前两天有个好友申请了居家办公，空闲聊天时候，他问了个问题：”我现在居家办公，老板能否看到我的电脑行为“？我问：“你用的笔记本是你的还是公司的？

”答：“公司的”。

再问：“公司有没有要求你们安装了某些管理软件？

”答：“有”。

那答案一目了然了。

一些公司会要求员工安装某些软件，这些软件可能是带有监控程序的。若安装了这种，就不是老板能不能看到我电脑话题了，而是老板看不看的话题了。

为了管理需要，一些安全类公司、金融类公司这个行为是常见事情。

老友问的这个问题，勾起了遥远的回忆…

1 Miyan——密眼，一个客户端监控程序

十多年前就参与过这类型软件的开发，监控内容包括记录：打开了啥软件、U盘拷贝了啥内容、打印了啥、通过QQ发了啥内容、截图了什么内容……

工作之余，自己也写了一个个人作品，将其命名为密眼，就用这个作为例子说说吧。

看下新浪博客记录，2011年的事情了。

这个工程包含了三个执行文件：miyan.exe、miyan.dll、miyanview.exe。

miyan.exe 做监控任务，监控打开了什么窗口、程序，以及定期对电脑进行截图记录；miyan.dll 为保活模块；miyanview.exe 则为一个窗口程序（也就是上面截图所示程序），方便查看监控到的数据。

（下面蓝色部分为技术类话题，对技术无趣的跳过即可）

监控了啥没有啥好说的，上面一句话带过了。说说保活的技术实现：miyan.exe除了监控，还会通过远线程注入(RemoteThread) 把 miyan.dll 注入到 explorer.exe，同时检测taskmgr.exe如果起来，也给它注入miyan.dll。

miyan.exe确保miyan.dll 注入到explorer.exe和taskmgr.exe(打开才注入)；而explorer.exe(本质是miyan.dll)、taskmgr.exe(miyan.dll)则确保miyan.exe在运行状态，如果发现被关闭则重新拉起。这三互相监督和保活对方，当时参考某本安全类书设计来实现的，好像叫法为：三线程技术保活。

太久没有摸windows 编程了，现在杀毒软件独霸天下的今天，大概率会把这种骚行为作为病毒干掉。

作为个人作品，没有玩的太深，只是在应用层实现监控玩玩罢了，如果是主流的监控软件，一般会到驱动层去做监控，使得更加隐藏和保活。

2 服务端类型监控

如果电脑没有安装监控程序，公司能否监控到？

在公司网络下，你不知道公司的网络是否带监控，就算有，你可能也不知道，因为监控是对用户透明无感知的。

本人有幸也参与过这类型监控程序的设计和开发。

注意下图，内部网络如果带监控功能，可能会是这样：

手机/电脑连接的路由器，数据经过交换机，交换机把数据发往外网的同时，也把一份数据打到另一个网卡上，背后有一台分析服务器会读取该网卡。监控程序则在分析服务器旁路窥视，按照TCP/IP 协议把上层协议还原。

你浏览了啥网页（HTTP协议）、发送了啥邮件（SMTP协议）、文件传输（FTP协议） 等，监控程序统统都记录个遍。

（一个有意思的事情：当年开发这个程序时候，公司每月到发工资那天，财务会把工资条发到每个人的邮箱内。所以，当时公司内部薪酬情况，俺是看得一清二楚的😄）

同理，不安全的热点为什么不建议使用？原因也在于此：你永远不知道路由器背后经过了多少个交换机，有多少分析程序在跑。

3 加密协议普及的年代

现在，大部分网站和应用都是使用非对称加密协议的了，比如网站普遍都是用了HTTPS 这类型加密的协议。

加密使得网络环境安全了很多，因为上面提到的第二类服务端监控也不好搞了。如果要实现监控，得替换协议握手的证书，则入侵式监控了，做不到无感知监控。

但是，目前用非加密的协议的网站也不在少数。如果你用过抓包程序看看你自己的电脑，会发现不少非加密协议（如http协议）在跑的。一些敏感数据，也可能这样不经意被网络监控捕获。

回到文章开头，如果员工被要求安装了某软件，管你啥加密不加密的年代？就是老板有没有空看你的问题了。

老板是如何看到我的电脑记录的？

如果被要求按照了某些终端，那么就等于在你的旁边特派了一名“监军”监视你。

如果没有特派“监军”？使用公司网络情况下，那可能检查站（路由器、交换机）那，你的“行李箱”都被开箱检查咯。

（全文完）

（欢迎转载本站文章，但请注明作者和出处 编程想法 – Yuccn ）