V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
my2492
V2EX  ›  宽带症候群

公司能查到 qq 微信等工具的聊天记录的原理是什么?

  •  
  •   my2492 · 139 天前 · 9117 次点击
    这是一个创建于 139 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司现在会定期通报有哪些员工上网聊与工作无关的事,比较好奇最有可能是通过什么方式实现的?

    1.对公司电脑键鼠输入进行监控,用自己的电脑/手机即可避免被监控。
    2.高清监控摄像头,人肉看录像看电脑手机屏幕上的内容。(这个要花费的人力有点大,是否会这么干存疑)
    3.在 2 的基础上用 AI 做 OCR 识别。(公司自己的技术大概率搞不了,花钱买方案的话,目前不知道有没有精度足够高的方案,有的话价钱不便宜吧,本地算力或者带宽需求也不会低)
    4.网络行为管控设备能解密微信 qq 等常见软件的数据包,但是大厂软件真的在用能随随便便就能被批量解密的数据传输方式吗?

    之前一直看到深信服之类的可以随便看到聊天记录,但是一直不知道是真的还是假的
    76 条回复    2024-08-16 12:56:14 +08:00
    lxyv
        1
    lxyv  
       139 天前
    电脑是公司加域的还是自己的?如果是公司的,ipguard 了解下,看下本地端口 8235 和 8237 有没有被开起来。
    saranz
        2
    saranz  
       139 天前
    公私公开,私的只在手机上使用,不在公司设备上操作。
    whoosy
        3
    whoosy  
       139 天前
    别想那么复杂 有可能只是老板或者人事路过看到在摸鱼 就记下通报了
    chanwang
        4
    chanwang  
       139 天前 via Android
    不是还有定时截屏上传到服务器吗?你公司电脑都装了什么软件?
    摄像头是最不可能的,除非对着你的屏幕装的摄像头。
    要么网络层面去记录数据包网关上解密聊天记录数据要么就是截屏。就这两样了

    深信服全网行为管理可以看聊天记录
    https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=263677
    zcybupt2016
        5
    zcybupt2016  
       139 天前
    如果你装了公司的 DLP ,那本地聊天记录可以随便导
    BeforeTooLate
        6
    BeforeTooLate  
       139 天前
    监控软件可以截屏的吧
    Meteora626
        7
    Meteora626  
       139 天前
    以前深信服可以看,现在不知道了,因为中间 21 22 年闹得挺厉害 说侵犯隐私
    Light3
        8
    Light3  
       139 天前
    如果使用公司的网络..
    可以轻松的拿到各种数据包..
    至于对电脑操作进行监控的话 可能需要电脑上安装监控软件
    googlefans
        9
    googlefans  
       139 天前
    有软件
    my2492
        10
    my2492  
    OP
       139 天前
    @lxyv 有基本不用公司电脑的同事也经常被通报,但只有微信被通报过,未见其他 app 通报。其他通报就是访问非工作网站,违规收发邮件等,这个就没啥奇怪了。我不连公司网络,目前一次都没被通报过。
    my2492
        11
    my2492  
    OP
       139 天前
    @whoosy 通报是 IT 给人事,但这个事不好多问 IT
    miyuki
        12
    miyuki  
       139 天前
    电脑如果装监控软件了,和裸奔没区别

    如果没装软件,只靠流量分析,能通过 SNI 、DNS 之类的分析你上了什么网站 (内容看不到)
    my2492
        13
    my2492  
    OP
       139 天前
    @Light3 能拿到数据包,但是没有证书能解密吗?
    tyrone2333
        14
    tyrone2333  
       139 天前
    H3C SecPath ACG1000 系列应用控制网关 典型配置(R6614)-6W102-审计功能典型配置举例.pdf
    kandaakihito
        15
    kandaakihito  
       139 天前
    公司有没有给电脑加域?公司有没有在你电脑上安装任何奇奇怪怪的东西?只要公司想那就肯定能看见

    基本上常见的查看聊天记录的方法都是从终端下手,因为你的消息在通过你本地的密钥加密后进行发送,理论上只有保存了对应密钥对的人才知道你聊天记录的明文(利维坦能看见明文是因为人家直接在企鹅那里开了接口)

    常见的方法貌似就是通过较高的操作权限获取你的解密密钥,或者在电脑上悄悄安装证书玩证书攻击让你的密钥本身就是不安全的,或者通过 dump 对应软件的 key 内存地址里面的方式拿到密钥,或者大道至简录屏
    kandaakihito
        16
    kandaakihito  
       139 天前
    顺带一提,如果安装了深信服这类软件,那你比裸奔还恐怖。因为人的精力是有限的,公司不可能花钱专门雇一批督战队看你的录屏。但是深信服这类软件能直接出报告和主动提醒,连你今天敲了几次键盘都能给统计出来。
    my2492
        17
    my2492  
    OP
       139 天前
    @kandaakihito 公司 windows 电脑有监控软件,这个就不去说了。但是我们有一些写代码的员工会带自己的 mac 上班,因为给员工配 mac 成本高,目前公司也没有管这个事,也没有要求装奇奇怪怪的软件。就安装了一个打印机驱动,这个驱动跟一般家用打印机不太一样,是一个公司的定制驱动,不知道会不会在这里面动手脚,其他地方的话除了网络侧和摄像头,没有可以监控个人电脑的地方了。但是用 mac 和 iPhone 的同事们确实被通报很少,用自己的安卓手机干私事被通报的有好几个了。
    my2492
        18
    my2492  
    OP
       139 天前
    @kandaakihito 被通报的重灾区是财务和行政,本身事情就少,摸鱼必被抓。做开发的其实摸鱼也不少,但是被通报的次数很少。我问了他们被通报的说之前被通报后就不用公司电脑摸鱼了,但是还是被通报,目前已知的信息是这些人都是安卓手机。
    Martens
        19
    Martens  
       139 天前
    猜测公司电脑上装有探针进行数据上报
    BeijingBaby
        20
    BeijingBaby  
       139 天前
    不让摸鱼的公司,是怎么忍的。。
    Martens
        21
    Martens  
       139 天前
    @Martens #19 2 、流量分析
    hahiru
        22
    hahiru  
       139 天前
    装了定制打印机驱动。什么高级打印机需要装额外驱动。试试用同型号官网的驱动替代。
    定制驱动本身就很可疑。
    my2492
        23
    my2492  
    OP
       139 天前
    @BeijingBaby 日子难过了天天降本增效,午睡超下午上班时间 5 分钟进通报名单
    kandaakihito
        24
    kandaakihito  
       139 天前
    @my2492 八成是流量审计吧?实在只能用公司 WiFi 的话,干脆用梯子开全局吧(
    iijboom
        25
    iijboom  
       139 天前
    @my2492 不是说能抓到和谁聊天,但是抓不到聊天内容,装客户端可以全抓
    lxyv
        26
    lxyv  
       139 天前
    @my2492 #10 老板懂社工学,安排内鬼了
    my2492
        27
    my2492  
    OP
       139 天前
    @kandaakihito 准备买个 cpe 放公司了,只要别真是摄像头看屏幕这种最原始的方法就好。人事确实喜欢看录像,但是如果让他们看全公司的录像属实有点吃力。
    my2492
        28
    my2492  
    OP
       139 天前
    @iijboom 看到一个说法是文字抓不到,但图片和文件传输是没加密的
    fulajickhz
        29
    fulajickhz  
       139 天前
    你们公司包含外包常驻大概有几个? 100+ 还是 50-100
    my2492
        30
    my2492  
    OP
       139 天前
    @fulajickhz 南京和上海两个办公点加起来过 100 了,上海 30+,其他的都在南京,人事基本不会人肉巡查,但会看录像,我还是倾向于使用了技术手段。看录像估计也就看看有没有那种很明显摸鱼的,电脑上开个小窗口什么的理论上看不清。
    iamOldMaster
        31
    iamOldMaster  
       139 天前
    @kandaakihito 装了深信服的 VPN 客户端,会有被监测的风险吗
    XSDo
        32
    XSDo  
       139 天前
    @my2492 头脑风暴一下微信的传输加密,再试想一下自己选择一组聊天记录分享给别人的场景,基本上路由器上面拦截微信数据包 然后生成聊天记录分享出去就可以解密了
    R77
        33
    R77  
       139 天前
    用自己手机+4G ( 5G ) 最安全
    kandaakihito
        34
    kandaakihito  
       139 天前
    @iamOldMaster 普通公司之类的应该不会吧?

    这玩意我也装过,很多高校的图书馆 VPN 客户端都用的这玩意。深信服再怎么说也是上市企业,监控电脑的前提是本身电脑就是公司资产。

    上市公司没必要开发一款通用软件,打着其他功能的名义,帮助与自己八竿子关系打不着的一般社会团体偷偷摸摸地监控其成员的私人电脑。这么干纯纯吃力不讨好还违法。
    asm
        35
    asm  
       139 天前
    其实就是 dns 日志。。。
    body007
        36
    body007  
       139 天前
    https://learn.microsoft.com/zh-cn/sysinternals/downloads/sigcheck

    下载上面工具,然后执行:sigcheck64 -tuv



    看这些证书,就问大家怕不怕,刚好深信服也做网络安全设备,中间人攻击不是小意思嘛。
    看看深信服的证书过期时间,都不知道这公司能不能活到那时候。
    stone9527
        37
    stone9527  
       139 天前
    深信服就干这个的,只要你不投简历,哪个老板会闲的没事查你摸鱼记录?
    my2492
        38
    my2492  
    OP
       139 天前
    @stone9527 都是打着防泄密的名义查。投简历这种东西,人家非要在公司投吗?查不查也没意义,人家只想知道有没有人摸鱼,是不是能继续榨一榨
    yagamisam
        39
    yagamisam  
       139 天前
    @hahiru 打印机定制驱动应该还蛮常见的吧,例如公司有多个打印机,定制驱动可以抽象成一台,打印后可以在任意一台取文件之类的
    brom111
        40
    brom111  
       139 天前   ❤️ 1
    现在大部分都是截图 然后自动分析。
    fairytale110
        41
    fairytale110  
       139 天前 via Android
    1 、工作电脑不登私人微信
    2 、个人设备不要连接公司网络
    3 、手机贴防窥膜,
    Anshay
        42
    Anshay  
       139 天前 via iPhone
    华为的手机 welink 天天弹窗让你用公司 wifi ,你看我用了吗?
    SenLief
        43
    SenLief  
       139 天前
    在公司就是拿手机不连 wifi 摸鱼。
    povsister
        44
    povsister  
       139 天前
    终端行为审计罢了。
    如果微信的通信数据能被中间人截获并解密,我建议微信团队立刻原地解散。
    SilentOrFight
        45
    SilentOrFight  
       139 天前
    应该只是看到行为,具体数据解密不了。除非电脑装了监控软件,可以做到用 dll hook 进微信进程,然后从内存中取聊天内容,不过这个水平属于安全领域的高手了,应该只有专业团队或个人才能搞。
    上面说的密钥加解密我就不太了解了。dll hook 是我在 QQ 上玩过的,不过我也不太会,大佬教了一点皮毛后学不下了。
    sampeng
        46
    sampeng  
       139 天前
    这个通报就有点魔性。。。。什么年代了。。连摸鱼都通报。。怎么不去死。
    jevonszmx
        47
    jevonszmx  
       139 天前
    @Meteora626 深信服现在不可以了,但是企业定制机可以
    jevonszmx
        48
    jevonszmx  
       139 天前
    @brom111 不用,你搜:云客,就知道了,小米这样的可以定制企业手机,手机后台可以同步微信、短信、电话截图到云上的。
    LancerComet
        49
    LancerComet  
       139 天前
    根证书 + 持续截屏
    07aPzknB16ui9Cp3
        50
    07aPzknB16ui9Cp3  
       139 天前
    @kandaakihito 兔友不用想那么多,深信服就是简单在你电脑上信任 root cert 然后就直接开盒了,Charles 这种工具用过吗,它怎么 proxy https 的深信服就怎么开盒的,36 楼截图很清楚了
    k9982874
        51
    k9982874  
       139 天前
    不是,你司是西朝鲜公司吗?
    starinmars
        52
    starinmars  
       138 天前
    电脑后台有公司管理软件,截屏可能性大。 但也有一些专做企业微信、微信、qq 这类聊数据拉取的。
    736531683
        53
    736531683  
       138 天前
    mac 不给屏幕权限应该比较安全。或者说这些安全软件能解微信的数据包?
    736531683
        54
    736531683  
       138 天前
    另外提醒一下,上次有帖子说飞书(可能是连接 vpn 情况下)后台会偷偷截图,但是一般飞书都会给屏幕权限。
    xiaowei7777
        55
    xiaowei7777  
       138 天前
    @my2492 #13 抓包工具 https 的也可以抓啊
    s4d
        56
    s4d  
       138 天前
    你们电脑不自己重装吗?
    Melville
        57
    Melville  
       138 天前
    屏幕监控 是截图?
    tagtag
        58
    tagtag  
       138 天前
    内置根证书,所有的 https 流量都能解密
    weirking
        59
    weirking  
       138 天前
    装个火绒,把微信文件夹设置下禁止访问,然后发行很多大厂软件都会去刺探,,
    my2492
        60
    my2492  
    OP
       138 天前 via iPhone
    @s4d 公司电脑瞎折腾 IT 那边直接能收到警报,今年公司严抓泄露商业机密,开会说这事情都开了不知几次了。但是借着这个查摸鱼让人很不爽
    processzzp
        61
    processzzp  
       138 天前
    @736531683 后台截图的叫飞连,跟飞书是两个不同的 App ,飞书没有那些功能。这种企业级的保密软件都是要额外付费的,且价格不菲。飞书要是集成那些功能的话,你当字节跳动是做慈善的啊。
    huicopy
        62
    huicopy  
       138 天前
    有些高档的行为管理网关,介绍是可以做到查看部分聊天软件内容。
    oldhan
        63
    oldhan  
       138 天前
    管道基本不可能审计到主流 im 内容,你的端上肯定装东西了。
    YGBlvcAK
        64
    YGBlvcAK  
       138 天前
    如果是我来做,就这样:

    PC 端装个屏幕 AI 识别程序,通过关键字或图片来识别,比如 AI 检测到有家、爸、妈、老婆、之类的关键字就截图并留存证据,所以即知道你聊私事了,还知道你和谁聊了,聊了什么

    网关端行为分析,这个最基本的,通过 DNS ,SNI 就能分析出你访问了哪些网站,所以你不用公司电脑也能知道访问了什么网站,或者手机手机连了公司网络,也可知道你打开了哪些 APP ,京东、淘宝、抖音什么的

    通过摄像头分析行为特征,比如一个人长时间盯着手机,那就肯定有问题,截图保存给人工验证,再比如监控到手长时间离开键盘和鼠标,那肯定也是有问题的


    如何破解:没什么好方法,最简单的就是不用公司网络,至少手机可以不用,如果电脑必须得连公司网络,那就再注册个微信,只聊公事,不要在电脑上打开任何非工作内容的程序和网页。然后你用手机数据摸摸鱼试试,如果你被通报了,说明摄像头有鬼
    SekiBetu
        65
    SekiBetu  
       138 天前
    @my2492 路由器就是来干加解密的活的,当然能拿到所有信息
    kwater
        66
    kwater  
       138 天前
    我记得有些深信服的方案,网关带硬盘的
    kandaakihito
        67
    kandaakihito  
       138 天前
    @wuzzispacelake

    emmm ,首先我不是兔兔,这么多平台唯独 v 站一堆人看不出来我是在反串。(正经兔友谁用这种头像啊)

    然后,36 楼那个也是证书与中间人攻击?好像也是我猜想的一部分。因为我是网安小白,所以不清楚深信服的具体实现方式,所以只是列举了可能的手段猜想一把。
    07aPzknB16ui9Cp3
        68
    07aPzknB16ui9Cp3  
       137 天前
    @kandaakihito 在终端设备塞证书是很重要的一步,深信服就是在客户机上证书硬塞,唉这下兔转神了,新家圈我
    kandaakihito
        69
    kandaakihito  
       137 天前 via Android   ❤️ 1
    @wuzzispacelake 没必要 yygq ,大学四年其中三年半是全民大健康,一毕业就是历史垃圾时间,没去天生万物就已经算是粉了
    736531683
        70
    736531683  
       137 天前
    @processzzp 我又没说是普通版飞书,飞书是有企业版的,不买企业版飞书的企业难道会用飞连吗?差不多一个意思,我感觉飞书后台会不会干这个事情不好说,据说飞书企业版所有消息都是有概览的。
    yulihao
        71
    yulihao  
       136 天前
    如果是抓摸鱼的话这倒是简单。
    之前研究过一段时间校园网共享,发现 Panabit 后台可以获取到正在登录的微信 ID 。
    共享原理就是检测获取到的微信 ID 有多少个,超出就报共享(或者说是王者/LOL 的链接存在多个即报告共享)
    后来我研究了以下,微信 ID 其实基本上跟裸奔没什么区别( GetNewDns ),QQ 也是,所以我推测你们公司其实是根据登录的微信 ID 去通报的。正常情况下只登录一个微信的,如果你的手机登录了多个微信,比如多开,就会被发现。
    tjiaming99
        72
    tjiaming99  
       136 天前
    前公司就是做监控类的,目前这类监控基本都很成熟了
    技术原理:大多数基于 APIHook+驱动层劫持——针对浏览器、聊天记录还有文档记录什么的,网络层面 DLP 的话,局限性比较大,目前深信服采用的是证书劫持+应用层相结合
    iCollin
        73
    iCollin  
       136 天前
    @lxyv #1 刚查,8237 打开保持通信状态,找人给卸载了。
    lxyv
        74
    lxyv  
       136 天前
    @iCollin #73 别用公司电脑干和工作不相关的事就好,卸了在后端看到你不在线,反而会重点关注你
    iCollin
        75
    iCollin  
       136 天前
    @lxyv #74 应该没用起来,扫了下其他电脑端口,没有看到得 8235 和 8237 。
    troilus
        76
    troilus  
       97 天前
    直接替换了根证书吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   991 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:18 · PVG 04:18 · LAX 12:18 · JFK 15:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.