Bagaimana untuk mengetahui sama ada seseorang mempunyai akses jauh ke komputer Windows anda?

Beberapa jenis perisian hasad yang paling berbahaya direka untuk mendapatkan akses jauh ke PC mangsa, seperti Remote Access Trojans (RAT) dan rootkit peringkat kernel . Mereka beroperasi secara senyap, menyukarkan pengesanan. Jika anda bimbang seseorang mempunyai akses jauh tanpa kebenaran ke PC Windows anda, ketahui cara mengesahkan dan mengalih keluar ancaman itu.

Tanda amaran apabila seseorang mengakses PC anda

Walaupun kebanyakan percubaan akses jauh adalah senyap, ia masih disertakan dengan beberapa tanda amaran. Walaupun tanda-tanda ini mungkin menunjukkan populariti Windows, jika digabungkan ia boleh menjadi bukti kukuh aktiviti akses jauh.

• Tingkah laku tetikus/papan kekunci yang luar biasa : Jika kursor bergerak secara tidak menentu atau teks dimasukkan tanpa campur tangan anda, ia boleh menjadi kerja alat jauh. Walaupun tidak dikawal secara aktif, alatan ini masih boleh menyebabkan masalah seperti lompat/teleportasi kursor. Isyarat ini juga boleh bertindak sebagai pengesahan jika tetikus dan papan kekunci mula melaksanakan tugas seperti mengakses bar alamat penyemak imbas dan memasukkan alamat tapak web.
• Program yang membuka dan menutup sendiri : Penggodam juga boleh menghantar arahan untuk membuka aplikasi tertentu (seperti perisian antivirus atau Prompt Perintah ) untuk mendapatkan lebih kawalan ke atas sistem atau melumpuhkan ciri keselamatan. Jika anda melihat program membuka dan menutup sendiri, itu adalah tanda amaran.
• Mencipta akaun pengguna baru yang tidak diketahui : Sesetengah pelakon jahat mungkin cuba membuat akaun sekunder untuk mendapatkan akses berterusan walaupun selepas pengesanan. Mereka mungkin akan melumpuhkan ciri penukaran pengguna untuk menyembunyikan akaun daripada skrin kunci. Pergi ke Tetapan Windows -> Akaun dan cari akaun kedua di bawah Keluarga dan Pengguna lain.

• Prestasi perlahan mengejut : Operasi kawalan jauh juga memerlukan sumber, jadi anda mungkin melihat penurunan prestasi secara mendadak. Ini amat berbaloi untuk dipertimbangkan jika prestasi sekali-sekala kejatuhan berlaku disebabkan oleh operasi kawalan jauh.
• Desktop Jauh Windows didayakan secara automatik : Desktop Jauh Windows agak terdedah, jadi penggodam sering menggunakan ciri ini untuk membuat sambungan jauh. Ciri ini dilumpuhkan secara lalai, jadi jika ia didayakan tanpa campur tangan anda, ia boleh dilakukan oleh penggodam. Dalam Tetapan Windows, pergi ke Sistem -> Desktop Jauh dan lihat sama ada ciri ini didayakan.

Bagaimana untuk mengesahkan PC anda sedang diakses dari jauh

Jika anda melihat tanda-tanda di atas, ambil langkah yang perlu untuk mengesahkan syak wasangka anda. Anda boleh memantau aktiviti komponen/aplikasi yang terlibat dalam proses capaian jauh untuk mengesahkan seseorang mengakses PC Windows anda. Berikut adalah beberapa kaedah yang paling boleh dipercayai:

Semak log Windows Event Viewer

Windows Event Viewer ialah alat terbina dalam yang hebat untuk memantau aktiviti pengguna dan membantu mengesan percubaan akses jauh dengan memantau aktiviti RDP dan log log masuk.

Cari "event viewer" dalam Windows Search dan buka Event Viewer .

Pergi ke Log Windows -> Keselamatan dan klik tab ID Acara untuk mengisih acara mengikut ID. Cari semua acara dengan ID 4624 dan semak butirannya untuk memastikan tiada satu pun daripadanya mempunyai Logon Type 10 . ID Peristiwa 4624 adalah untuk percubaan log masuk dan Jenis Logon 10 sepadan dengan log masuk jauh menggunakan perkhidmatan capaian jauh yang mungkin digunakan oleh penggodam.

Anda juga boleh mencari ID Peristiwa 4778 kerana ia menunjukkan penyambungan semula sesi jauh. Halaman butiran setiap acara akan memberitahu anda maklumat pengenalpastian penting, seperti nama akaun atau alamat IP rangkaian.

Pantau trafik rangkaian

Capaian jauh bergantung pada kesambungan rangkaian, jadi pemantauan trafik rangkaian ialah cara yang boleh dipercayai untuk mengesannya. Kami mengesyorkan menggunakan versi percuma GlassWire untuk tujuan ini kerana ia memantau dan melindungi secara automatik daripada sambungan berniat jahat.

Dalam aplikasi GlassWire, anda akan melihat semua sambungan aplikasi di bawah bahagian GlassWire Protect . Aplikasi akan menilai sambungan secara automatik dan menandakan sambungan yang tidak dipercayai. Dalam kebanyakan kes, aplikasi akan dapat mengesan sambungan jauh yang berniat jahat dan memberi amaran kepada anda.

Selain algoritma apl, anda juga boleh mencari petunjuk seperti penggunaan data yang tinggi bagi apl yang tidak diketahui. Sambungan jauh menggunakan data berterusan, jadi ia mudah dikesan.

Lihat tugas yang dijadualkan

Banyak percubaan akses jauh diurus menggunakan alat Penjadual Tugas dalam Windows. Ini membantu mereka bertahan dari but semula PC dan melaksanakan tugas tanpa perlu berjalan secara berterusan. Jika PC anda dijangkiti virus, anda akan melihat tugas daripada aplikasi yang tidak diketahui dalam Penjadual Tugas.

Cari "penjadual tugas" dalam Carian Windows dan buka aplikasi Penjadual Tugas. Di panel kiri, buka Penjadual Tugas (Tempatan) -> Pustaka Penjadual Tugas . Cari mana-mana folder pelik atau mencurigakan selain daripada Microsoft. Jika anda menemui sebarang folder, klik kanan pada tugas dan pilih Properties.

Dalam Properties , lihat melalui tab Triggers and Actions untuk mengetahui perkara yang dilakukan oleh tugas itu dan bila ia dilaksanakan, yang sepatutnya cukup untuk memahami jika tugas itu buruk. Contohnya, jika tugas itu menjalankan aplikasi atau skrip yang tidak diketahui semasa log masuk atau apabila sistem melahu, tugas itu mungkin berniat jahat.

Jika anda tidak menemui tugas yang mencurigakan, anda mungkin ingin melihat dalam Microsoft. Ada kemungkinan perisian hasad yang canggih bersembunyi dalam folder sistem. Cari tugas yang kelihatan mencurigakan, seperti mempunyai nama generik seperti "systemMonitor" atau nama yang salah eja. Nasib baik anda tidak perlu menyelidik setiap tugasan, kerana kebanyakannya akan dikarang oleh Microsoft Corporation, yang boleh diabaikan dengan selamat.