以同時監控多臺電腦的軟件有哪些?
電腦監控軟件能夠監控電腦開機后的一切操作,包括電腦屏幕、上網、聊天、郵件、文件操作等,均被監控并記錄。支持實行分級管理,可授權部門經理監控管理其部門員工電腦。不需要任何專業技術,具備詳細準確的統計功能,和自動報警功能,可以有效保護監控信息的安全性。能夠同時監控多臺電腦的監控軟件有哪些呢?
可以同時監控多臺電腦的軟件有哪些?
1、安企神軟件
這是一款功能強大的電腦監控軟件,可以實時監控電腦的活動,包括應用程序的使用、網站訪問記錄、文件的創建和刪除等。此外,它還具有遠程監控、遠程桌面、屏幕錄制、聊天記錄監控等功能,能夠幫助企業實現員工監管,提高工作效率。軟件還具有屏幕監控、應用程序監控、文件監控等多種功能,可以滿足企業的需求。
2、域之盾監控軟件
支持管理端實時監控終端電腦屏幕,可開啟多屏幕監控同時查看16臺員工電腦屏幕。能夠對聊天內容、游戲運行、網站訪問、文件操作記錄等內容進行監控,可以禁止終端使用Guest賬戶、注冊表、控制面板、任務管理器、安全模式、禁止使用計算機管理。支持終端違規外聯警報,違規使用設備警報,終端安全風險警報,硬件變化警報,軟件變化警報。
3、中科安企軟件
中科安企軟件是一款集電腦監控、應用程序監控、鍵盤記錄和屏幕監控于一體的電腦監控軟件,主要針對金融、政府、能源等領域的大型企業和機構。它具有多種監控和管理功能,能夠幫助企業實現對員工的全面監控和管理。
可以同時監控多臺電腦的軟件有哪些?
4、局域網管家監控軟件
局域網管家監控軟件是一套模塊化架構的網絡管理軟件和網絡監控軟件,包括200項強大的功能。它可以滿足用戶對網絡管理的不同需求,并提供多種功能模塊,用戶可以根據自己的需求選擇合適的軟件版本。
5、iStat Menus
這是一款功能強大的系統監控軟件,可以在菜單欄中實時顯示CPU、內存、硬盤、網絡速度、電腦溫度、電量等信息。此外,iStat Menus還包括了額外的菜單,如CPU、內存、磁盤、網絡、溫度、風扇、藍牙、日期和時間、天氣等,提供全面的系統監控。
以上就是小編分享的全部內容了,如果還想了解更多內容,可以私信評論小編!
件安全保護是個人和企業不可忽視的重要問題。
不知道你是否聽說過這個詞:護密文件加密軟件。
護密文件加密軟件是一種專門用于保護文件安全的工具。
它采用先進的加密算法,對文件進行加密處理,使未經授權的用戶無法訪問文件內容。
通過加密,即使文件在傳輸或存儲過程中被截獲,攻擊者也無法輕易獲取文件內容。
同時,護密文件加密軟件還提供解密功能,允許合法用戶通過特定的密鑰或密碼來解密文件,確保文件的正常使用。
護密文件加密軟件的功能多種多樣,主要包括以下幾個方面:
1,文件加密與解密:這是軟件最基本的功能,能夠對各類文件進行加密和解密操作,保護文件的機密性。
2,密鑰管理:軟件提供密鑰生成、存儲和管理功能,確保密鑰的安全性和易用性。
3,權限控制:軟件支持對文件進行權限設置,允許用戶對不同用戶或用戶組設置不同的訪問權限,實現文件的精細化管理。
4,審計與日志記錄:軟件能夠記錄文件的加密、解密和訪問操作,方便管理員進行審計和追蹤。
在市場上,有多款護密文件加密軟件可供用戶選擇。
以下是一些常見的軟件:
1,域智盾軟件
該軟件不但可以做到透明加解密,有多種加密模式,對幾乎市面上的應用全都就可以進行加密。
除此之外還能設置剪貼板加密和防拖拽功能,防止文件內容泄密。
2,文控堡壘系統
為企業重要文檔提供全方位防護,無論是在企業內部文檔使用,還是與合作伙伴共享文檔,又或是公司員工將文檔帶出企業。
它能夠幫助企業構建起完善的信息安全防護體系。
通過詳盡細致的操作審計、全面嚴格的操作授權雙重保護全面保護企業的信息資產,使得企業實現"事前防御—事中控制—事后審計"的完整的信息防泄露流程,信息安全防護無懈可擊。
3,Folder Lock:這是一款功能強大的文件加密軟件,支持對文件夾、文件以及驅動器進行加密。它還提供了文件粉碎、虛擬加密磁盤等功能,確保文件的安全性和隱私性。
4,AxCrypt:這是一款簡單易用的文件加密軟件,支持對單個文件進行加密和解密。它采用了AES-256加密算法,確保文件的安全性。同時,AxCrypt還提供了云存儲和同步功能,方便用戶在不同設備之間共享加密文件。
5,VeraCrypt:這是一款開源的磁盤加密軟件,支持對硬盤分區或整個硬盤進行加密。它采用了多重加密技術和密鑰管理功能,確保數據的安全性。VeraCrypt還提供了隱藏卷和加密文件系統等功能,滿足用戶不同的加密需求。
?
、SSH后門
SSH普通用戶的命令權限是是no login,No login就是不讓你登錄,不可登錄并且拒絕用戶登錄。那大家排查的時候就可以忽略這些就是no login的和bin filled。這里還有一個叫bash,這也是剛才我添加的賬戶,這與之前的root用戶一樣,這也是一個 shell的解釋器,那看一下篡改。SSH登錄有兩種方式,第一種是賬戶和密碼,第二種就是密鑰。方便他們遠程管理,并且有一些自動執行的任務計劃,大部分都是通過Mile來實現免密的,就是說這就免密碼,通過key的方式,公鑰和私鑰。
那你看我這文件里有一個公鑰,比如現在攻擊者又插入了一個公鑰,插入了他自己的,我這里只是為了方便復制一個,那插入之后是不是他就也免密登錄這臺服務器了。所以大家在排查的時候要重點關注這個文件,它在每一個用戶底下都有一個隱藏文件,叫/root/.ssh/。這個隱藏文件里就會有你的一些信息看,這是登錄的信息,所有登錄過你機器的信息,就說在你密鑰交換的時候,這個它的公鑰里邊會有host,再看一下全部。
我這里沒有建立這個文件,因為我沒有通過它來登錄我用的賬戶和密碼,那看一下這臺服務器,這里就有這個文件,只要把這個文件放到點.SSH文件目錄下。如果 ssh不特殊配置,默認的配置它就支持密鑰管理的。所以說你只要early在這里創建了這個文件,把你的公鑰寫進去,那你就可以通過自己的私鑰去登錄它,登錄這臺服務器,這樣的話你也看不到它更改你的密碼,你也看不到新用戶的創建,只是在這文件里多了一條數據而已。
第三種重裝覆蓋,那重裝覆蓋是怎么咱們把SSH重裝一遍,裝入咱們帶后門的session,那這個時候是不是用戶無感,并且咱們可以在SSH的源碼里做一些文章,比如植入一個賬戶,就不會放到系統里,直接放到這個軟件里,因為咱們控制Linux遠程的就是通過SSh opens這個軟件,看一下時間,那這里可以看到一個2021年和一個2015年的其實這個2015年是我修改的,那說明這個方法不可靠,我可以修改它的時間。
那第二種,第二種是看版本,如果攻擊者精心構造一下自己軟件的版本,把它寫成這個樣子,其實你也是分辨不出來的。但就看攻擊者的水平了。因為一旦你沒有在系統上建立關鍵文件或者做安全防護,比如安裝一些主機安全軟件,那就有可能造成就是說我 SSH被篡改了,清理的只要干凈,你是分辨不出來的。
二、SUID后門
SUID 是 Set User ID,Unix內核根據運行這個程序的用戶的有效ID來確定進程對資源的訪問權限,包括user id 和group id,用戶可以輸入id這個命令來查看。
SUID的作用就是這樣:讓本來沒有相應權限的用戶運行這個程序時,可以訪問他沒有權限訪問的資源。
內核在決定進程是否有文件存取權限時,是采用了進程的有效用戶ID來進行判斷的。
當一個程序設置了為SUID位時,內核就知道了運行這個程序的時候,應該認為是文件的所有者在運行這個程序。即該程序運行的時候,有效用戶ID是該程序的所有者。
簡單的來說,就是當你在一個只能root權限操作的文件上設置了suid位后,其他用戶也能進行操作了。
首先在受害者機器上使用root權限操作,復制bash,并給這個復制品woot設置一個suid位(標志位是4),. 的目的是為了隱藏文件
cp /bin/bash /.woot
chmod 4755 /.woot
ls -al /.woot然后普通用戶來啟用這個后門
/.woot -p三、Crontab計劃任務
crontab是用來定期執行程序的命令,crond 命令每分鐘會定期檢查是否有要執行的工作,如果有要執行的工作便會自動執行該工作。
注意: 新創建的 cron 任務,不會馬上執行,至少要過 2 分鐘后才可以,當然你可以重啟 cron 來馬上執行
比如我們通過redis寫crontab后,管理員上線 執行crontab -l 就會查看到我們留下的可疑命令。那么我們可以躲避管理員的查看。
四、PAM后門
PAM(Pluggable Authentication Modules,可插入的身份驗證模塊)是Linux自帶的一套與身份驗證機制相關的庫,可以將多種身份驗證的方案幾種于同一的程序接口,簡單來說,在Linux中的其他應用程序可以通過調用PAM接口來完成身份驗證工作,無需開發者重新構造認證模塊
PAM允許各類的配置,主要有兩種:
1、直接寫入/etc.pam.conf,但是在新版本中這個文件默認是不存在的
2、將PAM配置文件放到/etc/pam.d根目錄下PAM配置文件默認如下,這里使用SSH的PAM文件做演示
[root@Practice_Server /etc/pam.d]# cat sshd
#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare大概有四種服務類型:auth、account、session、password,
如當前系統為centos,利用PAM之前需要關閉系統的selinux功能,此時可以使用以下命令臨時關閉
setenforce 0五、添加管理員賬號
在Linux中添加管理員賬號后門通常意味著創建一個具有管理員權限的用戶賬戶,這樣攻擊者可以使用這個賬戶進入系統。這樣的操作是不推薦的,因為它會增加系統被攻擊者訪問的風險。
如果你需要臨時創建一個具有管理員權限的后門賬號,請確保你有合適的權限來執行這個操作,并且在完成后及時刪除或禁用該賬號。
六、Rootkit
Rootkit 是一種惡意軟件,旨在讓黑客訪問和控制目標設備。雖然大多數 Rootkit 會影響軟件和操作系統,但有些還會感染計算機的硬件和固件。Rootkit 善于隱藏自己,但當它們保持隱藏時,其實處于活躍狀態。
一旦未經授權獲得對計算機的訪問權限,Rootkit 就使網絡犯罪分子可以竊取個人數據和財務信息,安裝惡意軟件或將計算機用作僵尸網絡的一部分,以散布垃圾郵件和參與DDoS( 分布式拒絕服務)攻擊。
名稱"Rootkit"源自 Unix 和 Linux 操作系統,其中權限最高的帳戶管理員被稱為"root"。允許未經授權的 root 或管理員級別訪問設備的應用程序被稱為"工具包"。
Rootkit 是網絡犯罪分子用來控制目標計算機或網絡的軟件。Rootkit 有時可以顯示為單個軟件,但通常由一系列工具組成,這些工具允許黑客對目標設備進行管理員級控制。
黑客通過多種方式在目標計算機上安裝 Rootkit:
Rootkit 在操作系統的內核附近或內核內運行,這使它們能夠向計算機發起命令。任何使用操作系統的東西都是 Rootkit 的潛在目標 —— 隨著物聯網的擴展,它可能包括冰箱或恒溫器等物品。
Rootkit 可以隱藏鍵盤記錄器,在未經您同意的情況下捕獲您的擊鍵。這使得網絡犯罪分子很容易竊取您的個人信息,例如信用卡或網上銀行詳細信息。Rootkit 可讓黑客使用您的計算機發起 DDoS 攻擊或發送垃圾郵件。它們甚至可以禁用或刪除安全軟件。
一些 Rootkit 用于合法目的 —— 例如,提供遠程 IT 支持或協助執法。大多數情況下,它們用于惡意目的。Rootkit 如此危險的原因是它們可以提供各種形式的惡意軟件,它們可以操縱計算機的操作系統并為遠程用戶提供管理員訪問權限。
硬件或固件 Rootkit 可以影響您的硬盤驅動器、路由器或系統的 BIOS,這是安裝在計算機主板上的小內存芯片上的軟件。它們不是針對您的操作系統,而是針對您的設備的固件安裝難以檢測的惡意軟件。因為它們會影響硬件,所以可讓黑客記錄您的擊鍵以及監控在線活動。雖然與其它類型相比不太常見,但硬件或固件 Rootkit 是對在線安全的嚴重威脅。
Bootloader 機制負責在計算機上加載操作系統。Bootloader Rootkit 可攻擊此系統,用被破解的 Bootloader 替換您計算機的合法 Bootloader。這甚至可以在計算機的操作系統完全加載之前激活 Rootkit。
內存 Rootkit 隱藏在計算機的隨機存取內存 (RAM) 中,使用計算機的資源在后臺執行惡意活動。內存 Rootkit 會影響計算機的 RAM 性能。因為它們只存在于計算機的 RAM 中,不會注入永久代碼,所以一旦重新啟動系統,內存 Rootkit 就會消失 —— 盡管有時需要進一步的工作才能擺脫它們。它們的壽命短意味著它們往往不會被視為重大威脅。
應用程序 Rootkit 將計算機中的標準文件替換為 Rootkit 文件,甚至可能改變標準應用程序的工作方式。這些 Rootkit 會感染 Microsoft Office、Notepad 或 Paint 等程序。每次運行這些程序時,攻擊者都可以訪問您的計算機。由于受感染的程序仍然正常運行,Rootkit 檢測對于用戶來說很困難 —— 但防病毒程序可以檢測到它們,因為它們都在應用程序層上運行。
內核模式 Rootkit 是這種威脅最嚴重的類型之一,因為它們針對操作系統的核心(即內核級別)。黑客使用它們不僅可以訪問計算機上的文件,還可以通過添加自己的代碼來更改操作系統的功能。
虛擬 Rootkit 會在計算機的操作系統下自行加載。然后,它將目標操作系統托管為虛擬機,從而允許它攔截原始操作系統進行的硬件調用。這種類型的 Rootkit 不必修改內核來修復操作系統,可能非常難檢測。
一、注冊表自啟動
首先在命令行中輸入:
regedit打開注冊表后,定位到如下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run以桌面上的1.exe文件為例,在run右側新建一個字符串值,名字任取,我這里設置為aaa。首先查看1.exe文件的路徑:
C:\Users\ASUS\Desktop.exe然后雙擊aaa并修改它的值為:
"C:\Users\ASUS\Desktop.exe" /start二、shift后門
Windows的粘滯鍵------C:\windows\system32\sethc.exe,它本是為不方便按組合鍵的人設計的
Windows系統按5下shift后,Windows就執行了system32下的sethc.exe,也就是啟用了粘滯鍵
在進程里可以看到是以當前用戶的權限運行
但是當我們未登陸系統(停留在登陸界面)的時候 系統還不知道我們將以哪個用戶登陸,所以在這個時候連續按5次shift后的話系統將會以system用戶(具有管理員級別的權限)來運行sethc.exe這個程序
我們可以把cmd.exe這個程序更改名稱為sethc.exe并且把原來的sethc.exe替換掉
在登陸界面的時候我們連續按下5次shift鍵系統以system權限就會運行我們的CMD.exe
那么我們的cmd.exe就具有了管理員權限了 如此一來 我們只要利用CMD加一個管理員用戶就可以登陸進去,實現隱藏后門
其制作有很多種,下面介紹一種最簡單的,可以明白其原理自己擴展
在命令行執行(需要一定的權限)
copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe //如果沒指定生成的文件,會直接覆蓋copy的第二個參數,相當于將第二個參數換成了第一個參數,但是文件外部名稱沒變三、遠控軟件
遠程訪問可以幫助您通過互聯網將一臺計算機遠程連接到另外一臺計算機,從而實現遠程控制需求。例如:遠程辦公、遠程協助朋友解決計算機問題、遠程為客戶提供專業技術支持等。
后門程序是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。一般在軟件開發時,程序員會在軟件中創建后門程序,這樣就可以修改程序設計中的缺陷。但是,如果這些后門被其他人知道,或是在發布軟件之前沒有刪除后門程序,那么它就成了安全風險,容易被黑客當成漏洞進行攻擊。通俗的講,后門程序就是留在計算機系統中,供某位特殊使用者通過某種特殊方式控制計算機系統的途徑。
五個免費遠程控制軟件
四、webshell
簡單來講,就是黑客在網站服務器上安裝的木馬后門,可以理解成老鼠洞,一個正常的網站服務器就相當于一個裝滿數據的保險柜,只有拿著正確的鑰匙的人才能進去瀏覽數據,但webshell會通過sql注入,xss攻擊等方式在保險柜上開一個“老鼠洞”,即木馬后門,黑客可以通過這個洞,不用鑰匙也能進去瀏覽數據,篡改數據。
但這個洞并不是在墻上硬生生開出來的,可以理解為保險柜本身就有很多洞,只不過最常用的那個經過裝飾,變成了帶鎖的大門,其余的洞被螺絲給堵上了,但由于各種原因,螺絲松動脫落了,黑客發現了這個漏洞,在經過一些手段,將這個洞擴大,裝飾,變成可供自己進出的“側門”。
webshell最大的特點就是隱蔽性好,由于被控制服務器或遠程主機與黑客交換數據的端口都是80端口,不會被防火墻攔截,且不會在系統日志中留下使用痕跡,只會遺留一些數據交換信息在網站的web日志中,這大大提高了webshell的隱蔽性,沒有足夠經驗的管理員很難發現有入侵過得痕跡。
五、添加管理用戶
在Windows中,您可以使用命令行工具net user來添加管理員用戶。以下是一個示例命令,用于添加一個名為NewAdminUser的新管理員用戶:
請將NewAdminUser替換為您想要設置的用戶名,將Password123替換為您想要設置的密碼。
第一行命令添加一個新用戶NewAdminUser,密碼是Password123。
第二行命令將新添加的用戶NewAdminUser提升為管理員權限組的成員。
請注意,運行這些命令可能需要管理員權限。您可能需要以管理員身份啟動命令提示符(CMD)或PowerShell。您可以通過在開始菜單搜索cmd,右鍵點擊命令提示符,然后選擇以管理員身份運行來啟動管理員權限的命令提示符。
net user NewAdminUser Password123 /add
net localgroup administrators NewAdminUser /add六、影子用戶
七、定時任務
在Windows系統中,可以使用任務計劃程序來設置定時任務,其操作步驟如下:
此外,還可以使用命令行工具“schtasks”來查看和管理計劃任務,或者使用第三方工具,如Sysinternals Suite中的“Autoruns”來查看自動啟動程序和計劃任務。如果需要定時執行特定的腳本或程序,也可以編寫批處理(.bat)文件,并通過任務計劃程序來調度這些文件的運行。
八、dll劫持
dll為動態鏈接庫文件,又稱"應用程序拓展",是軟件文件類型。在Windows中許多應用程序并不是一個完整的可執行文件,它們被分割成一些相對獨立的動態鏈接庫文件,即dll文件,放置于系統中,個人理解類似于我們編程中引入的模塊。
靜態編譯:debug狀態下:MTd release狀態下:MT
動態編譯:debug狀態下:MDd release狀態下:MD
動態編譯的生成的可執行文件的exe小,但是運行需要系統環境具有相關的dll和lib文件,就是動態調用系統相關的文件才能運行;
靜態編譯生成的可執行文件exe大,但是運行的時候不依賴于系統環境所依賴的dll和lib等環境問題,在編譯的時候已經這些dll相關文件編譯進了exe文件,所以exe文件較大。所以需要自己創建的工程需要在別的電腦上運行,考慮到穩定性,同時對執行文件的大小沒有要求的話還是盡量選擇靜態編譯。
如果在一個進程加載dll時沒有指定dll的絕對路徑,那么windows會嘗試去按照順序搜索這些特定目錄來查找這個dll。如果攻擊者將惡意的dll放在優先于正常dll所在目錄,那么就能夠欺騙系統去加載惡意的dll,形成dll劫持。
九、注冊表劫持
現在病毒都會采用IFO的技術,通俗的講法是映像劫持,利用的是注冊表中的如下鍵值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置來改變程序調用的,而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。事物都有其兩面性,其實,我們也可以利用該鍵值來欺瞞病毒木馬,讓它實效。可謂,將計就計,還治其人。
十、MBR后門
MBR(Main Boot Record)是位于計算機硬盤最前邊的一段引導(Loader)代碼。它記錄了硬盤的分區情況,并載明了操作系統是裝在哪一個分區中。
簡單點來說,在信安領域,如果企業的一臺服務器硬盤的MBR被破壞,將會導致該服務器硬盤無法啟動,所有分區也無法進行讀、寫操作,給企業帶來的后果也是災難性的。我們在工作的過程中應如何避免此類安全問題的發生呢?作為信安技術人員應具備良好的安全意識,對關鍵數據、重要數據必須要做好備份,而此處的MBR就是服務器的重要數據。
備份MBR扇區數據
十一、WMI后門
WMI后門只能由具有管理員權限的用戶運行。WMI后門通常使用powershell編寫的,可以直接從新的WMI屬性中讀取和執行后門代碼,給代碼加密。通過這種方式攻擊者會在系統中安裝一個持久性的后門,且不會在磁盤中留下任何文件。
WMI型后門主要有兩個特征:無文件和無進程。其基本原理是:將代碼加密存儲在WMI中,達到所謂的無文件;當設定的條件滿足時,系統將自動啟動powershell進程去執行后門程序,當后門程序執行后進程就會消失。
檢查WMI后門,CommandLineTemplate的內容就是程序要執行的命令。
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"
清除WMI后門的常用方法有:
1.刪除自動運行列表中的惡意WMI條目。
2.在powershell中使用Get-WMIObject命令刪除與WMI持久化相關的組件。
WMI后門檢測
# Reviewing WMI Subscriptions using Get-WMIObject
# Event Filter
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Updater'"
# Event Consumer
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"
# Binding
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'"
使用Remove-WMIObject命令來刪除WMI持久性后門的所有組件。
# Removing WMI Subscriptions using Remove-WMIObject
# Event Filter
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Updater'" | Remove-WmiObject -Verbose
# Event Consumer
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'" | Remove-WmiObject -Verbose
# Binding
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'" | Remove-WmiObject -Verbose
十二、管理員密碼記錄
注冊表編輯器左方控制臺中依次單擊展開“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon”。