40

Мониторинг сотрудников. Вторая, довольно, краткая часть, с ответом на 2 самых популярных вопроса.

Как обнаружить

Программа мониторинга персонала всю информацию о деятельности сотрудника за своим ПК получает от небольшой программы агента, которая постоянно работает на ПК, собирает информацию и отправляет на центральный сервер.
Можно ли обнаружить агента? Можно. Ряд производителей подобного ПО уверяют, что используют новейшие секретные разработки, позволяющие сделать агент полностью невидимым, но это конечно не правда. Единственный способ спрятать агент - использовать технологию rootkit, но тогда первый же антивирус потребует его удаления из системы.
Поэтому агент функционирует как, обычная, небольшая фоновая программа, которую отлично видно в Task Manager. Понятно, что для каждого производителя название этой программы свое. Со временем, будет опубликован список (нужно время, чтобы его подготовить).
В ряде случаев программа-агент помещается в автозапуск, но чаще используется сервис, единственное назначение которого - запуск агента.

Как остановить

Если административных прав нет, то никак.
Если права есть, то очень просто - остановкой агента из Task Manager.
Стоит учитывать, что некоторые системы умеют проверять запущен ли агент и автоматически перезапускать его.
Делает это тот самый сервис, поэтому вместе с агентом нужно убить и сервис. Правда с помощью групповых политик можно настроить перезапуск и самого сервиса, но такой функционал пока экзотика.
Надежнее всего испортить код самого агента, например в текстовом редакторе. Тогда сервис может сколько угодно пытаться его запустить...
Правда сейчас начали появляться системы, которые умеют отслеживать на каких ПК агент установлен, но почему-то не работает. И вот тут к вам с разборками может пожаловать системный администратор, в лучшем случае ))

Если будут вопросы, пишите в комментариях, постараюсь их разобрать в следующих материалах.

Дубликаты не найдены

+6
Бред! Я знаю как минимум пару программ, котроые не висят в диспетчере задач и не грузят сеть. То есть пока админы не "проболтаются" ни один пользователь и не заподозрит наличие таковой. Из коммандной строки от локального пользователя по tasklist вывод ТОЛЬКО процессов запущеных самим пользователем, для расширенного вывода нужны права админа. И еще - по мониторингу инет траффика админы знают о вас больше, чем по мониторингу запускаемых программ.

P.S. За вами следят в любом случае, хотите вы этого или нет.
раскрыть ветку 3
+1
То есть, если ты не админ, то taskkill не прокатит?
раскрыть ветку 2
+2
Прокатит, но только ты сможешь грохнуть процесс запущеный от твоей учетки. Если процесс системный или от админа, то нет.
раскрыть ветку 1
+3
зачем ходить на работу на которой не хочешь работать?
раскрыть ветку 11
+7
А зачем оставлять работника на работе, если не доверяешь ему и ставишь всякие отслеживающие прграммы ему на комп?)Ладно, если это топ-менеджер, владеющий ценной инсайдерской информацией. Но устанавливать такую хрень всем поголовно типо для контроля-это маразм.
раскрыть ветку 8
+2
Маразм ли? Тех.персоналу при помощи такого софта легче устранять неисправности. По логу все видно и отмазки по типу: "оно само" - не прокатят. Была у нас одна мадам на работе которая раз в неделю стабильно удаляла важные документы, стирала не нужные по её мнению файлы, а потом вопила у меня комп не работает, оно само. Пару разков даже словила порнобаннер, хотя доступ у неё был только на сайты всяких госуслуг, статистик и разных юридических контор.
раскрыть ветку 7
+1
За деньгами, лол ))
0
Если бы всё было так просто. Захотел работать на этой работе, пошел и устроился, получаешь себе удовольствие )
+2
Лет десять назад шутил над админом: выключал приложение-следилку, когда на "горизонте" появлялся админ с задумчивым лицом и шел ко мне, я запускал приложение. Он приходил, под выдуманном предлогом просил сесть за мой ПК и... ничего необычного не находил. Уходил... Повторяю... ))
+1
к сожалению найти работника, который хочет работать большая проблема нынче. И даже не в зарплате дело, а скорее в воспитании. Поэтому и появляются такие программы. И если админ умен, то нифига не сделаешь.
0
Task Manager - тоже заблокирован :((
раскрыть ветку 1
0
тогда из командной строки tasklist и taskkill
0
А если linux? Мне вот сказали что отдел техподдержки сам установит, хотя я не криворукий и сказал что все сам сделаю. Сказали у них так в правилах - что-то подозрительно.
Я конечно вроде все посмотрел, вроде все чисто, но если rootkit стоит, то хз как его искать-то..
Трафик мониторится точно, пинги с задержкой, а когда его пускаю через свой тунель в европе, так в разы быстрее.
раскрыть ветку 2
0
если ты не администратор на собственном компьютере - можешь даже не искать, скорее всего ты работаешь в своем уютненьком, но ограниченном окружении.
раскрыть ветку 1
0
Полный рутовый доступ, я веб-разработчик, мне без этого никак.
0
я так понимаю, наличие этой проги можно заподозрить по показаниям аплоуда
раскрыть ветку 2
0
да ну нафиг! и как ты отследишь если она сеть не жрет, а просто отчеты пишет в папку? а если отчет она отправляет раз в день? весь день смотреть сколько передано? отчет может отправлятся и вполне себе системным сервисом, кроме того следилку можно впихнуть в рабочий софт собственной разработки
раскрыть ветку 1
0
ну это все понятно. с таким же успехом можно пытаться промониторить её в процессах. остается только надеяться, что спец предусмотрел не все
0
а если остановить шпиона, а потом запустить другой процесс (да хоть косынку или паука), предварительно переименовав их? сервис увидит что файл запущен и успокоиться.
раскрыть ветку 2
-1
Нет. конечно же ) это слишком просто, чтобы быть решением проблемы ))
-1
Но, если вы перед перезагрузкой переименуете, написанную вами же, DLLку под этот процесс, которая посылает данные о том, что она работает и с ней, все в порядке, просто, ничего не происходит, то это, возможно, сработает, но, только в теории.
0
Дабы не вызывать подозрений, бросаем в службы и хрен там кто чего найдет.
0
1) Большинство антивирусного софта (в том числе все что продается в корпоратив) знает о программах безопасности и контроля и не удаляет их, даже если оно похоже на вирус.
2) У любого антивируса есть возможность добавления исключений.
3) Если софтина серьезная, а не очередной шаровар - даже права админа у юзера не помогут: при ее отключении придет злой админ и попросит более принятый в корпоративном стандарте софт не отключать.
-1
Самый простой способ остановить -- работать с собственного терминала через VPN.
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: