22.10.2018 13:47
Федор Говяшов
 
Извините за некропостинг: у меня такой вопрос, есть такая прога Кикидлер или Кикайдлер
Как можно ее обнаружить на рабочем компе с десяткой без прав админа?
Прошел слух, что у нас на работе ее юзают.
Смотрел в процессах, ничего подозрительного не увидел.
Не то чтобы я играю в онлайн-игрухи на работе, но как-то неприятно, что кто-то может за тобой наблюдать
22.10.2018 13:55
OlegON
 
Федор, без прав админа вопрос начинается с определения того, какие права все же есть, что вы можете скачать и запустить.
Поставьте мониторинг списка соединений, например, штатной утилитой netstat в файл. Если не найдете - не факт, что ее нет, но можете и найти. Вариантов много... Я не в курсе, что эта утилита делает, но общий принцип ловли - провоцируйте ее на отчет и пытайтесь ловить. Сам я категорически против такого софта. И конторы, их использующие, как правило, наверху отдают дерьмом.
23.10.2018 06:29
aldemko
 
нашел на просторах сети...

Наличие агента можно определить через диспетчер задач по процессам grabber.exe, grabberAgent.exe, grabberSubAgent.exe. Путь по умолчанию C:\Program Files (x86)\TeleLinkSoftHelper.

так же, можете скачать с оф сайта ту часть которая ставится на пк работника (вьювер) и посмотреть куда ставится и какие процессы. Есть демка

Последний раз редактировалось aldemko; 23.10.2018 в 06:31.
23.10.2018 06:51
Propil
 
Цитата:
aldemko Наличие агента можно определить через диспетчер задач по процессам grabber.exe, grabberAgent.exe, grabberSubAgent.exe.
А будут ли отображаться эти процессы в диспетчере, если прав админа учетка не имеет?
23.10.2018 07:02
aldemko
 
Ну, тут 50 на 50.
но если есть доступ к просмотру каталогов program files. то думаю можно понять, есть шпион или нет.
В любом случае, верный способ только 1 - скачать клиент, установить и посмотреть.
Там уже будет ясно, может ли он скрывать процесс, либо папку и так далее.

Зы. В любом случае, на рабочем пк, это делать из под какого то загрузчика, с флешки или диска. Ибо если Федор будет искать под своим пользователем, это обязательно узнают "хозяева"

Последний раз редактировалось aldemko; 23.10.2018 в 07:05.
23.10.2018 08:37
OlegON
 
Еще нюанс в том, что даже от админа можно из списка процессов прятать требуемое. Если прав хватает, то AVZ, например, будет палить всякие кейлоггеры и т.п., чем страдает эта мерзость.
А тем, кто ставит, надо бы еще вопрос задать, каким образом защищаются чувствительные данные, например, пароли. Даже администратор не должен знать пароль пользователя. А тут кейлоггер...
24.10.2018 19:34
Федор Говяшов
 
Цитата:
aldemko Ну, тут 50 на 50.
но если есть доступ к просмотру каталогов program files. то думаю можно понять, есть шпион или нет.
В любом случае, верный способ только 1 - скачать клиент, установить и посмотреть.
Там уже будет ясно, может ли он скрывать процесс, либо папку и так далее.

Зы. В любом случае, на рабочем пк, это делать из под какого то загрузчика, с флешки или диска. Ибо если Федор будет искать под своим пользователем, это обязательно узнают "хозяева"
Program files папку вижу, в ней ничего подозрительного не нашел. Я тут почитал, что его могут в ProgramData засунуть. Но к этой папке у меня походу нет доступа.
24.10.2018 19:37
OlegON
 
Просмотр каталогов тоже может фильтроваться и искомое не будет видно.
25.10.2018 05:55
aldemko
 
надо поставить клиента, и запустить какой нибудь live касперский и докторвебер
Они бесплатные, и по моему они такие кейлогеры не любят.
В тот антивирус что в системе могли внести правила, и он не ругается.
Интересно будет ли ругаться каспер или веб


а папки все же лучше просматривать с livecd или еще чего то.
просто, если на пк такой софтины не установлено. можно будет долго искать то чего нет, и думать то прав нет то еще чего то, а может там и софтины этой нет :)

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.