Qua*_*fan 1 windows-7 monitoring
我开始怀疑我的 PC 可能已被未经授权的人访问。就像我看到我的浏览器书签发生了变化等等。
那么,我可以做什么来监控我的 PC 活动?我使用的是 Windows 7,但我想知道 Linux 用户在这种情况下可以做什么。
不要提及更改密码或简单的建议。我正在寻找某种工具或一种方法来监视我的 PC 的活动。一个日志(文件)基本上。
小智 5
基本上,如果没有对 PC 进行全面审核,您就无法知道这一点(不确定)。根据定义,控制您的 PC 的人可以控制您在 PC 上看到的内容。
您可以采取的措施是使用 Linux live CD 检查(root kit 扫描、病毒扫描、检查您没有安装/创建的文件等)PC,因为它在启动时绕过了计算机上的内容. 不要相信 Windows Live CD;Windows Live CD 的非官方来源以及自动运行等问题使其变得不可靠。
作为实时 CD 的替代方法,检查从机器本身外部进/出机器的网络流量。换句话说,看看你的路由器,或者在机器和网络的其余部分之间放置一个集线器或网络分接头(不是交换机),然后检查来回的数据包,使用的协议,IP地址/正在访问的域,正在联系的端口等。理想情况下,您可以使用仅允许 1 路流量的电缆(即,其返回线被切断)来执行此操作,以便检查流量的机器也不会受到损害。Wireshark 是一种您想要实际检查来自 PC/笔记本电脑的流量的工具。
如果您真正要检查的机器是虚拟机,那就容易多了——只需在主机上运行wireshark 并检查适当的(通常是虚拟的)接口,或扫描虚拟分区(可能在将其转换为原始文件或挂载之后)它带有来自主机的 linux/unix noexec 标志,并且没有类似自动运行的功能处于活动状态)。
但是,说了这么多,如果事情发展到你不能再信任你的机器,你可能应该考虑祝酒并重新开始:重新安装机器,然后检查并恢复数据(不是程序;确保您的备份将两者分开)。
确实,您希望对应用程序进行适当的权限分离和控制:普通用户帐户的非管理员权限,双向(进出)防火墙授权,以防止流氓应用程序仅使用 UPNP、NoScript(firefox 插件)打开端口)、Adblock 等。在业务情况下,应该使用适当的外部防火墙和过滤代理、入侵检测系统、监控系统等,以确保您知道进出机器的情况,而无需审核.
| 归档时间: |
|
| 查看次数: |
3333 次 |
| 最近记录: |