|
Люсь
|
 |
« : 08-09-2010 09:46 » |
|
Как тока меня нету на рабочем месте, супер-вумные парни наши каким-то образом логинятся на мой комп и играются в свои стрелялки. Что сделать, чтобы не получалось войти в систему без моего ведома?
В save-mode я поставила пароль на админа, других пользователей у меня нет.
Сам пароль надёжный. Ненадёжные службы вроде бы убила...
Я тут мельком услышала в разговоре этих парней, что они входят в систему с помощью какого-то специального пароля, который способен системой восприниматься как правильный. При этом исходный пароль сохраняется, т.е. подвоха я не должна была заметить, если бы не мелочи на моём рабочем столе.
Ещё раньше я сама лично сбрасывала пароль с помощью утилитки на дискете, но при этом исходный пароль не сохраняется. Так что вряд ли они взломали вход с помощью такой программки, хотя кто его знает, какие их разновидности есть?
Дисковода для дискет у меня нет, есть dvd/usb/local, комп опечатан.
Система: Microsoft Windows XP Professional версия 2002 SP3.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
 Offline
Сообщений: 13
|
|
« Ответ #1 : 08-09-2010 09:56 » |
|
Люсь, только съёмный USB винт  Ибо студент непобедим... |
|
|
|
|
Записан
|
|
|
|
|
Serg79
|
|
« Ответ #2 : 08-09-2010 10:08 » |
|
Заинтриговала Люсь, если есть пароль на Админа и других пользователей нет, то самому интересно как они могут заходить... Да же ври входе в "Безопасном режиме" требуется ввод пароля "Администратора"...
При инсталляции Windows создается пользователь "Администратор", может у него нет пароля? А твоя административная учетка, просто дополнительный юзер в системе с правами Администратора?
|
|
|
|
|
Записан
|
|
|
|
|
Serg79
|
|
« Ответ #3 : 08-09-2010 10:11 » |
|
Люсь, может машина входит в Windows домен и они регистрируются под своими учетками? Тогда как им удается на твоем рабочем столе менять местами иконки, то же не понятно.
|
|
|
|
|
Записан
|
|
|
|
|
zubr
Гость
|
|
« Ответ #4 : 08-09-2010 10:21 » |
|
Люсь, если у тебя комп подлючен к сети, то сетевому администратору не нужно знать твой пароль, он может войти со своего пароля.
Проверь комп на наличие кейлоггера.
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #5 : 08-09-2010 10:34 » |
|
Serg79, нет, у меня этот Администратор и есть единственная учетная запись. Вход в систему у нас не доменный, неужели сетевой администратор может войти в таком случае? Им комп нужен, как игровая станция, они входят в комп именно на моём рабочем месте. Посмотрите мой диспетчер, я не уверена точно, какая служба тут за что отвечает?
|
 disp.JPG (72.56 Кб - загружено 1425 раз.)
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Finch
Спокойный
Администратор
Offline
Пол: 
Пролетал мимо
|
|
« Ответ #6 : 08-09-2010 10:40 » |
|
В Биос есть функция, при включении компьютера, после всех тестов он спрашивает пароль. Вот его точно не пробьёш программно. Только физически. Вскрывая крышку и перемыкая перемычку. Хотя я слышал, что есть backdoor на биос тоже. |
|
|
|
|
Записан
|
Не будите спашяго дракона. Джаффар (Коша) |
|
|
Джон
просто
Администратор
Offline
Пол:
|
|
« Ответ #7 : 08-09-2010 10:46 » |
|
Люсь, те они просто садятся за твой комп, вводят пароль и играют под твоим аккаунтом? Я правильно понял, комп работает, ты не выходишь из системы, а просто делаешь Win+L?
|
|
|
|
|
Записан
|
Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
|
|
|
|
Люсь
|
|
« Ответ #8 : 08-09-2010 10:46 » |
|
Finch, я не уверена, что когда я уеду, они не вскроют системник под каким-нибудь предлогом, я тут с прошлой сессии приехала - а монитора на моём столе нет! В каком-то цеху сгорел и туда мой моник временно отдали. Ещё в позапрошлый раз они мне поменяли винт (полудохлый надо сказать) на новый, благо я только 1 день поработала. Системник конечно вряд ли заберут, но могут там выдумать что-нибудь... И заодно батарейку вытащат или проц, чтоб сбросить установки... С этим я ничего не смогу поделать, у нас начальник самодур конкретный. Вот за переустановку системы я их порву конечно, вряд ли они сунутся это сделать, так что нельзя придумать что-нибудь на уровне системы?
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #9 : 08-09-2010 10:49 » |
|
Люсь, смотри event'ы когда вошли, когда вышли
возможно, что твой пароль ломают
проверь какие пользователи есть на компьютере, отключи всех подозрительных. (ты говоришь, что нет)
проверь что у тебя в "задачах"
KMGLNC - что это? где это?
LogWantNT - что это? где это?
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #10 : 08-09-2010 10:50 » |
|
Джон, нет. Меня вообще не было в этот день на работе и комп был выключен.
После того, как я заметила это в прошлый раз и вызнала, кто это, я заблокировала админскую учётку в save-mode паролем, после чего попытки того чела прекратились. Я даже не предполагала, что может быть ещё какая-то дыра. В этот раз это были другие человеки. И они не признаются, как они сумели войти в систему. Пароль я на всякий случай поменяла, но хотелось бы иметь полную уверенность на время предстоящей сессии.
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
zubr
Гость
|
|
« Ответ #11 : 08-09-2010 10:51 » |
|
Посмотри что у тебя в автозагрузке. Кстати, не стоит ли случайно у вас в организации система h**p://www.searchinform.ru/index.html или ей подобная?
|
|
|
|
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #12 : 08-09-2010 10:54 » |
|
у sysinternals есть утилита autoruns.exe
посмотри что, где и как у тебя запускается в "автозагрузке"
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Люсь
|
|
« Ответ #13 : 08-09-2010 10:56 » |
|
Sla, "смотри event'ы когда вошли, когда вышли" - что это? где это?
"проверь что у тебя в "задачах"" - что это? где это?
"KMGLNC - что это? где это?
LogWantNT - что это? где это?"
как определить?
Спасибо за, продолжим завтра )
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #14 : 08-09-2010 11:13 »  |
|
|
|
|
|
« Последнее редактирование: 08-09-2010 11:15 от Алексей1153++ »
|
Записан
|
|
|
|
|
Kivals
|
|
« Ответ #15 : 08-09-2010 11:31 » |
|
Если я правильно помню - можно "убить" какой-то файл в профиле пользователя - при этом пароль будет пустой, и возможно если его вернуть на место - то пароль вернется старый.
Ни один из производителей ОС (включая MS) не дает гарантий на устойчивость к взлому при наличии физического доступа к компьютеру.
Итого схема рисуется такая: загрузка с LiveUSB/LiveCD/LiveDVD, move файла пароля, вход с пустым паролем. Потом вернуть все назад.
|
|
|
|
|
Записан
|
|
|
|
|
Serg79
|
|
« Ответ #16 : 08-09-2010 12:25 » |
|
Если я правильно помню - можно "убить" какой-то файл в профиле пользователя - при этом пароль будет пустой, и возможно если его вернуть на место - то пароль вернется старый.
Ни один из производителей ОС (включая MS) не дает гарантий на устойчивость к взлому при наличии физического доступа к компьютеру.
Итого схема рисуется такая: загрузка с LiveUSB/LiveCD/LiveDVD, move файла пароля, вход с пустым паролем. Потом вернуть все назад.
Это все сложно Kivals и трудно выполнимая людьми, которые вскрывают учетку только для того что бы по сетке весь день играть. Наверняка парни просто знают Люсин пароль и пользуются им. Люсь, смени свой пароль просто. Выбери что нибудь похожее: dfg345sdfbGR#fkhq23f58 )))) |
|
|
|
|
Записан
|
|
|
|
|
Kivals
|
|
« Ответ #17 : 08-09-2010 12:37 » |
|
Предположение из области социальной инженерии: нет ли за плечами камеры наблюдения, которой можно подсмотреть пароль?  |
|
|
|
|
Записан
|
|
|
|
resource
Молодой специалист
Offline
Пол:
|
|
« Ответ #18 : 08-09-2010 19:36 » |
|
Присоединяюсь к предложению Sla, насчет посмотреть event'ы. По крайней мере, это явно должно быть одним из первых шагов.
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #19 : 09-09-2010 03:14 » |
|
ха, ха, поиск на яндексе (2-я лёшина ссылка) выдаёт эту страницу ))))
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #20 : 09-09-2010 03:37 » |
|
Kivals, нет ) Но за спиной (сбоку вернее, уровень глаз ниже расположения клавиатуры) всё время сидит кто-нибудь )
Но понимаете, я говорю про программку или про спец-пароль, которым они это делают. Потому что так регулярно происходит с компом, на котором работают сменщики и которые друг другу из пакости всё время ставят пароли и не сообщают эти пароли.
И всё-таки, как посмотреть event'ы???
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #21 : 09-09-2010 03:45 » |
|
ха, ха, поиск на яндексе (2-я лёшина ссылка) выдаёт эту страницу ))))
вот видишь, я был прав  |
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #22 : 09-09-2010 04:07 » |
|
Не знаю, что можно определить по этим логам, но факт, что логи с буднего дня отличаются с логов за тот день, когда меня не было, лог раза в 3-4 больше обычного, изобилует ошибками в начале и в конце дня, т.е. я полагаю, это факт того, что пароль парни не знают, иначе лог был бы обычным... Будни Выходные Кстати, тут видно кусочек предыдущего дня, где активность была в 10 вечера - это тоже не могла быть я. При этом ошибок никаких нет. Может быть, просто включали комп на предмет просмотра каких-нибудь расшаренных папок. Активность была в течении 3 минут, комп был вырублен долгим удержанием "ресет"а на системнике. |
|
|
« Последнее редактирование: 09-09-2010 04:11 от Люсь »
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Люсь
|
|
« Ответ #23 : 09-09-2010 04:33 » |
|
Жалко, что в России сегодня выходной  У нас завтра выходной, значит, до понедельника ничо больше не смогу выяснить... |
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #24 : 09-09-2010 04:52 » |
|
какой такой выходной ? Почему не знаю ? ))
|
|
|
|
|
Записан
|
|
|
|
|
Люсь
|
|
« Ответ #25 : 09-09-2010 04:58 » |
|
Нет? Сегодня у мусульман хаит, или как правильно. Почему-то думала, в России выходной, так как все молчат ) Как-то не подумала, что в России выходные только по христианским праздникам ))
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #26 : 09-09-2010 05:08 » |
|
ну так то мы не против дополнительных праздников, но минздрав не разрешит ))
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #27 : 09-09-2010 05:26 » |
|
Люсь, из выходных по церковным праздникам у нас только Рождество (православное).
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
Люсь
|
|
« Ответ #28 : 09-09-2010 06:16 » |
|
Понятно )
Давайте по теме теперь! )
|
|
|
|
|
Записан
|
Посторонним просьба не беспокоить!
-------------------------------------------------
O (I) Rh +
|
|
|
|
Sla
|
|
« Ответ #29 : 09-09-2010 06:35 » |
|
Источник eventlog - говорит что когда была запущена служба и когда остановлена. Т.е. можно определить что комп включался и выключался в такое время.
Service Control Manager - сообщает о том какие службы запустились (не все)
В данном случае, наиболее интересно, что же это за ошибка в выходные?
можешь, стоя на левой панели Событий, нажать правую кнопку и сохранить как в csv или txt файл
а потом загнать в ексель и проанализировать. Файлик будет не маленький.
Еще интересны события от Приложений.
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
