如何对付公司的监控[2]:规避“主机行为审计”

2013-05-17 原文 #编程随想 的其它文章

如何对付公司的监控[2]:规避“主机行为审计”

本系列上一篇 介绍了如何对付网络监控设备。今天来聊一下如何对付主机监控软件(行话称之为“主机行为审计”)。

★原理介绍


这种监控方式跟“网络监控设备”完全不同。它的着眼点在于监控员工的电脑(操作系统),通过监控电脑来了解员工的一举一动。因此,使用这种监控方式,需要在员工的电脑上安装某个监控软件。而咱们要对付的,就是这个监控软件。

★对于监控方的优缺点


◇优点


显然,这种方式的监控效果比前一种要好——因为是直接在操作系统层面进行监视,员工比较难绕过。而且不论这台电脑是在公司还是在员工家里,只要监控软件运行着,监视就一直存在。

◇缺点


主要缺点就是部署比较麻烦。网络监控设备只需部署一两个地方(公司网络出口);而主机监控软件需要在 每一台 电脑上部署。一般来说,只有公司规模较大的、管理比较变态的,才会给每个员工部署主机行为监控(比如政府部门)。

★规避第1招——想办法停用监控软件


这个方法是最容易想到的。但是这招的操作难度较大,而且可靠性较差。

◇为啥说“难度较大”捏?


如果某个公司变态到部署“主机行为监控”,这样的公司通常是不会给员工“管理员”权限的。据俺所知,不少500强的跨国公司,员工的电脑都不给“管理员权限”的。
而“主机行为监控软件”,通常是以系统服务的方式运行,有些还会在系统中安装驱动。如果你没有管理员权限,要想禁用它不是不可能,但很麻烦。

◇为啥说“可靠性”较差捏?


除非你对公司安装的监控软件比较了解(俺指的是技术层面的了解),你才有可能彻底停用该监控软件。否则的话,你以为已经停用了,说不定它还在继续工作。

鉴于上述这两个缺点,再考虑到列位看官大都不是搞 IT 技术的,所以这招俺就不细说了。

★规避方式之2——另外装个操作系统


◇原理


前一个方式的思路是:既使用原有的电脑硬件,也使用原有的操作系统。而另装系统的思路是:只使用原有的电脑硬件,不使用原有的操作系统。因为你自己另外装的系统是“纯洁的”,自然不会有监控软件来监视你。
同一台电脑 硬件上装另外的系统,有如下几种方式,俺分别说明。

◇新系统装在原有硬盘(双引导)


使用这个方法,既可以安装一个新的 Windows 系统,也可以安装其它系统(比如 Linux)。这个新的系统,通常安装在一个独立的分区,以免跟原有系统冲突。

操作步骤
1
首先需要准备一个安装盘。可以是普通的安装光盘;也可以自己做一个能启动的 USB 盘,然后把安装文件复制到 USB 盘上。
关于 USB 启动盘的制作,Google 一下很容易找到,俺就不浪费口水了。
2
进入电脑的 BIOS 设置,修改启动顺序——以便通过光盘或U盘引导系统
3
用安装盘引导之后,开始安装

优点
1
通常,公司电脑自带的硬盘都足够大,不用担心硬盘空间的问题。
2
可选择的余地较大——这招支持很多种不同的系统。
3
无需额外的硬件设备

缺点
因为你另外装的系统,也位于公司电脑的硬盘上。当你下次用原有系统启动的时候,原有系统中的监控软件 有可能 会发现这个新系统以及这个新系统中的敏感内容(比如你在新系统的上网记录)。到底会不会被发现,取决于主机监控软件是否够 牛B。万一这个监控软件比较牛,这招就有危险。

◇新系统装在外置 USB 硬盘(用 USB 硬盘引导)


操作步骤
1
自己准备一块外置硬盘(带USB接口)
2
把这块硬盘做成可引导的
把操作系统的安装程序复制到这块硬盘上
3
开机的时候插上这块硬盘的USB口
进入 BIOS 修改启动顺序
4
安装系统(要记得装在外置硬盘上哦)

优点
1
外置硬盘通常比较大,不用担心硬盘空间的问题
2
可选择的余地较大——这招支持很多种不同的系统
3
当你使用原有的系统(带监控软件)引导电脑的时候,可以把外置硬盘拔下来。这样,监控软件就 不可能 发现这个新系统。

缺点
需要额外准备一个 USB 硬盘(成本问题)。好在如今 USB 硬盘也不贵,就几百大洋而已。

◇新系统刻录到光盘上(Live CD)


如果使用 Live CD 的方式,俺比较建议用 Linux——因为 Linux 的很多发行版就是现成的 Live CD。如果非要用 Windows,可以通过 Windows PE 的方式制作 Live CD。具体可以参考维基百科的 这个页面 ,上面列出了很多支持 Live CD 的 操作系统(包括 Linux、Windows、BSD、Mac OS、等)。

操作步骤
1
先选好一个支持 Live CD 的操作系统,把光盘镜像下载下来(通常是 ISO 格式)
2
用刻录软件刻录到光盘上(如今的 PC 机,很多都自带了刻录功能的光驱)
3
开机后进入 BIOS 修改启动顺序,用光盘引导完,直接可以使用( 无需安装

(整个操作步骤不难,主要难点在于需要熟悉 Linux 的操作界面)

优点
1
可刻录的光盘成本非常低(好一点的,也不超过10块大洋)。
2
当你使用原有的系统(带监控软件)引导电脑的时候,可以把光盘拿掉。这样,监控软件就 不可能 发现这个新系统。
3
光盘的内容是只读的。
即使你在 Live CD 的系统中感染了病毒或木马,只要关机重启,病毒/木马就自然消失了。非常有利于保持安全性。
你在 Live CD 里面的所有操作痕迹(比如上网记录),只要一关机就全部消失。非常有利于保持隐匿性。

缺点
1
正常的 Windows 系统无法使用 Live CD 的方式(必须要基于 Windows PE);而且 Windows PE 对某些软件的兼容性不好。
2
基于光盘的系统,所有的数据都保存在内存,关机之后,数据就没了——你无法存储数据。
3
某些笔记本电脑没有光驱,这招就没戏。

◇新系统放在 U 盘上(Live USB)


(此处说的 U 盘是泛指,也包括 SD 卡、MMC 卡)

操作步骤
操作步骤类似前面一招(Live CD),唯一的区别是把光盘硬盘换成 U 盘。
需要注意的是:
如果 U 盘较小,有可能装不下 Windows 系统。这种情况下,建议你装 Linux 系统。某些迷你的 Linux 发行版只需几十兆空间,而且是麻雀虽小,五脏俱全(包括图形界面、浏览器、邮件客户端、简单文本编辑、简单图像处理、等等)。不熟悉 Linux 发行版的同学,可以参考维基百科的 这个页面 ,上面列出了很多轻量级的 Linux 发行版。

优点
1
U盘非常容易携带(有些迷你的只有指甲盖大小),而且成本比较低。
2
当你使用原有的系统(带监控软件)引导电脑的时候,可以把U盘拔下来。这样,监控软件就 不可能 发现这个新系统。

缺点
如果 U 盘较小,可能无法装某些臃肿的操作系统(比如 Win7)。

◇关键点——搞定BIOS口令


要另装系统,必然涉及到一个问题,就是进入 BIOS 修改启动顺序(BOOT 选项)。通常而言,如果某个公司会变态到部署主机行为审计,那通常也会给 BIOS 加上口令。也就是说,需要输入口令才可以修改 BIOS 的设置。
这时候,难点就在于如何搞定 BIOS 口令了。
搞定 BIOS 口令有很多种方式,可以来硬的(比如主板电池放电、主板跳线、等),也可以来软的(比如尝试默认口令、尝试某些软件工具、等),甚至可以利用 社会工程学 技巧(比如跟系统管理员混熟)。
由于电脑的型号千变万化,破解 BIOS 口令的方法也各不相同。恕俺能力有限,无法一一介绍。有此需求的同学,请自行 Google 之。

◇局限性


有些更加变态的机构,会把员工电脑的 USB 口封掉,光驱也卸掉。这样一来,你就没法另装系统了。咋办捏?办法还是有滴,请看下面的第三招。

★规避方式之3——改用移动设备


(此处提到的移动设备,包括手机和平板)

◇原理


关于这个招数的本质就是:既不使用原有的操作系统,也不使用原有的硬件。既然这样,原有系统的监控软件,自然 不可能 监控到你的行为。
但是,移动设备 可能会 存在两个缺点:网速慢、屏幕小。为了应对这两个缺点,大伙儿可以考虑如下几种解决方式

◇解决屏幕的问题


使用 PC 的屏幕
把移动设备的屏幕映射到 PC 屏幕,通常有两种方式:软件方式、硬件方式。
考虑到 PC 的系统中有主机行为监控,所以不建议用软件方式——有可能会被监控到。而硬件方式,因为完全不依赖操作系统,就不存在被监控的问题。
使用硬件方式的步骤如下:
1
先确定你的移动设备支持某种视频输出接口(比如:mini HDMI 、micro HDMI、 MHL 、等)。
2
然后再去搞一根转接线,把手机的视频输出接口转为 PC 屏幕的接口(网上可以找到各种视频接口互转的转接线)。

如果上述条件具备,那么你就可以把移动设备的屏幕映射到 PC的显示器上。别看手机的屏幕小,分辨率可不小(某些手机的分辨率高于PC的分辨率)。所以,移动设备映射到 PC 的大屏幕,效果通常不会差。

使用平板或大屏幕手机
如果你受限于硬件条件,搞不定移动设备接入PC的屏幕,那只好退而求其次,使用移动设备自己的屏幕。
首先,可以考虑平板电脑——平板电脑的屏幕虽然不如 PC,但也算凑合。
其次,如果没有平板,再考虑搞个大屏幕手机。

◇解决网络的问题


使用移动设备的网络
如果你的移动设备本身就有网络功能(WIFI或3G),而且网速足够,那么就直接用移动设备的网络上网。
这种情况下,不管是主机行为审计还是网络行为审计,都拿你没辙。

使用PC机的网络
如果你的移动设备,网速不够,或者费用较高。那么就可以考虑让移动设备通过 PC 机上网。因为你的操作都在移动设备上,主机监控软件无法监控你的操作。
但是,考虑到某些主机监控软件,同时也会监控 经过本机 的网络流量,所以你最好是在移动设备上使用翻墙工具。关于翻墙工具的优点, 本系列前一篇 已经聊过,此处不再啰嗦。

★总结


今天介绍了三招:第一招可操作性较差。通常情况下,你可以用第二招搞定。除非你实在搞不定 BIOS 口令或者你公司比较变态(电脑没光驱和 USB 口),再考虑第三招。毕竟在移动设备上操作不如在 PC 上操作方便。除了有屏幕大小的问题,还有鼠标键盘的输入问题。

回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者 编程随想 和本文原始地址:
https://program-think.blogspot.com/2013/05/howto-anti-it-audit-2.html

文章版权归原作者所有。
二维码分享本站