如何对付公司的监控[2]：规避“主机行为审计”

　　本系列上一篇介绍了如何对付网络监控设备。今天来聊一下如何对付主机监控软件（行话称之为“主机行为审计”）。

★原理介绍

　　这种监控方式跟“网络监控设备”完全不同。它的着眼点在于监控员工的电脑（操作系统），通过监控电脑来了解员工的一举一动。因此，使用这种监控方式，需要在员工的电脑上安装某个监控软件。而咱们要对付的，就是这个监控软件。

★对于监控方的优缺点

◇优点

　　显然，这种方式的监控效果比前一种要好——因为是直接在操作系统层面进行监视，员工比较难绕过。而且不论这台电脑是在公司还是在员工家里，只要监控软件运行着，监视就一直存在。

◇缺点

　　主要缺点就是部署比较麻烦。网络监控设备只需部署一两个地方（公司网络出口）；而主机监控软件需要在每一台电脑上部署。一般来说，只有公司规模较大的、管理比较变态的，才会给每个员工部署主机行为监控（比如政府部门）。

★规避第1招——想办法停用监控软件

　　这个方法是最容易想到的。但是这招的操作难度较大，而且可靠性较差。

◇为啥说“难度较大”捏？

　　如果某个公司变态到部署“主机行为监控”，这样的公司通常是不会给员工“管理员”权限的。据俺所知，不少500强的跨国公司，员工的电脑都不给“管理员权限”的。
　　而“主机行为监控软件”，通常是以系统服务的方式运行，有些还会在系统中安装驱动。如果你没有管理员权限，要想禁用它不是不可能，但很麻烦。

◇为啥说“可靠性”较差捏？

　　除非你对公司安装的监控软件比较了解（俺指的是技术层面的了解），你才有可能彻底停用该监控软件。否则的话，你以为已经停用了，说不定它还在继续工作。

　　鉴于上述这两个缺点，再考虑到列位看官大都不是搞 IT 技术的，所以这招俺就不细说了。

★规避方式之2——另外装个操作系统

◇原理

　　前一个方式的思路是：既使用原有的电脑硬件，也使用原有的操作系统。而另装系统的思路是：只使用原有的电脑硬件，不使用原有的操作系统。因为你自己另外装的系统是“纯洁的”，自然不会有监控软件来监视你。
　　在同一台电脑硬件上装另外的系统，有如下几种方式，俺分别说明。

◇新系统装在原有硬盘（双引导）

　　使用这个方法，既可以安装一个新的 Windows 系统，也可以安装其它系统（比如 Linux）。这个新的系统，通常安装在一个独立的分区，以免跟原有系统冲突。

　　操作步骤
1
首先需要准备一个安装盘。可以是普通的安装光盘；也可以自己做一个能启动的 USB 盘，然后把安装文件复制到 USB 盘上。
关于 USB 启动盘的制作，Google 一下很容易找到，俺就不浪费口水了。
2
进入电脑的 BIOS 设置，修改启动顺序——以便通过光盘或U盘引导系统
3
用安装盘引导之后，开始安装

　　优点
1
通常，公司电脑自带的硬盘都足够大，不用担心硬盘空间的问题。
2
可选择的余地较大——这招支持很多种不同的系统。
3
无需额外的硬件设备

　　缺点
因为你另外装的系统，也位于公司电脑的硬盘上。当你下次用原有系统启动的时候，原有系统中的监控软件有可能会发现这个新系统以及这个新系统中的敏感内容（比如你在新系统的上网记录）。到底会不会被发现，取决于主机监控软件是否够 牛B。万一这个监控软件比较牛，这招就有危险。

◇新系统装在外置 USB 硬盘（用 USB 硬盘引导）

　　操作步骤
1
自己准备一块外置硬盘（带USB接口）
2
把这块硬盘做成可引导的
把操作系统的安装程序复制到这块硬盘上
3
开机的时候插上这块硬盘的USB口
进入 BIOS 修改启动顺序
4
安装系统（要记得装在外置硬盘上哦）

　　优点
1
外置硬盘通常比较大，不用担心硬盘空间的问题
2
可选择的余地较大——这招支持很多种不同的系统
3
当你使用原有的系统（带监控软件）引导电脑的时候，可以把外置硬盘拔下来。这样，监控软件就不可能发现这个新系统。

　　缺点
需要额外准备一个 USB 硬盘（成本问题）。好在如今 USB 硬盘也不贵，就几百大洋而已。

◇新系统刻录到光盘上（Live CD）

　　如果使用 Live CD 的方式，俺比较建议用 Linux——因为 Linux 的很多发行版就是现成的 Live CD。如果非要用 Windows，可以通过 Windows PE 的方式制作 Live CD。具体可以参考维基百科的这个页面，上面列出了很多支持 Live CD 的 操作系统（包括 Linux、Windows、BSD、Mac OS、等）。

　　操作步骤
1
先选好一个支持 Live CD 的操作系统，把光盘镜像下载下来（通常是 ISO 格式）
2
用刻录软件刻录到光盘上（如今的 PC 机，很多都自带了刻录功能的光驱）
3
开机后进入 BIOS 修改启动顺序，用光盘引导完，直接可以使用（无需安装）

（整个操作步骤不难，主要难点在于需要熟悉 Linux 的操作界面）

　　优点
1
可刻录的光盘成本非常低（好一点的，也不超过10块大洋）。
2
当你使用原有的系统（带监控软件）引导电脑的时候，可以把光盘拿掉。这样，监控软件就不可能发现这个新系统。
3
光盘的内容是只读的。
即使你在 Live CD 的系统中感染了病毒或木马，只要关机重启，病毒/木马就自然消失了。非常有利于保持安全性。
你在 Live CD 里面的所有操作痕迹（比如上网记录），只要一关机就全部消失。非常有利于保持隐匿性。

　　缺点
1
正常的 Windows 系统无法使用 Live CD 的方式（必须要基于 Windows PE）；而且 Windows PE 对某些软件的兼容性不好。
2
基于光盘的系统，所有的数据都保存在内存，关机之后，数据就没了——你无法存储数据。
3
某些笔记本电脑没有光驱，这招就没戏。

◇新系统放在 U 盘上（Live USB）

　　（此处说的 U 盘是泛指，也包括 SD 卡、MMC 卡）

　　操作步骤
操作步骤类似前面一招（Live CD），唯一的区别是把光盘硬盘换成 U 盘。
需要注意的是：
如果 U 盘较小，有可能装不下 Windows 系统。这种情况下，建议你装 Linux 系统。某些迷你的 Linux 发行版只需几十兆空间，而且是麻雀虽小，五脏俱全（包括图形界面、浏览器、邮件客户端、简单文本编辑、简单图像处理、等等）。不熟悉 Linux 发行版的同学，可以参考维基百科的这个页面，上面列出了很多轻量级的 Linux 发行版。

　　优点
1
U盘非常容易携带（有些迷你的只有指甲盖大小），而且成本比较低。
2
当你使用原有的系统（带监控软件）引导电脑的时候，可以把U盘拔下来。这样，监控软件就不可能发现这个新系统。

　　缺点
如果 U 盘较小，可能无法装某些臃肿的操作系统（比如 Win7）。

◇关键点——搞定BIOS口令

　　要另装系统，必然涉及到一个问题，就是进入 BIOS 修改启动顺序（BOOT 选项）。通常而言，如果某个公司会变态到部署主机行为审计，那通常也会给 BIOS 加上口令。也就是说，需要输入口令才可以修改 BIOS 的设置。
　　这时候，难点就在于如何搞定 BIOS 口令了。
　　搞定 BIOS 口令有很多种方式，可以来硬的（比如主板电池放电、主板跳线、等），也可以来软的（比如尝试默认口令、尝试某些软件工具、等），甚至可以利用社会工程学技巧（比如跟系统管理员混熟）。
　　由于电脑的型号千变万化，破解 BIOS 口令的方法也各不相同。恕俺能力有限，无法一一介绍。有此需求的同学，请自行 Google 之。

◇局限性

　　有些更加变态的机构，会把员工电脑的 USB 口封掉，光驱也卸掉。这样一来，你就没法另装系统了。咋办捏？办法还是有滴，请看下面的第三招。

★规避方式之3——改用移动设备

　　（此处提到的移动设备，包括手机和平板）

◇原理

　　关于这个招数的本质就是：既不使用原有的操作系统，也不使用原有的硬件。既然这样，原有系统的监控软件，自然不可能监控到你的行为。
　　但是，移动设备可能会存在两个缺点：网速慢、屏幕小。为了应对这两个缺点，大伙儿可以考虑如下几种解决方式

◇解决屏幕的问题

　　使用 PC 的屏幕
把移动设备的屏幕映射到 PC 屏幕，通常有两种方式：软件方式、硬件方式。
考虑到 PC 的系统中有主机行为监控，所以不建议用软件方式——有可能会被监控到。而硬件方式，因为完全不依赖操作系统，就不存在被监控的问题。
使用硬件方式的步骤如下：
1
先确定你的移动设备支持某种视频输出接口（比如：mini HDMI、micro HDMI、MHL、等）。
2
然后再去搞一根转接线，把手机的视频输出接口转为 PC 屏幕的接口（网上可以找到各种视频接口互转的转接线）。

如果上述条件具备，那么你就可以把移动设备的屏幕映射到 PC的显示器上。别看手机的屏幕小，分辨率可不小（某些手机的分辨率高于PC的分辨率）。所以，移动设备映射到 PC 的大屏幕，效果通常不会差。

　　使用平板或大屏幕手机
如果你受限于硬件条件，搞不定移动设备接入PC的屏幕，那只好退而求其次，使用移动设备自己的屏幕。
首先，可以考虑平板电脑——平板电脑的屏幕虽然不如 PC，但也算凑合。
其次，如果没有平板，再考虑搞个大屏幕手机。

◇解决网络的问题

　　使用移动设备的网络
如果你的移动设备本身就有网络功能（WIFI或3G），而且网速足够，那么就直接用移动设备的网络上网。
这种情况下，不管是主机行为审计还是网络行为审计，都拿你没辙。

　　使用PC机的网络
如果你的移动设备，网速不够，或者费用较高。那么就可以考虑让移动设备通过 PC 机上网。因为你的操作都在移动设备上，主机监控软件无法监控你的操作。
但是，考虑到某些主机监控软件，同时也会监控经过本机的网络流量，所以你最好是在移动设备上使用翻墙工具。关于翻墙工具的优点，本系列前一篇已经聊过，此处不再啰嗦。

★总结

　　今天介绍了三招：第一招可操作性较差。通常情况下，你可以用第二招搞定。除非你实在搞不定 BIOS 口令或者你公司比较变态（电脑没光驱和 USB 口），再考虑第三招。毕竟在移动设备上操作不如在 PC 上操作方便。除了有屏幕大小的问题，还有鼠标键盘的输入问题。

回到本系列的目录

版权声明
本博客所有的原创文章，作者皆保留版权。转载必须包含本声明，保持本文完整，并以超链接形式注明作者编程随想和本文原始地址：
https://program-think.blogspot.com/2013/05/howto-anti-it-audit-2.html