Как отследить скрытое подключение к рабочему столу?

Question

[Сергей]

Стало появляться стойкое подозрение, что к компьютеру на работе кто-то подключается к рабочему столу и то ли делают снимки экрана, то ли просто наблюдают, и ко всему возможно имеется кейлогер. Возможно, так начальство пытается контролировать работу или ещё с какой целью.
Выражается это тем, что иногда рабочий стол и все открытые окна, начинаются обновляться постоянно, как будто прорисовываются по новой и это прям сильно мешает. По длительности это происходит по-разному и в разное время. Стороннего ПО StaffCop и ему подобного не обнаружил, сетевых подключений каких-то подозрительных не увидел (смотрел конечно в силу своих возможностей и знаний), служб тоже не нашёл.
Думал, что как-то через касперского получают информацию с помощью агента, но в последний раз при возникновении проблемы он был отключен.

Comments

[kolossradosskiy]

Превенция наблюдения за компьютером в домене.
Это и утверждение, и одноименная тема была тут, поищите.

Answer 1

[Dimonchik]

иногда рабочий стол и все открытые окна, начинаются обновляться постоянно как будто прорисовываются по новой и это прям сильно мешает

и что, процессор не загружен в это время?

ПО в процессах видно всегла, для кейлоггера надо поискать руткиты

Answer 2

[CityCat4]

ПО в процессах видно всегла

Нет :) не всегда. Найди-ка агента Стахановца :)

Может там конечно и кейлоггер - но топорный. А может видюха гонит. Если в системе есть правильно настроенный агент СМП - его не так-то просто найти (можно, конечно, но непросто). Впрочем, если работает СМП - об этом обязаны предупредить при приеме на работу.

И там не "скрытое подключение". Агент передает на сервер время от времени снимок рабочего стола и еще кучу всякой инфы, в том числе клавиатурный ввод :)

Comments

[Сергей]

Как то можно Стаханова отследить ?

[CityCat4]

Сергей, Конечно можно. Наличие установить можно. Больше ничего сделать нельзя. Можно конечно файлик какой-нибудь из состава агента прибить - если система даст, но перерыв в данных будет отслежен, агента просто переставят и все :)
На работе надо работу работать :)

[Сергей]

CityCat4, да пусть ставят его обратно. На работе как раз и работаю, главное что бы проблему устранили которую мне эту работу мешает делать. Просто если начинать говорить про это, то в открытую ни кто не сознается про какое либо ПО установленное и проблему решать не будут.

[CityCat4]

Сергей, Нет, конечно не сознается, тем более, если на самом деле поставили без доведения до сведения - тут конторе можно серьезно на шишку попасть :)

Answer 3

[Sergey Ryzhkin]

Запустите Wireshark и промониторьте логи куда что уходит, если вам скучно. А вообще для каких целей хотите это узнать? Ради спортивного интереса?
Если вы при приеме на работе не расписывались в листе ознакомления, что на рабочих местах установлен контроль работы сотрудника и т.д. и т.п. То неважно какие скрины они покажут или предоставят в случае чего. Это не будет носит никакой юридической силы.
Если это мешает вам работать, то поговорите с админом.

Comments

[Сергей]

Да хотелось именно понимать куда уходить, и как это обнаружить, к сожалению четкого алгоритма как это вычислить не знаю. Конечно не расписывался, с админами говорил сказали что не ставили. Но у нас есть и безопасники у которых права есть, и начальство IT отдела и если у них спросить ни кто не сознается, а вся проблема в том что это мешает работать, пусть подглядывают мне так то пофигу.

[CityCat4]

Конечно не расписывался

Точно не расписывались? Рекомендую все же перечитать документы, которые подписывали - они по идее в общем доступе быть должны, нет ли там каких таких фраз. Когда инструктаж занимает полдня, в голове нифига не остается, что ты и сколько подписывал :)

а вся проблема в том что это мешает работать,

Чем? Стахановец шустрый, ресурсов почти не жрет. Экран точно не от него мигает :) Это если и СМП, то какое-то топорное.