Monday, June 6, 2011 - 17:19
#

Примеры защиты от шпионов

Шпион DameWare Remote Support — дает возможность подключения и управления к удаленным машинам через интернет или локальную сеть. Может скрытно, незаметно для наблюдаемого вести полный контрой всех его действий.

Шпион DameWare Remote Support

Защита от скрытого наблюдения DameWare Mini Remote Control Server и его удалённого доступа.

Модуль контроля от программы DameWare Mini Remote Control Server может устанавливаться на компьютер наблюдаемого стандартным способом при доступе к нему, а так же удалённо через сеть. При определённых настройках наблюдение за параллельным компьютером будет скрытым и тот за кем наблюдают, ничего об этом не будет знать. По этому в этой статье будем рассказано, как обнаружить скрытое наблюдение от шпиона и что с ним делать дальше. Сервис слежения, устанавливает в систему свои драйвера DamewareMini.sys и dwvkbd.sys, которые можно увидеть через “Драйверный монитор”, процессы DWRCS.EXE и DWRCST.EXE которые он использует можно увидеть в окне “Процессы системы” и сервис с именем dwmrcs обнаруживается в списке “Службы системы”.

Но мы будем использовать для обнаружения слежки “Сетевой монитор” маскировщика. Любой удалённый доступ или сервис, ожидающий соединение будет виден в мониторе сети. Если в данный момент за вами ведётся скрытое наблюдение с помощью удалённого контроля DameWare Mini Remote Control Server, в сетевом мониторе будет видно активное соединение приложения DWRCS.EXE.

Процесс DWRCS.EXE от шпиона DameWare Mini Remote Control

Для обнаружения пассивного слежения (это когда в данный момент нет активного соединения, но модуль слежения установлен и ждёт команды для работы) нажимаем левой кнопкой мышки на блок с названием "Сетевой монитор" или выбираем пункт "Соединение" в контекстном меню списка. В этом режиме будут видны дополнительно процессы, ожидающие соединения, но не активные в данный момент. Таким образом, мы можем выявить даже не активную скрытую слежку.

Обнаружение DameWare Mini Remote Control в сетевом мониторе Mask S.W.B

Заблокировать слежение за собой или доступ к своему компьютеру во время работы в маскировщике можно, через внутреннею базу, добавьте имя процесса DWRCS.EXE в “Базу угроз” и доступ к вашему компьютеру прекратится. Добавить в базу можно двойным кликом левой кнопкой мышки по процессу в сетевом мониторе или через контекстное меню, выбрав пункт “Добавить в базу угроз”. (Обязательно подтвердите свои действия кнопкой “Сохранить” в главном окне программы).

Заблокировать DameWare Mini Remote Control

Наблюдатель за вами на своём компьютере получить ошибку, и пока вы работаете в маскировщике не сможет к вам подключиться и контролировать вашу систему.

Ошибка DameWare Mini Remote Control

Как только вы закроете платформу защиты Mask S.W.B, следящий компьютер за вами, снова получит контроль над вашей системой. Таким образом, можно защищать свои частные действия в момент работы маскировщика, не удаляя за собой слежку с компьютера.

Для полного отключения модуля слежения от программы DameWare Mini Remote Control Server, открываем окно “Службы системы” находим пункт сервиса, выделенный красным цветом и через контекстное меню, сначала изменяем его тип запуска на “Отключено” (это шаг надо сделать обязательно, иначе наблюдатель с параллельного компьютера, снова активирует остановленную службу), далее через это же меню останавливаем работу службу.

Отключить службу DameWare Mini Remote Control Server

После произведённых действий следящий компьютер потеряет с вами соединения и не сможет к вам больше подключиться. На запросы подключения он будет получать ошибку о не возможности активировать службу слежения.

Ошибка шпиона DameWare Mini Remote Control

Таким образом, вы можете отключить слежение за своим компьютером и ограничить к себе доступ, когда это вам будет нужно. Если вам потребуется восстановить за собой контроль, тогда в окне “Службы системы” нужно нажать кнопку “Все службы” найти списке модуль слежения (он будет выделен жёлтым цветом) и через контекстное меню изменить тип запуска на “Авто”, далее в пункте “Изменить задачи служб” выбрать “Пуск”.

Включить службу DameWare Mini Remote Control

После произведённых действий служба слежения заработает, и контроль за вашей системой восстановиться полностью.

Для полного удаления модуля слежения с вашего компьютера, в окне “Службы системы” нажмите правой мышкой на строку службы DameWare Mini Remote Control Server и в контекстном меню выберите по очереди пункты: “Открыть папку службы”, “Остановить службу”, “Изменить задачи служб” -> “Удалить” службу. Далее удаляем всё содержимое открывшийся папки в месте с папкой.

Папка шпиона DameWare Mini Remote Control Server

В окне “Драйверный монитор” нажимаем кнопку “Все драйвера” и удаляем через контекстное меню списка, драйвер DamewareMini.sys и dwvkbd.sys. После удаления драйверов перезагружаем компьютер, через контекстное меню проверяем путь к драйверу, если драйвер удалён, то маскирошик предложит удалить оставшеюся информацию о нём в системе.

Драйвер DamewareMini.sys и dwvkbd.sys от шпиона DameWare Mini Remote Control

Модуль слежения от программы DameWare Mini Remote Control Server будет удалён полностью, но во избежание повторной дистанционной установки ограничьте доступ к папкам и файлам, через сетевые настройки Windows.

Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте - осуществляется ли за вами скрытая слежка при помощи онлайн-мониторинга DameWare Mini Remote Control Server

Вернуться назад