Как система довольно продвинутая функционально MS Windows предоставляет довольно обширный набор функций, о которых далеко не все в курсе. Зачастую «не в курсе» бывают представители MS, люди, которые пишут книги по Windows, а тем более простые системные администраторы и тем более пользователи.
Немного о приемах, которые я применяю для слежения за тем, что делают пользователи на рабочих местах и как их можно применить в других Windows системах. Насколько законны эти приемы слежения – вопрос отдельный с очень большим количеством нюансов, а пока техническая часть.
Итак поехали:
Слежение за клавиатурным вводом
В Windows есть довольно популярный механизм установки клавиатурных ловушек, 99% псевдо хакеров знают про WH_KEYBOARD и WH_MOUSE позволяющих перехватывать события мыши и клавиатуры. Захотел подсмотреть пароль – запустил ловушку, и опа – пароль и твой. Но не тут то было: во первых для того, чтобы создать эти ловушки требуются права администратора, во вторых создатели антивирусных программ тоже знают про эти функции, и при их установке антивирусник выдает предупреждение вида: «попытка вмешаться в деятельность другого процесса». Но по мимо WH_KEYBOARD и WH_MOUSE в Windows есть недокументированные официально WH_KEYBOARD_LL и WH_MOUSE_LL, которые позволяют организовать примерно тот же функционал, на требуют админских прав и что самое главное: они ставятся в клиентский пул, т.е. невидимы для антивирусника вообще. При грамотном написании этих ловушек изменений в процессе работ программ вы не заметите (кроме тех, что ими пользуетесь не только вы), грамотно написанные ловушки Windows обрабатывает быстро и корректно. Их можно вычислить? Да, если маниакально запускать программу поиска троянов каждые полчаса – они в какой-то момент попадутся, но на этот случай Windows сделал ещё несколько лазеек – смой простой, чем можно воспользоваться GetKeyboardState – вызывая её 100 раз в секунду мы не создадим никакой видимой нагрузки, и гарантированно будем знать, какие кнопки нажимал пользователь, довольно не плохая функция, что самое хорошее: гарантированно не отслеживается никакими ативирусниками, антитроянами, потому что является 100% легальной.
Слежение за экраном
Тут все немного сложнее, WinAPI для слежение за экраном предоставляет лишь довольно медленные интерфейсы, но если в слежении устраивает 10-15 кадров в минуту, то запись действий пользователя можно сделать совершенно незаметно, а потом так же незаметно собрать и посмотреть. Стандартная функция CopyFromScreen не вызывает подозрений антивирусников, и видимых задержек, если вызывать не слишком часто.
Слежение за запуском программ
Легко – EnumWindows. Абсолютно безобидная функция.
Слежение за съемными устройствами
Вот и добрались до вкусного, самое вкусное на закуску. Ситуация: вам принесли флешку, на флешке лежит куча всякого интересного, но хозяин флешки не дает посмотреть. Не проблема – делаем невидимое окно, обрабатывающее только одно событие: WM_DEVICECHANGE, при его наступлении в наглую вывешивает окно «Новосибирский Антивирус: сканирование съемного диска» и копирует все куда нам надо, при этом показывая какие именно он файлы «проверяет», а по окончании «проверки» пишет – «вирусов не обнаружено». (для любителей можно: копировать в тихую, ничего не сообщая, но тогда есть вероятность не успеть скопировать самое интересное). Тоже совершенно легальная функция, которую невозможно никак обнаружить.
А при помощи FileSystemWatcher можно отслеживать все изменения которые происходят при работе пользователя.
Установка на компьютер жертвы
Если есть возможность запустить компьютер «жертвы» в отсутствии самой «жертвы», с установкой вообще никаких проблем. Если «жертва» по неопытности не изменила стандартный пароль администратора, и вы находитесь с ней в одной сети – тоже дело 3 минут. Но самый простой путь – занести вручную: приносишь человеку фильм сжатый редким кодеком, опа – не открывается, а тут же на диске есть этот кодек, ставишь кодек и следилку (как вариант).

За каким действиями ещё можно следить? Практически за любыми (начиная от печати, до отправки почты), не вызывая подозрений ни пользователя ни его программ. Как можно ставить программы? Очень много вариантов. Благо Windows система довольно функциональная, а защита в ней сделана так, чтобы защищать саму систему от пользователей, но не как не пользовательскую информацию, ценность которой для MS не очевидна (немного оговорюсь: в Windows есть алгоритмы и приемы, при помощи которых можно обезопасить от таких вот хулиганств, но они сильно не очевидны)
Настолько это противоречит закону? В случае работодатель-сотрудник – ровно настолько, насколько прописано в трудовом договоре (читайте трудовые договора внимательно), в случае с домашними компьютерами – по идее не очень законно, но не доказуемо (есть повод задуматься)

На правах рекламы:
Пишу программы для слежения за пользователями (быстрые и аккуратные, заточенные под конкретный функционал в конкретной сети)
(ищу фирмы, где нужен приходящий программист-системный администратор)

На мой сервер возлагается довольно широкий спектр задач, потому для комплектования своего нового сервера я решил выбрать тогда только появившиеся на рынке процессоры AMD Opteron третьего поколения, детально изучив всю линейку остановился на 12хх серии. Серия 12хх разрабатывалась для однопроцессорных серверов небольших рабочих групп, под эту серию выпускались материнские платы, которые можно было поставить в обычный корпус, то есть как раз то, что мне было надо для дома. Единственной моделью серии, представленной в России был AMD Opteron 1212, не самый мощный, но и в тоже время далеко не самый дешевый. Материнских плат нужного мне формата на рынке было представлено всего две, так что выбирать долго не пришлось мой выбор пал на M2N-LR. Так как товар из Москвы до Екатеринбурга идет две недели, а в Екатеринбурге запасов хороших товаров держать не принято, то пока везли материнскую плату и процессор я отправился в местные магазины для поиска остальных комплектующих.
Первым делом надо было купить подходящий корпус, с достаточно удобным монтажам внутри, с хорошей системой охлаждения, с достаточным количеством отсеков под жесткие диски, благо у уважающих себя компьютерных сетей есть сайты в интернете, и можно было примерно видеть что ищешь. Посмотрев доступные на рынке варианты я решил остановиться на облегченном варианте большой башни от Thermaltake. Это довольно не плохой просторный корпус высотой в метр с небольшим, единственный недостаток которого вес – 27кг (нормальная версия весила 40+кг), что учитывая вес предполагаемых к установке внутрь других деталей могло стать серьезной проблемой. Следующим моим приобретением стал большой геймерский блок питания TR2 на 800W. Почему именно геймерский, а не специализированно серверный? Геймерские, в отличии от серверных, блоки питания рассчитаны на резкое изменение нагрузки, по надежности они зачастую намного превышают серверные, а стабильное напряжение +12V при резких перепадах нагрузки, которые характерны при отладке приложений, дает жестким дискам вырабатывать свой ресурс по максимуму, на сколько они способны. Следующая часть программы была покупка памяти, четыре модуля по 1Gb от известного производителя, в моем случае был Kingston, степинг в моих задачах роли не играл, потому была взята какая была в магазине. Следующая часть – жесткие диски. Так как в корпусе было 6х гнезд под установки дисков, а оптимальным соотношением по цене за мегабайт были диски на 320Gb было взято 4х320Gb SATA (из расчета, что 2 из них, на которых будет лежать информация ценнее коллекции приколов будут работать в рейде, т.е. при выходе из строя одного никакой ценной информации я не теряю), и один SAS диск на 72Gb, последний был взят под систему для увеличение скорости загрузки (скорость SAS диска из-за особенностей организации превышает скорость работы обычных дисков в среднем в 5-7 раз). Следующая часть была видеокарта, так как материнская плата была на NVideo чипсете, то и видеокарту было решено брать NVideo, а конкретно GeForce 8600, не самая мощная, но для обработки видео вполне подходящая.
Когда пришли детали из Москвы ждало небольшое разочарование, а конкретно – фирменный охлаждающий радиатор для процессора был алюминиевый и размером с пачку сигарет. Потратив на сборку 4х часа запустил тест, и за одиннадцать минут нагрузки процессор достиг предельной температуры. Фирменный радиатор был ни на что не годен. Достаточно громосткий алюминиевый радиатор Zalman заняв практически все место между видеокартой и блоком питания занял место фирменного.
В дополнение с рабочего компьютера на сервер перекочевали корзина для 4х SATA жестких дисков, ещё три жестких диска, DVD и картридер.



Итого по затратам получилось 34 тысячи, вместо 49-65 тысяч за готовый сервер той же производительности. Разница по скорости работы с обычным «продвинутым» компьютером на Core 2 (3000+) (проверял на самых тяжелых запросах, которые смог придумать): Установка-удаление программ – чуть меньше чем в 3 раза, MS SQL EXPESS – 7 раз, MS OFFISE – 18 раз, 1С7.7 – 52раза (!). Общий вес сервера – 47кг. Потребляемая мощность 120-670W (в зависимости от нагрузки). Может работать основным сервером в небольшой фирме (до 50 компьютеров). Очень хорошо стравляется с обработкой звука и видео.

Занимаюсь разработкой учетных программ, пишу базы данных (в том числе и 1С)
Консультирую по любым вопросам связанными с компьютерами и сетями.
(для знакомых с дневников все консультации бесплатно, ищу фирмы, где нужен приходящий программист-системный администратор)

Маленький кусочек бала с Политики 3.

Кому интересно, пишите, особенно относится к Питерцам!!