Как определить шпионское ПО на вашем компьютере?
«Ещё никогда Штирлиц не был так близок к провалу» — возможно, Вы сразу представили в своём воображении классического шпиона. Такого, который может незаметно следить за своей целью, или наоборот, притворяясь тем, кем не является – оставаться на виду и собирать необходимые данные. Однако, в современном мире шпионы хоть и поступают точно также, но выглядят совершенно иначе. Давайте познакомимся с одним из видов шпионов, aka keyloggers, или – клавиатурные шпионы.
Клавиатурный шпион (keylogger) – это устройство или программа со способностью регистрировать нажатия клавиш на клавиатуре, нажатие и движение мыши и т.д.
Подумать только, любая информация, которая вводится через клавиатуру и компьютерную мышь – может стать известной злоумышленнику, в том числе пароли к посещаемым сайтам, данные банковских карт и даже личная переписка, которая даёт огромный простор для социальной инженерии.
Поймать такого «жучка» можно прямо на лету. «Drive by downloads», попутной загрузкой без ведома пользователя. Достаточно зайти на определенный сайт, или нажать на всплывающее окно, или открыть вложение в письме. Некоторые шпионы могут прятаться даже в обычных по виду графических файлах. А могут и вовсе самостоятельно проводить атаку, используя уязвимости в браузере или подключаемых модулях.
Обнаружить подобное вторжение можно через методы, включающие в себя поиск аномалий, т.е. мониторинг компьютерной системы пользователя на предмет аномальных изменений при отображении веб-страницы. Иной путь – использовать среду выполнения, позволяющей работать с JavaScript и отслеживать его поведение во время исполнения. Средства обеспечения безопасности, в т.ч. антивирусы, могут совмещать разнообразные методы обнаружения шпионского ПО, используя наработанные базы данных с множеством сигнатур для сопоставления шаблонов вредоносных скриптов. Однако методы обфускации (запутывания кода) позволяют избегать обнаружения шпионов защитной программой.
Что может сделать обычный пользователь, чтобы предотвратить такие попутные загрузки, спросите вы?
Конечно, можно сказать про то, что нужно заходить только на проверенные и надежные сайты, избегать всплывающие окна, регулярно обновлять веб-браузеры и антивирусы, что не стоит нажимать на всё, что попадается в сети. Но если приходится посещать много разнообразных веб-сайтов? Искать информацию где только можно и где нельзя? Тогда, один из наиболее простых вариантов – использование блокировщика сценариев, например, NoScript. Это бесплатное расширение для веб-браузеров на базе Mozilla и Google Chrome. Оно позволяет отключать все сценарии (скрипты) на посещаемом сайте, а после выборочно включить нужные. Это не только поможет избежать вредоносных программ, в т.ч. шпионов, но и в дальнейшем сэкономит время и трафик, позволяя не загружать сценарии (например, таргетированную рекламу), которые собирают личные данные пользователя.
Другой популярный способ завести себе личного шпиона – это загрузить условно бесплатное ПО, peer-to-peer приложения, online игры, скачивать игры, фильмы, музыку с непроверенных источников, в т.ч. торрентов. Не надо так. ?
Вернемся к нашим баранам! На каких принципах работают клавиатурные шпионы?
Одни шпионы могут использовать перехватывающие механизмы, например, функцию Windows API SetWindowsHookEx(), позволяющую следить за логом о нажатии клавиш клавиатуры. Кстати говоря, данная функция может перехватывать даже самозаполняющиеся пароли.
Другие шпионы могут располагаться на уровне ядра вводного устройства и получать всю информацию напрямую, заменяя собой основное программное обеспечение. Невидимый и начинающий свою работу ещё на этапе загрузки системы кейлоггер, но не перехватывающий самозаполняющиеся пароли.
Есть ещё аппаратные шпионы, которые представляют собой миниатюрные устройства, находящиеся между устройством ввода и самим компьютером. Для профилактики достаточно регулярно осматривать свой ПК и не покупать с рук устройства ввода, т.к. есть вероятность, что те имеют недокументированный функционал.
Итак, мы знаем, что собой представляют клавиатурные шпионы, знаем, что делать, чтоб свести риск проникновения шпиона к минимуму. Но если он уже проник в систему?
Несмотря на скрытность кейлоггеров — есть шанс отследить их фоновый процесс. Для этого можно использовать Process Explorer, принадлежащий Microsoft. Информация, выводимая данным ПО, значительно подробнее, чем у диспетчера задач Windows. Клавиатурные шпионы могут обитать, например, в вкладке «explorer.exe» и сразу бросаться в глаза отсутствием описания процесса и названием компании производителя.
Особенность шпионского ПО в том, что его сигнатуры отличаются от вирусных, и антивирусы принимают кейлоггеры за обычную программу. Для проверки системы и удаления шпионов можно использовать такие продукты как:
IObit Malware Fighter, Ad-Ware, Emsisoft Anti-Malware и Microsoft Defender.
Последний – встроенное программное обеспечение по умолчанию для Windows.
Ниже инструкция как его запустить, если вы подозреваете, что на вашем компьютере есть вредоносное ПО, которое не обнаружили другие средства обеспечения безопасности:
- Открываем Пуск => Параметры => Обновление и безопасность => Безопасность Windows => Защита от вирусов и угроз.
- Для Windows 10 выбрать «Параметры проверки» в разделе «Текущие угрозы; Для более ранних версий Windows «Запустить новое расширенное сканирование» в разделе «Журнал угроз».
- Выбираем «Проверка автономного Microsoft Defender» => «Проверить сейчас».
Принимая превентивные меры и проводя регулярно профилактику с помощью средств безопасности, мы снижаем риски, связанные с вредоносным ПО, до разумного уровня. Однако при вводе чувствительных данных рекомендуется не использовать клавиатуру. Как вариант — использовать виртуальную клавиатуру или голосовой ввод. Стоит помнить, что большинство интернет угроз рассчитаны на массовых пользователей. При использовании Windows и Internet Explorer риски получить нежелательное ПО намного выше, чем при использовании систем Linux или Mac OS с нестандартными браузерами.
Поэтому при выборе вычислительной техники и используемых программных инструментов стоит руководствоваться не только критериями цены, технических характеристик и удобства, но и критериями кибербезопасности.
Как найти программу на компьютере
По умолчанию в ОС Виндовс программы устанавливаются на диск C в папку Program Files. В поиске и последующем удалении приложений мне помогает софт, под названием Uninstall Tool . Он подскажет вам что вы устанавливали, когда и куда. См. скриншот.
Инструмент довольно хороший и мне очень нравится, правда не является бесплатным, но разве это для нас проблема? ?
Узнаем какие программы и приложения запускались
Категорий достаточно много, и большинство из них обычному пользователю ни к чему. Наиболее часто простого пользователя ПК интересует то, какие приложения запускались. Узнать это довольно просто. Соответствующая информация содержится в категории «Журналы Windows» – «Приложения».
Если зайти туда, то можно увидеть историю на компьютере, что было запущено. Например, на изображении выше можно увидеть, что запускался сервис обновлений Skype. Также там можно узнать и то, в какое время это произошло и какой результат был у данного действия. После этих не сложных действий вы можете посмотреть историю на компьютере.
Если, в свою очередь, захочется узнать, какие приложения были установлены, то можно заглянуть в раздел «Установка». Там отражена информация об инсталляции не только сторонних программ, но и встроенных в систему сервисах.
Проверка запущенных приложений с помощью специальной программы
Однако работать с «Журналом событий» довольно сложно. Поэтому некоторым может такой способ не подойти. Однако решение есть – можно воспользоваться одним из сторонних специальных приложений, чтобы найти историю на компьютере.
Например, существует простая программа «Executed programs list», которая, будучи запущенной, работает в фоне (то есть никак не проявляет себя, пока пользователь ее не откроет). При помощи нее можно узнать, какие приложения запускались на ПК. При этом она представляет информацию в виде простого списка, в котором указывают пути расположения программ и время их запуска.
Если нужно знать, не только то, какие программы запускались, но и в какие папки заходил пользователь, то можно воспользоваться другим приложением – «LastActivityView«. Соответствующая программа настолько же минималистична и проста, как и первая, но собирает значительно больше информации.
Совет 3: анализируем историю посещений в браузере
Одна из самых популярных программ для работы в сети интернет, разумеется, браузер . И вполне вероятно, что если кто-то сидел за вашим ПК/ноутбуком — ему (вероятно) мог он понадобиться.
Чтобы открыть историю посещений (журнал посещений) — в большинстве браузеров достаточно нажать сочетание кнопок Ctrl+H (работает в Chrome, Firefox, Opera. ).
Кстати, в Chrome можно также перейти на страничку: chrome://history/
Ctrl+H — открыть историю
После, в журнале указываете нужную дату и уточняете какие сайты просматривались. (Кстати, многие пользуются соц. сетями — а значит можно будет быстро узнать кто заходил на свой профиль!).
В помощь!
1) Как посмотреть историю посещения сайтов, даже если она удалена
2) Как очистить историю посещения сайтов, чтобы нельзя было восстановить! Удаление всего кэша браузеров
LastActivityView
Эта утилита собирает информацию и отображает ее в своем журнале событий, может отобразить практически всю историю компьютера.
С помощью LastActivityView можно легко вычислить, когда был включен компьютер, когда выключен, какие файлы и утилиты были установлены и запускались на нем.
Поиск Windows для нахождения всех фотографий
Проводник Windows имеет функцию быстрого поиска документов разных типов. Большинство пользователей не знают или никогда не используют ее. А зря, ведь правильное использование поиска Windows, поможет найти не только все фотографии на компьютере, но и другие типы документов.
Откройте Проводник Windows и перейдите к местоположению, поиск в котором вы хотите выполнить. Вы можете искать, как в определенной папке, так всем компьютере или, выбрав запись «Этот компьютер» в навигационной панели «Проводник».
Затем нажмите окно поиска в правом верхнем углу окна. При этом отобразится скрытая вкладка «Поиск» вверху. Нажмите кнопку «Тип», а затем в выпадающем меню выберите «Изображения».
Выбор параметров поиска вставляет оператор в поле поиска. Если вы предпочитаете, вы можете самостоятельно ввести оператор.
Как вы можете видеть, результаты возвращают все изображения, используемые системой, персональным изображениям, содержащимся в папке и во всех ее подпапках. Поиск включает изображения, сохраненные в форматах JPG, PNG, GIF и BMP, которые являются наиболее распространенными форматами. Если у вас есть фотографии, хранящиеся в другом формате, например RAW, вам придется найти их по-другому.
Поиск, который я запускал на моем компьютере нашел 729 изображений:
После того, как вы нашли необходимы изображения, вы можете щелкнуть его правой кнопкой мыши, а затем выбрать «Расположение файла», чтобы открыть папку, в которой находится файл.
После того, как вы найдете все фотографии, хранящиеся на вашем компьютере, вы можете переместить их в другие папки — например, «Картинки» или создать резервную копию на внешнем запоминающем устройстве, где они, надеюсь, не потеряются снова.
