップトップのライトが点滅し始めたのが聞こえました。蓋が閉まっていて、頭痛がしたので開けたくありませんでした。

ファンがオンになり、ライトが30分ほど点滅した後、ラップトップはスリープ状態に戻りました。朝、ノートパソコンをチェックして、ファイルが欠落していないか、何かが行われていないかを確認しました。しかし、問題は見つかりませんでした。

これは私に考えさせられました。

コンピューターにリモートアクセスプログラムがインストールされているかどうかをどのように検出しますか?

リモートアクセスプログラムがある場合、ラップトップをスリープ状態から復帰させることができますか(logmein.comなどのプログラムを見たので、これは可能だと思います)。もしそうなら、ユーザーはコンピュータがリモートでアクセスされているかどうかを知ることができますか?

コンピューターがリモートアクセスされている場合は、軌道からそれを核にするか、コンピューターへのアクセスを許可しているものを何とか削除することができます。

彼らの助けと説明をした人に感謝します:)私はLinuxの解決策しか見つけられず、Windowsの解決策は見つかりませんでした。

malwareaccess-controlremote-desktop
3
Quillion

開いているポートのリストをチェックして、異常が発生していないかどうかを確認できます。変に見える場合は、「不良ポート」を聞くことができます

さらに、processHackerなどのツールを使用すると、すべてのプロセスが何を実行しているかを確認できます。

質問に戻ると、PCをリモートで起動するか、スリープから復帰させることはおそらく不可能ではありませんが、かなり難しいと思います。特にそれを起動します。スリープ状態でも、リモートの攻撃者がパケットを送信してウェイクアップできるように、PCはいくつかのポートでリッスンする必要があります。キーボードからの入力をリッスンしているので、おそらく実行可能ですが、かなり難しいと思います。

また、その時点では何も聞いていないため、起動はさらに困難です。しかし、USBに接続されているデバイスなどがあります。

どちらの方法でも、ポートをリッスンし、プロセスを監視することで、マルウェア/ウイルスを検出できます。忘れないでください。PCがゾンビになってパケットを外部に送信した可能性もあります(ゾンビウイルスがPCを起動する可能性もあります)。したがって、着信パケットと発信パケットの両方をリッスンします。

編集:ああ、ところで、ウイルスは特定の時間にコンピュータを起動する可能性もあります。ただし、これはリモートでは行われません。 Windowsの更新ポリシーと同様に(午前3時にPCを起動し、更新がある場合はそれを確認してインストールし、シャットダウンします)。ウイルスも同じことを行い、リモートマスターサーバーに接続する可能性があります。

TLDR;すべてが可能です。

1
cengizUzun

コンピュータがリモートでアクセスされている場合、感染の深さはわかりません。軌道からの核は行く唯一の方法です。

リモートアクセスプログラムの検出に関しては、既知のリモートアクセスマルウェアを探す多くのベンダーから実行できるオフラインスキャナーがあります。ただし、もちろん、既知のマルウェアのみを対象としています。

ポートをリッスンしてプロセスを一覧表示できますが、マルウェアは時間ベースであり、特定の時間または特定のイベントが発生したときにのみ実行される場合もあります。マルウェアは、既存の正当なプロセスに接続することもできるため、完全に正常に見えます。

4
schroeder

これはおそらく自動更新であったと思います...

そうは言っても、ルーターまたはLAN上の別のコンピューター(Wake On LANがMACフレームレベル、つまりレベル2で機能する)を制御できれば、誰かがコンピューターをWake On LANで起動した可能性があります。 tインターネット経由で作業します)。

それが事実である場合、ほとんどのことは間違いです。ウイルススキャンを実行します。 1週間に1回実行してモップアップします(ベンダーが今週確認できなかった場合、ベンダーは今週広がったウイルスの最新情報を入手する必要があります)。

それでも自分が所有していると思われる場合は、再フォーマットする必要があります。

それでも自分が所有していると思われる場合は、脆弱性が開いたままになっているか、またはファームウェア(グラフィックスカードやBIOSなど)に影響を与えているため、新しいコンピューターが必要になります。現時点では、ファームウェアの角度はまだこれまでのところ可能であることが証明されていますが、実際には実際には見られません。

1
pacifist

これはおそらく特定の状況には当てはまりませんが、より一般的な質問には関係があります。

2台目のコンピューターがあり、疑わしいコンピューターからのトラフィックを盗聴できる場合は、そのトラフィックを監視することで、システムが侵害されているかどうかを判断できる場合があります。トラフィックの分析はここでは答えの範囲をはるかに超えています(ただし、SNORT(www.snort.org)などのオープンソースツールがあり、侵害されたシステムによって生成されたトラフィックを特定するのに役立ちます)。簡単な(ただし、決定的なわけではない)テストは、スニッフィングするトラフィックがあるかどうかを確認することですが、netstatを介して表示できる付随するプロセスはありません。これは、引き継がれているシステムの一般的な指標です。

侵害されたマシンにインストールされたマルウェア対策ソリューションを使用したスキャンは、OSへのフックによってスキャンエンジンから隠蔽される可能性があるため、信頼できません。

1
h2oliu