60

У меня на мониторе сидит Microsoft LifeCam HD. Сегодня, совершенно неожиданно, загорелся его свет - я просто просматривал сеть (в Chrome), когда это произошло. Примерно через 5 минут веб-камера выключилась.

Естественно, я сразу заподозрил мою бывшую жену (когда сомневаюсь, я всегда подозреваю ее), но она недостаточно разбирается в компьютерах.

Я просмотрел список процессов и не увидел ничего подозрительного. Я управляю парой проектов с открытым исходным кодом и бесплатных приложений (например, greenshot, powermenu, supertray), но они у меня были годами. Autoruns не сообщает ничего подозрительного при запуске, как и Защитник Windows.

В любом случае, что это может быть? Что я должен смотреть дальше?

7 ответов7

39

Следующим предположением будет Process Explorer от Microsoft: http://technet.microsoft.com/en-us/sysinternals/bb896653. Как только вы загрузите его, нажмите «Просмотр» -> «Просмотр нижней панели» -> «Дескрипторы». Теперь, когда вы нажимаете на каждый из процессов в верхней панели, вы получаете отчет обо всех открытых файлах и разделах реестра. Ключи являются важным битом.

В нем может быть много информации о запущенных в настоящее время процессах, и хотя я не знаю точно, точно ли он скажет, какой процесс имеет открытую веб-камеру, вы можете получить подсказки. Я только что попробовал его для OneNote во время записи видео, и для моей Lifecam VX7000 этот ключ был открыт во время записи видео, которое почти наверняка является веб-камерой (особенно учитывая, что она исчезла после того, как я прекратил запись):

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{65E8773D-8F56-11D0-A3B9-00A0C9223196}\##?#USB#VID_045E&PID_0723&MI_00#8&27B22E96&0&0000#{65e8773d-8f56-11d0-a3b9-00a0c9223196}\#GLOBAL\Device Parameters

Я не знаю, как будет выглядеть ваше устройство, но следите за процессами, в которых открыты ключи HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\, и поищите там ключевые слова, например «USB # VID». Нажатие Ctrl+F и поиск строки «USB # VID» должны найти процессы с открытым ключом.

Если вы хотите точно узнать, как ваше USB-устройство называется в Windows, откройте диспетчер устройств, найдите там свою веб-камеру, дважды щелкните по ней, а затем перейдите на вкладку сведений. В раскрывающемся списке на этой странице перейдите к идентификаторам оборудования или ознакомьтесь с некоторыми другими деталями в этом раскрывающемся списке и посмотрите, можете ли вы сопоставить их с процессом в Process Explorer.

редактировать: забыл упомянуть, эта процедура работает только тогда, когда процесс все еще использует веб-камеру (т. е. свет еще включен)

19

Может быть флэш или другой плагин для браузера.

11

Камеры (и другие записывающие устройства), которыми вы владеете, НИКОГДА не должны включаться без вашего согласия. Если вы не знаете о приложении, которое вы время от времени настраивали для этого автоматически, то пришло время выяснить, есть ли на вашем компьютере SpyWare, который может активировать его.

Вот два отличных бесплатных инструмента, которым я доверяю (я не очень доверяю, когда речь идет, в частности, о программном обеспечении безопасности), и использую их для удаления SpyWare, которые должны быть вам полезны:

  Malwarebytes
  http://www.malwarebytes.org/

  SpyBot - поиск и уничтожение
  http://security.kolla.de/

Если бы я столкнулся с этой проблемой, сканирование на SpyWare было бы очень высоким приоритетом.

3

Чтобы добавить в ответ @Andrew Cooper:

Около года назад в сообществе безопасности возникла большая шумиха вокруг исследователя, который использовал то, что сейчас известно как кликбэк, чтобы заставить Adobe Flash ошибочно думать, что пользователь согласился разрешить доступ к веб-камере.

Эта конкретная уязвимость была исправлена, но всегда может быть больше. В настоящее время единственный способ предотвратить клик-джеккинг - использовать Firefox с NoScript. Chrome/IE8 также имеет элементарное предотвращение перехвата кликов, но только для сайтов, которые его поддерживают (что не поможет предотвратить взлом флеш-кликов).

2

Вы можете не увидеть что-то странное в списке процессов, поскольку "вредоносная программа" могла внедриться в другое приложение. Скорее всего, это процесс, общий для всех систем Windows (например, explorer.exe).

Отключите интернет, посмотрите, выключится ли он. Всякий раз, когда это происходит снова, начинайте работать над поиском процесса, то есть с помощью веб-камеры, как это было предложено другим автором, с помощью проводника процессов.

Когда вы определили, какой процесс вы должны посмотреть, какие соединения этот процесс имеет и с какими портами. Это также можно просмотреть в проводнике процессов.

Обратите внимание на IP-адреса, опубликуйте список на форуме (пока не могу придумать какой-то конкретный), который занимается такими вещами, если вы не можете определить его самостоятельно.

Сохраните информацию сверху.

Протрите свою систему и установите из надежных источников.

1

Если у вас есть служба WIA (Windows Image Acquisition), пытающаяся работать в вашем журнале, и она отключена, она выдаст сообщение об ошибке (обычно это автоматический запуск с Windows).

У меня это было, и камера не была подключена, ни сканер, ни цифровая камера не были подключены, и, возможно, это могло быть вызвано Flash.

-4

Закрой камеру. Щелкните правой кнопкой мыши на окне проигрывателя YouTube. Нажмите Настройки. Видите глазное яблоко в телевизионном изображении? Нажмите на нее и запретите доступ к вашей камере.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .