как программа узнает что она была установлена
Как отследить изменения в системе после установки программы?
Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» — до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)
А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st,
это Process Monitor от Sysinternals — это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂 ) И спрятать какие либо движения от этой утилиты, при правильной ее настройке — крайне затруднительно. (Хотя возможно, знаю как но не скажу — ибо нехер)
PS: Единственное — внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки — отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).
Как программа узнает что она была установлена
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.
первое это событие с ID 1040 покажет вам начало установки программы:
Далее идет сообщение с кодом ID 10000.
Далее вы увидите событие, где заканчивается установка программы ID 1042
Завершается сеанс событием с кодом ID 10001
И заканчивается установка программы событием с кодом ID 11707
Иногда вы можете увидеть событие с ID 1033.
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»
В источниках событий выберите из выпадающего списка пункт MsiInstaller.
В итоге у меня получилось вот так.
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOT\Администратор.
Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Автоматизация оповещения по событиям 11707
Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.
Тут главное заполнить:
В результате вы получите письмо вот такого содержания:
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Как найти события установки программ не методом MsiInstaller
Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.
Выглядит событие ID 7045 вот так:
Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:\Program Files (x86)\Microsoft\Edge\Application\80.0.361.111\elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Как узнать кто удалил программу с сервера или компьютера
По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.
Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.
Дополнительно
Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.
Три способа разоблачить мобильного шпиона
Три способа найти приложения для слежки на вашем смартфоне, если они там есть.
Когда заходит речь о шпионских приложениях, может показаться, что это что-то из другой реальности — той, в которой играют по-крупному: политики, серьезного бизнеса и так далее. Но в реальности совсем не обязательно быть Джеффом Безосом, чтобы кому-то понадобилось за вами следить. Работодателю может быть очень интересно, что вы делаете вне офиса, а второй половинке — где и с кем вы бываете.
Подозреваете, что за вами кто-то может шпионить через смартфон? Рассказываем, как можно это проверить.
Как найти мобильного шпиона самостоятельно
Мобильные шпионы стараются действовать незаметно для пользователя, и все же большинство так или иначе проявляет себя. Пакет мобильного Интернета кончается раньше положенного, а аккумулятор садится быстрее обычного? Это повод насторожиться и проверить, какие приложения особенно активно используют ресурсы телефона. Нужные вам настройки на разных устройствах могут называться по-разному, но обычно это что-то про «мобильный трафик» (или, скажем, «использование данных») и «батарею» (или «аккумулятор») соответственно.
Внезапно включается Wi-Fi, мобильный Интернет или геолокация, хотя вы точно помните, что все это выключали? Опять-таки, посмотрите, какие программы потребляют трафик, а еще — пользуются доступом к вашему местоположению. Про проверку выданных разрешений в Android у нас есть отдельный пост. О разрешениях в iOS можно почитать на сайте Apple.
Как найти мобильного шпиона с помощью Kaspersky Internet Security для Android
Лень копаться в настройках и искать шпиона самостоятельно? Владельцам устройств с Android поможет мобильное защитное решение. Например, Kaspersky Internet Security для Android вычислит вражеского агента, даже если у вас бесплатная версия.
Из-за спорного юридического статуса некоторых мобильных шпионских приложений (stalkerware) многие защитные программы называют их not-a-virus, но все равно о них предупреждают, так что внимательно читайте сообщения от антивируса.
Правда, у этого метода есть один недостаток: некоторые приложения для слежки оповещают своих хозяев о том, что на устройстве появился антивирус. Если вы опасаетесь, что за вами следит, скажем, ревнивый супруг, возможно, ему не стоит знать о ваших подозрениях. Чтобы помочь пользователям вычислить шпиона, не выдав себя, мы создали TinyCheck — незаметно работающую систему обнаружения шпионских приложений, которой к тому же все равно, Android у вас или iOS.
Как найти мобильного шпиона с помощью TinyCheck
Что такое TinyCheck? Это программное решение, которое мы изначально разработали в помощь жертвам домашнего насилия, но потом поняли, что в современном мире оно может пригодиться кому угодно. Правда, в нынешней версии оно требует определенных технических познаний и готовности возиться с железками.
Дело в том, что TinyCheck устанавливают не на смартфон, а на отдельное устройство, например на микрокомпьютер Raspberry Pi, — именно поэтому шпионское приложение на телефоне не сможет его заметить. Это отдельное устройство нужно настроить так, чтобы оно выступало в роли посредника между роутером и подключенным к Wi-Fi гаджетом.
После этого весь ваш интернет-трафик будет проходить через TinyCheck, и тот сможет анализировать его в реальном времени. Если ваш смартфон отправляет много данных, скажем, на известные серверы шпионских приложений, то TinyCheck это заметит и предупредит вас. Вот как это выглядит на практике:
Подробные технические требования и инструкцию по настройке TinyCheck можно найти на странице решения на GitHub.
Как незаметно проверить телефон без глубоких познаний в IT?
Если название Raspberry Pi вам ни о чем не говорит, а то, что вам показывает по этому запросу Google, скорее отпугивает, вы можете попросить настроить TinyCheck знакомого айтишника. Лучше именно знакомого, которому вы доверяете на все 100%. Обращаться за помощью в сервисные центры не стоит — кто его знает, что соберут тамошние кулибины. И уж тем более не стоит просить об одолжении кого-то, кто может иметь отношение к слежке: с большой вероятностью он просто добавит шпионское приложение в «белый список», и TinyCheck не будет его обнаруживать.
Как спастись от слежки
Вы тем или иным способом обнаружили на смартфоне шпионскую программу? Не спешите ее удалять — тот, кто ее установил, это быстро заметит, и удаление шпиона может привести к эскалации конфликта. К тому же вам могут понадобиться улики, а если вы удалите программу — никаких улик не останется.
Разумно будет сперва озаботиться защитными мерами. Например, если за вами следит партнер, склонный к агрессивным действиям, прежде чем что-то делать со шпионским приложением, обратитесь в центр помощи жертвам домашнего насилия (где такие центры искать — рассказано здесь).
А в некоторых случаях проще вообще поменять смартфон и позаботиться о том, чтобы на новое устройство приложения для слежки не попали:
Больше информации о шпионских приложениях и о том, как с ними бороться, можно найти на сайте организации Coalition Against Stalkerware, занимающейся противодействием бытовой слежке.
Как найти установленные программы / приложения на компьютере
Необходимость в том, как найти установленные программы или приложения на компьютере бывает, по крайней мере, в трёх случаях:
Рассмотрим эти и подобные задачи.
Как найти установленные программы на Рабочем столе
Многие программы по умолчанию, во время установки создают на Рабочем столе компьютера ярлыки. Данные ярлыки случат для запуска этих приложений. Так что первый делом следуем посмотреть на своем Рабочем столе ярлык нужной утилиты.
Как найти нужное приложение через меню Пуск
В Windows 10 просто жмем Пуск. При этом в Windows 10 вверху открывшегося меню выводятся недавно добавленные утилиты. А ниже приводится весь список программ, упорядоченных по алфавиту.
Установленные программы в меню Пуск в Windows 10
Для запуска нужной программы необходимо просто кликнуть мышкой на ярлык. На снимке ниже приведены два примера: запуск приложения Punto Switcher в Windows 10 из недавно добавленных, а также CCleaner из общего списка установленных утилит.
Как узнать через Поиск, — установлена ли программа на компьютере
Чтобы найти установленную программу на компьютере можно воспользоваться Поиском. В качестве примера на снимке ниже показано, как найти и запустить установленную ранее на компьютере утилиту TeamViewer.
Если на вашем компьютере с Виндовс 10 не включен Поиск, — смотрите статью: Как включить Поиск в Windows 10.
Как найти установленные утилиты через папку Programm Files
Не всегда и не все установленные утилиты автоматически создают ярлыки на Рабочем столе и в меню Пуск. Либо сам пользователь может во время установки программы отключить такую возможность.
Но, большинство приложений устанавливаются на Локальном диске «С» компьютера в папку Programm Files или Program Files (x86). Поэтому можно поискать нужную установленную программу там.
В качестве примера на снимке ниже показано нахождение архиватора 7-Zip в папке Programm Files.
Отображение всех установленных программ для удаления
Бывает также нужно найти определенную программу на компьютере, чтобы ее удалить. В Windows 10 для этого можно, например, на меню Пуск нажать правой кнопкой мыши. Далее в появившемся меню выбрать Приложения и возможности.
Появится весь список установленных на компьютере приложений, где мы может удалить не нужные.
В качестве примера на снимке ниже показан выбор и возможность удаления программы для уменьшения размера изображений Fotosizer.
Если у вас есть задача в удалении приложений, больше информации можно узнать из статьи: Как правильно удалять программы с компьютера.
Выводы
Как видим то, как найти установленные программы на компьютере не составляет особого труда. Для этого можно воспользоваться, например, ярлыками на Рабочем столе, в меню Пуск. А также можно поискать нужное приложение в папке Programm Files и разделе Приложения и возможности.
Если же нужной утилиты на вашем компьютере не оказалось, возможно, вам пригодится статья: Как правильно скачивать и устанавливать программы.
Как посмотреть историю компьютера, что делали и куда заходили
В наше время информационная безопасность очень важна. Особенно, она важна на работе. Поэтому следить за тем, что происходило в Ваше отсутствие, уметь просмотреть историю жизнедеятельности Вашего персонального компьютера просто необходимо.
Если Вы думаете, что в Ваше отсутствие посторонний человек копается в Вашей информации, то Вам стоит изучить как просматривать историю изменений. Кстати, если у Вас дети, то полученную информацию возможно применить и к ним. Ведь отслеживать чем занимается Ваше дитя за компьютером пока Вы его не контролируете иногда бывает весьма полезно.
Как посмотреть историю компьютера, чего делали, куда заходили – 6 способов
На данный момент существует два варианта проверки того, что было с ПК. Для одного варианта достаточно лишь компьютера, а для второго необходим еще и интернет.
Все поисковые системы сохраняют историю действия пользователя в сети. Для того, чтобы просмотреть историю похождений необходимо нажать кнопки CTRL и H. Благодаря этой комбинации клавиш Вы увидите, где происходили путешествия по сети. Если переживаете, что посторонний увидит историю посещений, то знайте, что Вы всегда сможете ее очистить одной кнопкой.
Чтобы просмотреть историю Вам следует зайти в меню «Пуск» и ввести в окошке специальный набор символов msinfo32 и кликом компьютерной мыши запустите программу. Постарайтесь не делать никаких пробелов и написать символы верно, иначе ничего не запустится.
Если Вам хочется посмотреть, что ранее происходило на Вашей рабочей машине, выберите рубрику выполняемые задачи. И вот на экране Вам представлен событийный журнал.
1. Какие программы и приложения запускались
Чтобы это узнать нужно будет зайти в «Журналы Windows», а затем зайти в подкатегорию «Приложения». В журналах можно ознакомиться с историей того, что открывалось, когда запускалось и что произошло в связи с этим запуском.
Если Вам необходимо посмотреть, что за приложения открывали с Вашего компа, можете зайти в пункт «Установка». Здесь находятся установки посторонних и системных программ.
Если у Вас Windows 7 и выше, то можно еще выполнить манипуляции описанные ниже.
Во всех файлах существует определенный признак – дата их открывания. Время определяет когда пользователь запустил приложение либо файл.
Найти программы, которые были использованы можно! Пройдите в папку «C:\Program Files\». В строке поиска напишите следующую комбинацию «*.exe» и нажмите клавишу «Enter». Теперь в перечне будут отображаться файлы, содержащиеся в папке.
Далее в пункте «Вид» следует выбрать форму таблицы и надавить по заголовку столбца (безразлично какого) правой кнопкой мышки. В выпрыгнувшем меню разыскиваете вкладку «Подробнее..», затем вкладку «Дата доступа» и нажимаете кнопочку «ОК».
После этих манипуляций следует разложить полученную информацию по дате доступа и выбрать необходимый Вам период времени. Если Ваша система шестидесяти четырех разрядная, то такие манипуляции Вам необходимо будет произвести также с папочкой «C:\Program Files (x86)\». Вспомните, что если Ваши программы установлены в других местах, то проверить необходимо и те места тоже.
При поиске не забывайте об одной важной детали: когда Вы начинаете открывать приложения, данные об их предыдущем запуске автоматически затираются Вашими сведениями о вхождении и теперь выяснить время предшествующего вхождения невозможно.
2. Недавно измененные файлы на компьютере
Обнаружить файлы с изменениями довольно легко: нажимайте на «Пуск» и выбирайте вкладку «Недавние файлы». Если такой опции нет, то попробуйте надавить совместно клавиши Win+R, а в возникшем окошке напишите «recent», запустив процедуру клавишей Enter. Теперь Вы увидите папку в которой содержится перечень измененных файлов. Кроме этого дополнительно наведите курсор на офисные программы в панели Пуск и узнаете какие документы открывались последними на этом ПК. Конечно, если человек, который проникает на Ваш компьютер знаком хоть немного с компьютерной грамотностью, то он постарается замести следы и почистить все хорошенько. Поэтому, если папка окажется пустой, ищите на Ваших жестких дисках файлы со свежим временем изменений.
3. История посещения сайтов в браузере
Проверка истории посещения сайтов зависит от того каким браузером Вы пользуетесь. Самые распространенные браузеры Google Chrome и Firefox. Итак, рассмотрим, как сделать это в Google Chrome (аналогично Yandex.Browser, Opera):
Если Вы предпочитаете использовать браузер Firefox, то выполняемые действия будут немного отличаться. Потребуется следующее:
После этих манипуляций откроется окошко с историей Ваших посещений за какой-либо период времени (его можно выбрать). Теперь Вы сможете изучить информацию о посещении страничек. Конечно, историю посещений легко подчистить и удалить, с целью заметания следов. Особенно, этим славятся подростки, историю посещений которых изучают бдительные родители. В таком случае Вам необходимо будет установить дополнительное приложение, которое будет складывать информацию о жизнедеятельности в сети. Приложений таких очень много и как говорится интернет Вам в помощь!
4. Папка загрузки на компьютере
Путь к «Загрузкам» лежит через кнопку «Пуск», которую нужно нажать. В колонке справа находится название «Загрузки». Нажмите на него и просмотрите, что качалось в определенный период времени.
Для этого отсортируйте Ваши загрузки по «Дате изменения», изучайте и делайте соответствующие выводы. Для своего удобства Вы можете выбрать вид отображения «Таблица».
5. Заглянем в Корзину
Для понимания того какие файлы удалены можно открыть корзину и отсортировать сохраненную в ней информацию по времени удаления, посмотреть интересующий Вас отрезок времени и проанализировать, что было уничтожено.
Конечно, если аккуратный нехороший человек копался в Вашей машине, он наверняка подчистил корзину, но вдруг ему кто-то помешал, и он не успел? Никогда не пренебрегайте возможностью проверить всю информацию.
6. Смотрим файл журнала
Для проверки журнала Вашей ОС нужно открыть «Панель управления» и найти функцию «Администрирование». После этого кликнуть на «Управление компьютером» и в навигационной панели найти вкладку «Просмотр событий». Итак, к Вашим услугам будут представлены несколько журналов – «Безопасность», «Установка», «Система» и «Приложение».
Журналы эти имеют массу нужной информации о жизнедеятельности юзеров, ошибках приложений, загрузках, и прочего.
Журнал безопасности
В этом месте производится фиксация всех событий, чтобы просмотреть этот журнал попробуйте открыть окно просмотра событий и в журнале «Windows» выберите вкладку «Безопасность». Теперь Вы увидите события безопасности. Для того, чтобы узнать дополнительные сведения о каком-либо событии достаточно будет нажать на него и изучить полученную информацию.
Отметим, что этот журнал в обязательном порядке включает информацию о входе в систему. Если Вы знаете о своих входах в систему, то Вы всегда сможете идентифицировать время входа постороннего человека.
Журнал приложений
Включает в себя информацию о том, что за приложения открывались с Вашей машины. Когда Вы пытаетесь понять, какие приложения использовались, когда Вас не было в Ваше отсутствие сделайте фильтрацию по дате в событиях.
Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах.