KUMASERSOFT

Примеры защиты от шпионов

Защита от скрытого наблюдения DameWare Mini Remote Control Server и его удалённого доступа.

Программа DameWare Mini Remote Control Server давно известна как мощный инструмент удаленного управления компьютером. Она дает возможность полного контроля над компьютером и часто используется администраторами сетей. Модуль программы можно установить удаленно и при определенных настройках наблюдение можно осуществлять скрытно. Полагаем, что пользователям частных сетей будет интересна данная статья.

Модули DameWare Mini Remote Control Server можно увидеть в мониторах COVERT Pro. В драйверном мониторе DamewareMini.sys и dwvkbd.sys. В мониторе процессов системы DWRCS.EXE и DWRCST.EXE, а сервис с именем dwmrcs появляется в списке монитора “Службы системы”. “Сетевой монитор” маскировщика показывает, что есть служба с активным соединением. Это приложение DWRCS.EXE.

Чтобы увидеть неактивное подключение (когда нет активного соединения, но модуль слежения установлен и ждёт команды) нажимаем левой кнопкой мышки на название “Приложение”. Мы сможем увидеть дополнительно процессы, ожидающие соединения, но неактивные в данный момент. Это возможность выявить и неактивный в настоящий момент мониторинг.

Чтобы заблокировать наблюдение за своим компьютером необходимо добавить имя процесса DWRCS.EXE в “Базу угроз”. После этого доступ к компьютеру будет закрыт. Для добавления в базу следует дважды нажать на левую кнопку мышки на процессе в сетевом мониторе или вызвать контекстное меню и выбрать пункт “Добавить в базу угроз”. (Необходимо подтвердить свои действия, нажав “Сохранить” в главном окне программы).

На удаленном компьютере, с которого ведется наблюдение, появится сообщение об ошибке, и наблюдатель не сможет к вам подключиться и контролировать ваш компьютер, пока вы работаете внутри защищенной платформы маскировщика.

Как только вы выйдите из нее, контроль над вашим компьютером опять будет восстановлен. Не удаляя модули программы мониторинга можно скрыть свои действия внутри платформы COVERT Pro.

Для полного отключения модуля слежения открываем окно “Службы системы”, находим строку этой службы. Она выделена красным цветом. Через контекстное меню изменяем тип ее запуска на “Отключено” (этот шаг необходимо обязательно сделать, иначе наблюдатель с удаленного компьютера снова активирует остановленную службу) и останавливаем работу службы.

После этих действий удаленный компьютер потеряет с вами соединения и не сможет больше подключиться. На запросы подключения он будет получать сообщение об ошибке о невозможности активировать службу слежения.

Таким образом, вы можете отключить наблюдение за своим компьютером и ограничить к нему доступ, когда возникнет в этом необходимость. Если вам потребуется восстановить контроль, тогда в окне “Службы системы” следует нажать кнопку “Все службы” выбрать из списка модуль слежения (теперь он будет выделен жёлтым цветом) и через контекстное меню изменить тип запуска на “Авто”. Потом в пункте “Изменить задачи служб” выбрать “Пуск”.

После этих действий служба мониторинга заработает, и контроль над вашей системой восстановится полностью.

Для полного удаления модуля слежения с вашего компьютера, в окне “Службы системы” нажмите правой мышкой на строку службы DameWare Mini Remote Control Server и в контекстном меню выберите по очереди пункты: “Открыть папку службы”, “Остановить службу”, “Изменить задачи служб” и "Удалить". Далее удаляем всё содержимое этой папки вместе с самой папкой.

В окне “Драйверный монитор” нажимаем кнопку “Все драйвера” и удаляем через контекстное меню драйвера DamewareMini.sys и dwvkbd.sys. После удаления драйверов необходимо перезагрузить компьютер и в контекстном меню проверить путь к драйверу. Если драйвер удалён, то маскировщик предложит удалить и оставшеюся о нем информацию.

Модули мониторинга DameWare Mini Remote Control Server теперь удалены полностью. Во избежание повторной дистанционной установки следует ограничить доступ к папкам и файлам через сетевые настройки Windows.

Вернуться назад