как программа узнает что она была установлена

Содержание

Как отследить изменения в системе после установки программы?

Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» — до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)

А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st,
это Process Monitor от Sysinternals — это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂 ) И спрятать какие либо движения от этой утилиты, при правильной ее настройке — крайне затруднительно. (Хотя возможно, знаю как но не скажу — ибо нехер)

PS: Единственное — внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки — отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).

Источник

Как некоторые приложения для Android запоминают, что это не первый раз, когда они устанавливаются?

Некоторые приложения для Android могут помнить, были ли они установлены на том же устройстве ранее. Предположим, вы удалили приложение год назад. Через год, если вы снова установите это же приложение, оно сможет распознать, что оно было установлено ранее на том же телефоне.

Этот метод используется онлайн-приложениями, чтобы навсегда запретить пользователям когда-либо снова создавать новую учетную запись, если им было запрещено использовать службу один раз. Когда такие пользователи создают новую учетную запись, переустанавливая приложение позже, эти приложения могут обнаружить свое «первое присутствие» и отправить эту информацию на серверы, чтобы пользователя можно было снова заблокировать.

Как они это делают даже после очистки их данных и их полной деинсталляции? Это означает, что они хранят какой-то файл в телефоне, который не удаляется после удаления. Как отключить это обнаружение?

Существует несколько способов идентифицировать уникальное устройство или его пользователя:

2, 3 и 4 требуется сетевое соединение и сервер на стороне разработчика.

Он связан не с хранилищем, а с облаком. Вот как он запоминает, даже если вы удалили свои данные. Чтобы отключить это, перейдите в приложение настроек вашего устройства, нажмите учетные записи Google в разделе «Личные» (нажмите учетную запись, которую вы хотите, если у вас несколько учетных записей), затем отключите приложения, которые вы не хотите автоматически синхронизировать.

Возможно, вы захотите взглянуть на дактилоскопию браузера, чтобы понять, как это работает, хотя это будет несколько иначе, потому что аппаратное обеспечение телефона обычно более однородно, чем аппаратное обеспечение ПК. Тем не менее, добавление определенных деталей телефона может помочь немного сузить отпечаток пальца.

Пожалуйста, обратите внимание: я ни в коем случае не говорю, что это правильно или «хорошо» как способ работы, если вы пишете приложения, но кажется разумным обсудить это, поскольку только в ходе обсуждения люди выяснят, являются ли они достаточно обеспокоен, чтобы что-то с этим сделать и что это может быть.

Источник

Как программа узнает что она была установлена

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.

Как узнать кто установил программу и когда

И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.

первое это событие с ID 1040 покажет вам начало установки программы:

Далее идет сообщение с кодом ID 10000.

Далее вы увидите событие, где заканчивается установка программы ID 1042

Завершается сеанс событием с кодом ID 10001

И заканчивается установка программы событием с кодом ID 11707

Иногда вы можете увидеть событие с ID 1033.

Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»

В источниках событий выберите из выпадающего списка пункт MsiInstaller.

В итоге у меня получилось вот так.

Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOT\Администратор.

Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM

Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.

Автоматизация оповещения по событиям 11707

Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.

Тут главное заполнить:

В результате вы получите письмо вот такого содержания:

Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.

Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:

Как найти события установки программ не методом MsiInstaller

Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.

Выглядит событие ID 7045 вот так:

Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:\Program Files (x86)\Microsoft\Edge\Application\80.0.361.111\elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem

Как узнать кто удалил программу с сервера или компьютера

По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.

Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.

Дополнительно

Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.

Источник

Как найти установленные программы / приложения на компьютере

Необходимость в том, как найти установленные программы или приложения на компьютере бывает, по крайней мере, в трёх случаях:

Рассмотрим эти и подобные задачи.

Как найти установленные программы на Рабочем столе

Многие программы по умолчанию, во время установки создают на Рабочем столе компьютера ярлыки. Данные ярлыки случат для запуска этих приложений. Так что первый делом следуем посмотреть на своем Рабочем столе ярлык нужной утилиты.

Как найти нужное приложение через меню Пуск

В Windows 10 просто жмем Пуск. При этом в Windows 10 вверху открывшегося меню выводятся недавно добавленные утилиты. А ниже приводится весь список программ, упорядоченных по алфавиту.

Установленные программы в меню Пуск в Windows 10

Для запуска нужной программы необходимо просто кликнуть мышкой на ярлык. На снимке ниже приведены два примера: запуск приложения Punto Switcher в Windows 10 из недавно добавленных, а также CCleaner из общего списка установленных утилит.

Как узнать через Поиск, — установлена ли программа на компьютере

Чтобы найти установленную программу на компьютере можно воспользоваться Поиском. В качестве примера на снимке ниже показано, как найти и запустить установленную ранее на компьютере утилиту TeamViewer.

Если на вашем компьютере с Виндовс 10 не включен Поиск, — смотрите статью: Как включить Поиск в Windows 10.

Как найти установленные утилиты через папку Programm Files

Не всегда и не все установленные утилиты автоматически создают ярлыки на Рабочем столе и в меню Пуск. Либо сам пользователь может во время установки программы отключить такую возможность.

Но, большинство приложений устанавливаются на Локальном диске «С» компьютера в папку Programm Files или Program Files (x86). Поэтому можно поискать нужную установленную программу там.

В качестве примера на снимке ниже показано нахождение архиватора 7-Zip в папке Programm Files.

Отображение всех установленных программ для удаления

Бывает также нужно найти определенную программу на компьютере, чтобы ее удалить. В Windows 10 для этого можно, например, на меню Пуск нажать правой кнопкой мыши. Далее в появившемся меню выбрать Приложения и возможности.

Появится весь список установленных на компьютере приложений, где мы может удалить не нужные.

В качестве примера на снимке ниже показан выбор и возможность удаления программы для уменьшения размера изображений Fotosizer.

Если у вас есть задача в удалении приложений, больше информации можно узнать из статьи: Как правильно удалять программы с компьютера.

Выводы

Как видим то, как найти установленные программы на компьютере не составляет особого труда. Для этого можно воспользоваться, например, ярлыками на Рабочем столе, в меню Пуск. А также можно поискать нужное приложение в папке Programm Files и разделе Приложения и возможности.

Если же нужной утилиты на вашем компьютере не оказалось, возможно, вам пригодится статья: Как правильно скачивать и устанавливать программы.

Источник

Три способа разоблачить мобильного шпиона

Три способа найти приложения для слежки на вашем смартфоне, если они там есть.

Когда заходит речь о шпионских приложениях, может показаться, что это что-то из другой реальности — той, в которой играют по-крупному: политики, серьезного бизнеса и так далее. Но в реальности совсем не обязательно быть Джеффом Безосом, чтобы кому-то понадобилось за вами следить. Работодателю может быть очень интересно, что вы делаете вне офиса, а второй половинке — где и с кем вы бываете.

Подозреваете, что за вами кто-то может шпионить через смартфон? Рассказываем, как можно это проверить.

Как найти мобильного шпиона самостоятельно

Мобильные шпионы стараются действовать незаметно для пользователя, и все же большинство так или иначе проявляет себя. Пакет мобильного Интернета кончается раньше положенного, а аккумулятор садится быстрее обычного? Это повод насторожиться и проверить, какие приложения особенно активно используют ресурсы телефона. Нужные вам настройки на разных устройствах могут называться по-разному, но обычно это что-то про «мобильный трафик» (или, скажем, «использование данных») и «батарею» (или «аккумулятор») соответственно.

Внезапно включается Wi-Fi, мобильный Интернет или геолокация, хотя вы точно помните, что все это выключали? Опять-таки, посмотрите, какие программы потребляют трафик, а еще — пользуются доступом к вашему местоположению. Про проверку выданных разрешений в Android у нас есть отдельный пост. О разрешениях в iOS можно почитать на сайте Apple.

Как найти мобильного шпиона с помощью Kaspersky Internet Security для Android

Лень копаться в настройках и искать шпиона самостоятельно? Владельцам устройств с Android поможет мобильное защитное решение. Например, Kaspersky Internet Security для Android вычислит вражеского агента, даже если у вас бесплатная версия.

Из-за спорного юридического статуса некоторых мобильных шпионских приложений (stalkerware) многие защитные программы называют их not-a-virus, но все равно о них предупреждают, так что внимательно читайте сообщения от антивируса.

Правда, у этого метода есть один недостаток: некоторые приложения для слежки оповещают своих хозяев о том, что на устройстве появился антивирус. Если вы опасаетесь, что за вами следит, скажем, ревнивый супруг, возможно, ему не стоит знать о ваших подозрениях. Чтобы помочь пользователям вычислить шпиона, не выдав себя, мы создали TinyCheck — незаметно работающую систему обнаружения шпионских приложений, которой к тому же все равно, Android у вас или iOS.

Как найти мобильного шпиона с помощью TinyCheck

Что такое TinyCheck? Это программное решение, которое мы изначально разработали в помощь жертвам домашнего насилия, но потом поняли, что в современном мире оно может пригодиться кому угодно. Правда, в нынешней версии оно требует определенных технических познаний и готовности возиться с железками.

Дело в том, что TinyCheck устанавливают не на смартфон, а на отдельное устройство, например на микрокомпьютер Raspberry Pi, — именно поэтому шпионское приложение на телефоне не сможет его заметить. Это отдельное устройство нужно настроить так, чтобы оно выступало в роли посредника между роутером и подключенным к Wi-Fi гаджетом.

После этого весь ваш интернет-трафик будет проходить через TinyCheck, и тот сможет анализировать его в реальном времени. Если ваш смартфон отправляет много данных, скажем, на известные серверы шпионских приложений, то TinyCheck это заметит и предупредит вас. Вот как это выглядит на практике:

Подробные технические требования и инструкцию по настройке TinyCheck можно найти на странице решения на GitHub.

Как незаметно проверить телефон без глубоких познаний в IT?

Если название Raspberry Pi вам ни о чем не говорит, а то, что вам показывает по этому запросу Google, скорее отпугивает, вы можете попросить настроить TinyCheck знакомого айтишника. Лучше именно знакомого, которому вы доверяете на все 100%. Обращаться за помощью в сервисные центры не стоит — кто его знает, что соберут тамошние кулибины. И уж тем более не стоит просить об одолжении кого-то, кто может иметь отношение к слежке: с большой вероятностью он просто добавит шпионское приложение в «белый список», и TinyCheck не будет его обнаруживать.

Как спастись от слежки

Вы тем или иным способом обнаружили на смартфоне шпионскую программу? Не спешите ее удалять — тот, кто ее установил, это быстро заметит, и удаление шпиона может привести к эскалации конфликта. К тому же вам могут понадобиться улики, а если вы удалите программу — никаких улик не останется.

Разумно будет сперва озаботиться защитными мерами. Например, если за вами следит партнер, склонный к агрессивным действиям, прежде чем что-то делать со шпионским приложением, обратитесь в центр помощи жертвам домашнего насилия (где такие центры искать — рассказано здесь).

А в некоторых случаях проще вообще поменять смартфон и позаботиться о том, чтобы на новое устройство приложения для слежки не попали:

Больше информации о шпионских приложениях и о том, как с ними бороться, можно найти на сайте организации Coalition Against Stalkerware, занимающейся противодействием бытовой слежке.

Источник

Операционные системы и программное обеспечение