|
логирование событий подключения к компу | ☑ | ||
---|---|---|---|---|
0
Холст
05.07.13
✎
16:22
|
работает человек за компом,
чем можно "поймать" событие подключения к локальной машины с перехватом мыши ? видимые признаки - мышь двигается цель - узнать какой прогой подключились т.е. на уровне винды узнать мышь шевелит сам юзер или программа дистанционного управления ии какая программа получила доступ чем это поймать можно чтоб наверняка ? |
|||
1
Jaap Vduul
05.07.13
✎
16:28
|
В общем случае - никак.
Т.к. разные программы используют разные протоколы и т.п. Только если заранее знать какие могут программы подключаться и искать конкретно их признаки. |
|||
2
Холст
05.07.13
✎
16:34
|
но ведь разные проги где то на уровне винды получают доступ к к одному и тому же интерфейсу управления мышью, (а протокол подключения проги к компу - второе дело )
может это можно поймать какой проге было разрешено виндой ? |
|||
3
aka AMIGO
05.07.13
✎
16:35
|
запрет RDP не пройдет?
или отключаться от сети |
|||
4
HeroShima
05.07.13
✎
16:41
|
у RDP нет логирования сеансов?
|
|||
5
HeroShima
05.07.13
✎
16:41
|
если терминал, тогда аудит
|
|||
6
Lama12
05.07.13
✎
16:43
|
(2) И как ты отличишь подключение еще одной мыши, от эмуляции этой мыши путем подключения из вне?
|
|||
7
oleg_46
05.07.13
✎
16:43
|
Фаервол поставить и настроить запрет удаленного доступа
|
|||
8
Lama12
05.07.13
✎
16:44
|
6+ Вообще фаерволы как раз придуманы для того что б закрывать порты которые не нужны.
|
|||
9
Холст
05.07.13
✎
16:45
|
частные решения не интересны
(6) при эмуляции с USB порта мыши в комп ничего не поступает, думается винда должна быть способна отличить эмуляцию от действий аппаратных устройств, не ? |
|||
10
пипец
05.07.13
✎
16:56
|
как мышь двигается ? по экрану и сама окна открывает или ползет ?
|
|||
11
Jaap Vduul
05.07.13
✎
17:06
|
(2)
Мышью тоже можно по-разному управлять (SetCursorPos или SendInput). Даже управление курсором с помощью клавиатуры - вполне себе штатная ситуация. И в винде никаких особых разрешений для этого не требуется. |
|||
12
Холст
05.07.13
✎
17:20
|
(10) будем считать что подключение было, а не то что лазерная мышка по узорчатому коврику дает глючные движения
|
|||
13
пипец
05.07.13
✎
17:35
|
||||
14
Lama12
05.07.13
✎
17:37
|
(9) Ну ну....
Думай так и дальше. На сайте Microsoft если покопаться, можно найти SDK пакет для эмуляции USB устройств. Для системы софтверные устройства ничем не отличаются от аппаратных. |
|||
15
пипец
05.07.13
✎
17:37
|
||||
16
HeroShima
05.07.13
✎
17:38
|
(13) обнови базу http://technet.microsoft.com/ru-ru/sysinternals/bb896645
|
|||
17
пипец
05.07.13
✎
17:38
|
кстати - я как то три мыши подключал одновременно ;)) через хаб - ничо так - прикольно
|
|||
18
HeroShima
05.07.13
✎
17:39
|
(14) драйвер грузят. это можно перехватить.
|
|||
19
HeroShima
05.07.13
✎
17:40
|
+(18) иногда
|
|||
20
Lama12
05.07.13
✎
17:55
|
(18) Это да.
|
|||
21
Холст
05.07.13
✎
19:52
|
вобщем, по мнению сообщества, непосредственно залогировать команды отрисовки экрана (движения мыши и иные действия виртуальной мыши) от уже крутящейся в памяти проги, с неизвестным заранее именем (любо мимикрирующей под "легальный" процесс), не использующей сетевое соединение (которое можно обрубить файрволлом)
и идентифицировать название такой проги (исполняемого файла) НЕВОЗМОЖНО |
|||
22
Ковычки
05.07.13
✎
20:35
|
возможно, глобальный хук и далее получить модуль
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |