一些常見的信息監(jiān)控手段

前幾天深信服監(jiān)控員工信息的事情很火，一位不知名網(wǎng)友在脈脈匿名披露了自己在深信服準(zhǔn)備跳槽投遞簡(jiǎn)歷，被領(lǐng)導(dǎo)發(fā)現(xiàn)后約談裁員。

經(jīng)過其他網(wǎng)友分享發(fā)現(xiàn)深信服內(nèi)部研發(fā)了一個(gè)「行為感知系統(tǒng) BA 」，可以挖掘、分析上網(wǎng)行為日志，幫助組織洞悉風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)大概是：泄密追溯、員工離職、工作效率、沉迷網(wǎng)絡(luò)、事件感知等等。

這件事瞬間把深信服送上熱搜，很多人都在高呼資本家要榨干員工8小時(shí)中每一分的價(jià)值。

這類系統(tǒng)最早的目的是監(jiān)控機(jī)密文件是否被外發(fā)泄漏，但隨著不斷的迭代，逐漸開始監(jiān)控起了員工的行為。

這讓我開始反思自己有哪些數(shù)據(jù)可能被監(jiān)控了，以及如何做好安全措施。

1.植入監(jiān)控程序

想要監(jiān)控個(gè)人數(shù)據(jù)主要是從兩方面入手，監(jiān)控程序(也可以叫安全軟件)和網(wǎng)絡(luò)流量，如果你在公司內(nèi)網(wǎng)，上網(wǎng)流量數(shù)據(jù)很容易就被監(jiān)控到，網(wǎng)安人員可以時(shí)刻看到你在干什么，此外上網(wǎng)流量也可以通過監(jiān)控程序來監(jiān)控到，類似代理程序那樣監(jiān)控電腦的出入口流量。此外，更多的監(jiān)控需要監(jiān)控程序來操作，很多公司的電腦都會(huì)裝有公司的安全軟件或者辦公程序，這些應(yīng)用也可以作為監(jiān)控進(jìn)程存在。

監(jiān)控進(jìn)程可能會(huì)一直監(jiān)控著你的所作所為，而上面說的是你不得不安裝的應(yīng)用，除了這些還有一些監(jiān)控進(jìn)程可能在你不知不覺的情況下就植入了你的電腦。

記得大一下學(xué)期的時(shí)候，看了一些計(jì)算機(jī)病毒分析的課程，簡(jiǎn)單學(xué)習(xí)了幾種知名病毒的病毒進(jìn)程保護(hù)策略、破壞方式之后就開始自己寫病毒程序，沒有做類似熊貓燒香那種給某些網(wǎng)站刷流量的操作，沒有潛伏起來做一些小動(dòng)作，單純的就是在下次用戶開機(jī)之后告訴用戶電腦被攻擊了，把壁紙?zhí)鎿Q成我想傳達(dá)給用戶的話，然后關(guān)機(jī)。

因?yàn)槭亲约盒聦懙牟《境绦?，很多安全軟件都沒有識(shí)別錄入過，所以在植入電腦后不會(huì)有任何告警，如果不做一些顯眼的操作，用戶幾乎永遠(yuǎn)不會(huì)發(fā)現(xiàn)這個(gè)特殊進(jìn)程的存在。

2.監(jiān)控微信聊天記錄

微信在PC端的聊天記錄很容易被監(jiān)控，它將聊天記錄存儲(chǔ)到了本地一個(gè)加密的SQLite庫，可以通過內(nèi)存監(jiān)控拿到庫的密鑰，即可監(jiān)控。

下圖是我解密的小區(qū)乒乓球群聊天記錄。

簡(jiǎn)單處理之后就可以生成一個(gè)在線的Channel，讓其他人訂閱你在微信群中的聊天記錄，不過目前還沒有處理圖片消息等情況。

同樣也可以用來保存自己的微信聊天記錄上云。

3.監(jiān)控粘貼板

監(jiān)控粘貼板是非常容易實(shí)現(xiàn)的，市面上有很多保存粘貼板記錄的小工具，這些小工具的實(shí)現(xiàn)搖身一變就可以監(jiān)控用戶的數(shù)據(jù)。

比如我常用的粘貼板工具copyless2，可以清楚地記錄你粘貼的內(nèi)容和來源。

Java中也提供了獲取粘貼板內(nèi)容的API.

Toolkit.getDefaultToolkit().getSystemClipboard();

4.監(jiān)控鍵盤輸入

監(jiān)控鍵盤輸入比監(jiān)控粘貼板更加簡(jiǎn)單高效，記得很久以前玩英雄聯(lián)盟很喜歡玩盲僧，但是我的摸眼W和R閃老是失誤，所以想著做一個(gè)按鍵腳本，把需要按多個(gè)鍵的操作轉(zhuǎn)化成一鍵觸發(fā)，比如R閃的R、F只需要按下G就可以自動(dòng)觸發(fā)。

上面是當(dāng)時(shí)寫的代碼，測(cè)試很流暢，但是開了游戲就沒法用，因?yàn)轵v訊的進(jìn)程隔離了其他應(yīng)用對(duì)輸入的監(jiān)聽，否則通過監(jiān)控鍵盤輸入很快你QQ就被盜了。

5.監(jiān)控屏幕

有很多開源庫支持監(jiān)控屏幕和鼠標(biāo)，比如pyautogui，可以對(duì)當(dāng)前屏幕截取，也可以定義屏幕事件，當(dāng)你屏幕中出現(xiàn)某個(gè)圖形區(qū)域后觸發(fā)。

這種手段相對(duì)使用比較多，可以使用抓包等工具查看自己電腦是否有截屏傳出。

當(dāng)然除了上面介紹的之外，監(jiān)控的手段還有很多，在公司做私人的事情需要好好考慮，收發(fā)一些敏感數(shù)據(jù)也要考慮好方式。