چگونه متوجه شویم که کامپیوتر ما کنترل و جاسوسی می شود ؟
اگر سیستم و اطلاعات شخصی فرد در حال نظارت و بررسی باشد، سرقت و جاسوسی داده ها عواقب بسیار سنگینی برای وی به همراه دارد، در این پست تصمیم داریم شیوه های بررسی سیستم برای اطمینان از عدم مانیتورینگ ، جاسوسی ، هک و سرقت اطلاعات را آموزش دهیم.
چگونه بفهمیم که کامپیوتر نظارت ، هک یا جاسوسی می شود؟
How to Detect Computer Monitoring or Spying Software
اگر احساس می کنید رئیس شما در محل کار و یا هکر ، اطلاعات موجود و کارهای شما در کامپیوتر را رصد می کند و در حال جاسوسی است آسان و راحت ترین راهی که یک شخص می تواند وارد سیستم شما شود و کنترل آن را بدست گیرد یا اعمال شما را نظارت کند ریموت کردن (remote) به سیستم از راه دور با استفاده از ابزار پیشفرض سیستم عامل مثل remote desktop ویندوز یا برنامه های حرفه ای دیگر میباشد.
خوشبختانه ویندوز از حالت چند کاربره برای remote desktop استفاده نمی کند ( یک هک برای اینکار وجود دارد اما جای نگرانی نیست ) و در صورتی که شخصی وارد سیستم شما شود کامپیوتر شما قفل خواهد شد و به شما گفته می شود کاربر دیگری در حال استفاده از سیستم است
اگر به دنبال نرم افزار مشابه ریمورت کنترل و یا پردازشگرهای مجازی شبکه (VNC) هستید که فرد سودجو یا شرکت بر روی سیستم شما نصب کرده باشد، باید از پایه و ابتدا به دنبال آن بگردید. برای اینکار ابتدا سیستم خود را ریستارت کنید و سپس به Start Menu – All Programs / Apps رفته و ببینید برنامه های با این عنوان VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC اخیرا در سیستم شما نصب شده اند یا خیر!
در بسیاری از مواقع کاربران به برنامه های کوچک که بر روی سیستم آنها نصب است بی توجه هستند که ممکن است برخی از آنها بسیار مخرب باشند ، اگر برنامه های بالا در لیست شما وجود داشت هر شخصی میتواند بدون اطلاع شما و در پشت پرده به سیستم شما وصل شود.جهت اطمینان از این موضوع میتوانید taskbar ویندوز را چک کنید تا از وجود آیکون نرم افزار های بالا و غیر معمول مطمئن شوید، توجه کنید که تمامی آیکن ها حتی آیکن های مخفی را چک کنید
اگر در لیست با برنامه ای که نمی دانستید چکاری را انجام می دهید برخورد کردید حتما نام آن را در گوگل جستجو و اطلاعات آن را بخوانید.در نهایت اگر برنامه های جاسوسی بر روی سیستم شما نصب بود حتما آنها را از روی ویندوز حذف (uninstall) کنید.
بررسی پورت های فایروال
Check Firewall Ports
اگر در مرحله اول به نرم افزار خاص و مشکوکی برنخوردید این بدین معنا نیست که سیستم شما از هرگونه نرم افزار جاسوسی پاک است ، باید بررسی ها بیشتر و پیچیده تری بر روی سیستم خود انجام دهید.
پورت ها به زبان ساده باعث ایجاد ارتباط بین کامپیتور ها برای تبادل اطلاعات میشوند ( بیشتر بدانید ) ، همانطور که میدانید فایروال ویندوز در حالت پیشفرض برخی از پورت های ارتباطی را به دلایل امنیتی بلاک کرده است ، خب پس به طور مثال اگر شما یک وب سایت را از طریق پروتوکل ftp اداره نمیکنید چرا باید پورت ۲۳ شما باز باشد ؟
برنامه های جاسوسی باید از طریق یکی از پورت های باز سیستم شما به تبادل اطلاعات بپردازند ، شما میتوانید با مراجعه به Control Panel > Windows Firewall و کلیک بر روی Allow a program of feature through Windows Firewall پنل سمت چپ تمامی پروتوکل و پورت های باز سیستم و برنامه هایی که با آنها ارتباط دارند را چک کنید.
اگر برنامه هایی که در این لیست مشاهده میکنید مشکوک بودند و یا نام آنها با برنامه های VNC و یا ریموت کنترل یکی بود تیک (مجوز) آنها را بردارید و تغییرات را اعمال کنید.توجه داشته باشید برای اطلاع کامل از دسترسی و نام برنامه های مشکوک حتما اسم آنها در گوگل جستجو کنید.
بررسی ارتباطات خروجی سیستم
Check Outbound Connections
در برخی اوقات ممکن است نرم افزار مخرب هیچ ارتباط دریافتی (incoming connection) نداشته باشد و تنها ارتباط خروجی (outbound connection) با یک سرور در شبکه داشته باشد .در ویندوز تمامی ارتباط های خارجی به صورت پیشفرض دارای مجوز هستند ، هیچ محدودیتی بر روی آنها نیست و بلاک نمیشوند! پس اگر برنامه ای اطلاعات شما را ذخیره کند و آنها را برای یک سرور در اینترنت ارسال کند در مرحله اول اسم آن در لیست فایروال قرار نمیگیرد و اینکه بدون اینکه کاربر متوجه شود میتواند اطلاعات را برای هر شخصی ارسال کند.
در ادامه شما را با دو نرم افزار معروف بررسی ارتباطات خروجی سیستم آشنا میکنیم . توجه داشته باشید که اینکار چندان آسان نیست چرا که شما با نرم افزارهای پیچیده جاسوسی و دزدی اطلاعات در این مرحله سر و کار دارید.
استفاده از نرم افزار TCPView
ابتدا نرم افزار کم حجم TCPView مایکروسافت را دانلود کنید.سپس آن را unzip و بر روی فایل Tcpview کلیک کنید.
این نرم افزار تمامی ارتباطات های کامپیوتر ( connections ) را نشان میدهد ، در سمت چپ اسم پردازش مثل chrome و.. نمایش داده میشود.
ما در این پنجره با ستون های Remote Address و State بیشتر کار داریم ، بر روی عنوان ستون State کلیک کنید تا تمامی ارتباط های که با وضعیت ESTABLISHED ( در حال حاضر برقرار و باز است ) را به ترتیب مشاهده کنید ، توجه داشته باشید که نرم افزار های جاسوسی و دزدی اطلاعات ممکن است که در همه مواقع با سرور ارتباط برقرار نکند پس بهتر است که شما بر روی نرم افزارهای فعلی که ارتباط آنها باز هستند نظارت کنید و اگر نرم افزار جدید مشکوکی با وضعیت ESTABLISHED به لیست اضافه شد حتما آن را بررسی نمایید
اگر با نام پردازش نا آشنایی در این لیست برخورد کردید پیشنهاد میکنیم قبل از هر گونه اقدام ابتدا اسم آن را در گوگل جستجو و درباره آن اطلاعات کسب کنید. کارکرد این نرم افزار بسیار با نرم افزاری که قبلا در بخش آموزش جلوگیری از آپدیت خودکار نرم افزار ها،مدیریت اتصال و مصرف حجم اینترنت در انزل وب معرفی نمودیم مشابه است ، البته گرافیک و امکانات آن نرم افزار کمی بیشتر از برنامه Tcpview میباشد.
ستون های بعدی که باید چک کنید Sent Packets ، Sent Bytes است ، اگر هکر و شخصی داده های شما را جاسوسی میکند ، این داده های باید از طریق پردازشی اسال شوند ، اگر لیست را بر اساس این ستون ها مرتب کنید ، پردازش هایی که بیشترین داده ها را به شبکه ارسال میکنند مشاهده خواهید کرد.
بررسی پردازش های سیستم با Process Explorer
Process Explorer یک ابزار بسیار کاربردی دیگر از سوی مایکروسافت است که با همکاری سایت ویروس یابی VirusTotal به شما میگوید که احتمال مخرب بودن پردازش های سیستم چقدر است.
برای فعال کردن این قابلیت از منو Options > VirusTotal.com > Check VirusTotal.com را فعال کنید ، به وبسایت آنها منتقل میشوید و سپس پنجره باز شده در نرم افزار را yes کنید
حالا بر روی ستون VirusTotal کلیک کنید ، پردازش ها بر اساس رتبه بندی این سایت مرتب میشوند ،رتبه پردازش ها با فرمت ۰/XX است که اگر عددی به غیر از ۰ برای پردازش نمایش داده شد حتما نام آن پردازش را گوگل کنید و اطلاعات آن را مشاهده نمایید.
استفاده از نرم افزار های Anti Rootkits
با توجه به استفاده از نرم افزار های فوق باز هم ممکن است برنامه مخرب در سیستم شما وجود داشته باشد ، دسته دیگری از نرم افزار های جاسوسی و مخرب وجود دارند که به آنها rootkit گفته میشود و بسادگی قابل نمایش نیستند.
اگر پردازشی مشکوکی در سیستم نبود باید به سراغ آنتی روتکیت ها برویم و اینکار را با ابزار قدیمی مایکروسافت به اسم Rootkit Revealer انجام میدهیم.همچنین میتوانید از نرم افزار های بسیار خوب و منتخب ۲۰۱۴ Malwarebytes Anti-Rootkit Beta و یا GMER هم برای اینکار استفاده کنید.
پس از نصب و اجرا یکی از نرم افزار ها ، اگر آنها بعد از اسکن در سیستم شما چیزی پیدا کردند و اخطار دادند که آن را حذف کنید حتما اینکار را انجام دهید.
در پایان پیشنهاد میکنیم نرم افزارهای آنتی ویروس و مالویر (anti virus & malware) را نیز حتما بر روی سیستم خود نصب کنید و آن را اسکن نمایید تا از وجود بد افزار ها زودتر مطلع شوید.
