كيف تعرف إذا كان شخص ما لديه حق الوصول عن بعد إلى جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows؟

تم تصميم بعض أخطر أنواع البرمجيات الخبيثة للحصول على إمكانية الوصول عن بعد إلى جهاز الكمبيوتر الخاص بالضحية، مثل أحصنة طروادة للوصول عن بعد (RATs) وأدوات الجذر على مستوى النواة . إنها تعمل بصمت، مما يجعل اكتشافها صعبا. إذا كنت تشعر بالقلق من أن يكون لدى شخص ما وصول عن بعد غير مصرح به إلى جهاز الكمبيوتر الشخصي الذي يعمل بنظام Windows، فتعرف على كيفية تأكيد التهديد وإزالته.

علامات تحذيرية عند وصول شخص ما إلى جهاز الكمبيوتر الخاص بك

على الرغم من أن معظم محاولات الوصول عن بعد تتم بصمت، إلا أنها لا تزال تأتي مع بعض علامات التحذير. ورغم أن هذه العلامات قد تكون مؤشراً على شعبية نظام التشغيل Windows، إلا أنها مجتمعة قد تشكل دليلاً قوياً على نشاط الوصول عن بعد.

• سلوك غير عادي للماوس/لوحة المفاتيح : إذا تحرك المؤشر بشكل غير منتظم أو تم إدخال النص دون تدخل منك، فقد يكون ذلك بسبب عمل أداة بعيدة. حتى عندما لا يتم التحكم فيها بشكل نشط، لا تزال هذه الأدوات قادرة على التسبب في حدوث مشكلات مثل القفز فوق المؤشر/الانتقال الآني. يمكن أن تعمل هذه الإشارة أيضًا كتأكيد إذا بدأت الماوس ولوحة المفاتيح في تنفيذ مهام مثل الوصول إلى شريط عنوان المتصفح وإدخال عنوان موقع ويب.
• البرامج التي تفتح وتغلق تلقائيًا : يمكن للمتسللين أيضًا إرسال أوامر لفتح تطبيقات محددة (مثل برامج مكافحة الفيروسات أو موجه الأوامر ) للحصول على مزيد من التحكم في النظام أو تعطيل ميزات الأمان. إذا رأيت البرامج تفتح وتغلق تلقائيًا، فهذه علامة تحذير.
• إنشاء حسابات مستخدمين جديدة غير معروفة : قد يحاول بعض الجهات السيئة إنشاء حسابات ثانوية للحصول على وصول دائم حتى بعد الاكتشاف. من المرجح أن يقوموا بتعطيل ميزة تبديل المستخدم لإخفاء الحساب من شاشة القفل. انتقل إلى إعدادات Windows -> الحسابات وابحث عن الحساب الثانوي ضمن العائلة والمستخدمين الآخرين.

• الأداء البطيء المفاجئ : تتطلب عمليات التحكم عن بعد أيضًا موارد مكثفة، لذا قد تلاحظ انخفاضًا مفاجئًا في الأداء. من الجدير أن نأخذ هذا بعين الاعتبار بشكل خاص إذا حدثت انخفاضات عرضية في الأداء بسبب عمليات التحكم عن بعد.
• يتم تمكين سطح المكتب البعيد لنظام التشغيل Windows تلقائيًا : يعد سطح المكتب البعيد لنظام التشغيل Windows عرضة للخطر إلى حد كبير، لذلك غالبًا ما يستخدم المتسللون هذه الميزة لإنشاء اتصالات عن بعد. يتم تعطيل هذه الميزة بشكل افتراضي، لذا إذا تم تمكينها دون تدخل منك، فقد يتم ذلك بواسطة أحد المتسللين. في إعدادات Windows، انتقل إلى النظام -> سطح المكتب البعيد وتحقق مما إذا كانت هذه الميزة ممكّنة.

كيفية التأكد من إمكانية الوصول إلى جهاز الكمبيوتر الخاص بك عن بُعد

إذا لاحظت العلامات المذكورة أعلاه، اتخذ الخطوات اللازمة لتأكيد شكوكك. يمكنك مراقبة نشاط المكونات/التطبيقات المشاركة في عملية الوصول عن بعد للتأكد من وصول شخص ما إلى جهاز الكمبيوتر الشخصي الذي يعمل بنظام Windows. وفيما يلي بعض الطرق الأكثر موثوقية:

التحقق من سجلات عارض أحداث Windows

Windows Event Viewer عبارة عن أداة مدمجة رائعة لمراقبة نشاط المستخدم والمساعدة في اكتشاف محاولات الوصول عن بعد من خلال مراقبة نشاط RDP وسجلات تسجيل الدخول.

ابحث عن "عارض الأحداث" في بحث Windows وافتح عارض الأحداث .

انتقل إلى سجلات Windows -> الأمان وانقر فوق علامة التبويب معرف الحدث لفرز الأحداث حسب المعرف. ابحث عن جميع الأحداث التي تحمل المعرف 4624 وتحقق من تفاصيلها للتأكد من عدم وجود نوع تسجيل دخول 10 في أي منها . معرف الحدث 4624 مخصص لمحاولات تسجيل الدخول، ونوع تسجيل الدخول 10 يتوافق مع عمليات تسجيل الدخول عن بعد باستخدام خدمات الوصول عن بعد التي قد يستخدمها المتسللون.

يمكنك أيضًا البحث عن معرف الحدث 4778 لأنه يُظهر إعادة الاتصال بالجلسة عن بُعد. ستخبرك صفحة تفاصيل كل حدث بمعلومات تعريفية مهمة، مثل اسم الحساب أو عنوان IP للشبكة.

مراقبة حركة المرور على الشبكة

يعتمد الوصول عن بعد على اتصال الشبكة، لذا فإن مراقبة حركة المرور على الشبكة هي طريقة موثوقة لاكتشافها. نوصي باستخدام الإصدار المجاني من GlassWire لهذا الغرض لأنه يراقب الاتصالات الضارة ويحميها تلقائيًا.

في تطبيق GlassWire، ستشاهد جميع اتصالات التطبيق ضمن قسم GlassWire Protect . سيقوم التطبيق تلقائيًا بتقييم الاتصالات وتحديد الاتصالات غير الموثوقة. في معظم الحالات، سيكون التطبيق قادرًا على اكتشاف الاتصالات البعيدة الضارة وتحذيرك.

بالإضافة إلى خوارزميات التطبيق، يمكنك أيضًا البحث عن أدلة مثل الاستخدام المرتفع للبيانات لتطبيق غير معروف. تستخدم الاتصالات البعيدة بيانات مستمرة، لذا من السهل اكتشافها.

عرض المهام المجدولة

يتم إدارة العديد من محاولات الوصول عن بعد باستخدام أداة جدولة المهام في Windows. يساعدهم هذا على البقاء على قيد الحياة بعد إعادة تشغيل الكمبيوتر وأداء المهام دون الحاجة إلى التشغيل المستمر. إذا كان جهاز الكمبيوتر الخاص بك مصابًا بفيروس، فستشاهد مهامًا من تطبيقات غير معروفة في "مجدول المهام".

ابحث عن "مجدول المهام" في بحث Windows وافتح تطبيق "مجدول المهام". في اللوحة اليسرى، افتح "مجدول المهام" (محليًا) -> "مكتبة مجدول المهام" . ابحث عن أي مجلدات غريبة أو مشبوهة غير مجلدات Microsoft. إذا وجدت أي مجلدات، انقر بزر الماوس الأيمن فوق المهمة وحدد "خصائص".

في الخصائص ، قم بالبحث في علامتي التبويب "المحفزات" و "الإجراءات" لمعرفة ما تفعله المهمة ومتى يتم تنفيذها، وهو ما ينبغي أن يكون كافياً لفهم ما إذا كانت سيئة. على سبيل المثال، إذا قامت المهمة بتشغيل تطبيق أو برنامج نصي غير معروف عند تسجيل الدخول أو عندما يكون النظام خاملاً، فقد تكون المهمة ضارة.

إذا لم تتمكن من العثور على المهمة المشبوهة، فقد ترغب في البحث في Microsoft. من الممكن أن يكون هناك برمجيات خبيثة متطورة مختبئة في مجلدات النظام. ابحث عن المهام التي تبدو مشبوهة، مثل المهام التي تحتوي على أسماء عامة مثل "systemMonitor" أو الأسماء المكتوبة بشكل خاطئ. لحسن الحظ، لن تحتاج إلى البحث في كل مهمة، حيث أن معظمها سيتم تأليفها بواسطة شركة Microsoft Corporation، والتي يمكن تجاهلها بأمان.