มัลแวร์บางประเภทที่อันตรายที่สุดได้รับการออกแบบมาเพื่อเข้าถึงพีซีของเหยื่อจากระยะไกล เช่น โทรจันการเข้าถึงระยะไกล (RAT) และรูทคิท ระดับ เคอร์เนล พวกมันทำงานแบบเงียบๆ ทำให้ยากต่อการตรวจจับ หากคุณกังวลว่าอาจมีใครบางคนเข้าถึงพีซี Windows ของคุณจากระยะไกลโดยไม่ได้รับอนุญาต โปรดเรียนรู้วิธีการยืนยันและลบภัยคุกคามดังกล่าว
สัญญาณเตือนเมื่อมีคนเข้าถึงพีซีของคุณ
แม้ว่าความพยายามในการเข้าถึงระยะไกลส่วนใหญ่นั้นจะเงียบไป แต่ก็ยังมีสัญญาณเตือนบางอย่างตามมา แม้ว่าสัญญาณเหล่านี้อาจบ่งบอกถึงความนิยมของ Windows แต่เมื่อนำมารวมกันก็ถือเป็นหลักฐานที่ชัดเจนของกิจกรรมการเข้าถึงระยะไกล
พฤติกรรมของเมาส์/แป้นพิมพ์ที่ผิดปกติ : หากเคอร์เซอร์เคลื่อนไหวผิดปกติหรือมีการป้อนข้อความโดยที่คุณไม่ได้ดำเนินการใดๆ อาจเป็นงานของเครื่องมือระยะไกล แม้จะไม่ได้ควบคุมอย่างแข็งขัน เครื่องมือเหล่านี้ก็ยังอาจทำให้เกิดปัญหาได้ เช่น การกระโดดเคอร์เซอร์/การเทเลพอร์ต สัญญาณนี้ยังสามารถทำหน้าที่เป็นการยืนยันได้หากเมาส์และแป้นพิมพ์เริ่มดำเนินการเช่นการเข้าถึงแถบที่อยู่ของเบราว์เซอร์และป้อนที่อยู่เว็บไซต์
โปรแกรมที่เปิดและปิดเอง : แฮกเกอร์ยังสามารถส่งคำสั่งเพื่อเปิดแอปพลิเคชันเฉพาะ (เช่นซอฟต์แวร์ป้องกันไวรัส หรือCommand Prompt ) เพื่อควบคุมระบบมากขึ้นหรือปิดใช้งานคุณสมบัติความปลอดภัย หากคุณเห็นโปรแกรมเปิดและปิดเองนั่นเป็นสัญญาณเตือน
การสร้างบัญชีผู้ใช้ใหม่ที่ไม่รู้จัก : ผู้ไม่ประสงค์ดีบางรายอาจพยายามสร้างบัญชีรองเพื่อให้เข้าถึงได้อย่างต่อเนื่องแม้หลังจากตรวจพบก็ตาม พวกเขาอาจจะปิดการใช้งานคุณสมบัติการสลับผู้ใช้เพื่อซ่อนบัญชีจากหน้าจอล็อค ไปที่การตั้งค่า Windows -> บัญชี และค้นหาบัญชีรองภายใต้ครอบครัว และผู้ใช้รายอื่น
ตัวเลือกบัญชีในการตั้งค่า Windows 11
ประสิทธิภาพลดลงกะทันหัน : การใช้งานรีโมทคอนโทรลยังใช้ทรัพยากรมาก ดังนั้นคุณอาจสังเกตเห็นว่าประสิทธิภาพลดลงกะทันหัน สิ่งนี้ควรพิจารณาเป็นพิเศษหากประสิทธิภาพลดลงเป็นครั้งคราวเนื่องจากการทำงานของรีโมทคอนโทรล
Windows Remote Desktop เปิดใช้งานโดยอัตโนมัติ : Windows Remote Desktop มีความเสี่ยงค่อนข้างมาก ดังนั้นแฮกเกอร์จึงมักใช้ฟีเจอร์นี้เพื่อสร้างการเชื่อมต่อระยะไกล ฟีเจอร์นี้ถูกปิดใช้งานไว้ตามค่าเริ่มต้น ดังนั้นหากเปิดใช้งานโดยที่คุณไม่ได้ดำเนินการใดๆ แฮกเกอร์ก็สามารถทำได้ ในการตั้งค่า Windows ให้ไปที่ระบบ -> เดสก์ท็อประยะไกล และดูว่าฟีเจอร์นี้เปิดใช้งานอยู่หรือไม่
เดสก์ท็อประยะไกลถูกปิดใช้งานในการตั้งค่า Windows
วิธีการยืนยันว่ามีการเข้าถึงพีซีของคุณจากระยะไกล
หากคุณสังเกตเห็นสัญญาณดังกล่าวข้างต้น ให้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อยืนยันความสงสัยของคุณ คุณสามารถตรวจสอบกิจกรรมของส่วนประกอบ/แอปพลิเคชันที่เกี่ยวข้องกับกระบวนการการเข้าถึงระยะไกลเพื่อยืนยันว่ามีคนกำลังเข้าถึงพีซี Windows ของคุณ ต่อไปนี้เป็นวิธีการที่เชื่อถือได้มากที่สุดบางส่วน:
ตรวจสอบบันทึก Windows Event Viewer
Windows Event Viewer เป็นเครื่องมือในตัวที่ยอดเยี่ยมสำหรับการตรวจสอบกิจกรรมของผู้ใช้ และช่วยตรวจจับความพยายามในการเข้าถึงระยะไกลโดยการตรวจสอบกิจกรรม RDP และบันทึกการเข้าสู่ระบบ
ค้นหา "event viewer" ใน Windows Search และเปิด Event Viewer
ไปที่Windows Logs -> ความปลอดภัย และคลิก แท็บ Event ID เพื่อเรียงลำดับเหตุการณ์ตาม ID ค้นหากิจกรรมทั้งหมดที่มี ID 4624 และตรวจสอบรายละเอียดเพื่อให้แน่ใจว่าไม่มีกิจกรรมใดมีประเภทการเข้าสู่ระบบ 10 รหัสเหตุการณ์ 4624 ใช้สำหรับความพยายามเข้าสู่ระบบ และประเภทการเข้าสู่ระบบ 10 สอดคล้องกับการเข้าสู่ระบบระยะไกลโดยใช้บริการการเข้าถึงระยะไกลที่แฮกเกอร์อาจใช้
ตัวแสดงเหตุการณ์ของ Windows จะแสดงรหัสเหตุการณ์
คุณสามารถค้นหารหัสเหตุการณ์4778 ได้ด้วย เนื่องจากแสดงการเชื่อมต่อเซสชันระยะไกลใหม่ หน้ารายละเอียดของแต่ละกิจกรรมจะแจ้งข้อมูลระบุตัวตนที่สำคัญให้คุณทราบ เช่น ชื่อบัญชีหรือที่อยู่ IP เครือข่าย
ตรวจสอบปริมาณการใช้งานเครือข่าย
การเข้าถึงระยะไกลขึ้นอยู่กับการเชื่อมต่อเครือข่าย ดังนั้นการตรวจสอบการรับส่งข้อมูลบนเครือข่ายจึงเป็นวิธีการที่เชื่อถือได้ในการตรวจจับ เราขอแนะนำให้ใช้ GlassWire เวอร์ชันฟรีสำหรับวัตถุประสงค์นี้ เนื่องจากจะตรวจสอบและป้องกันการเชื่อมต่อที่เป็นอันตรายโดยอัตโนมัติ
ในแอปพลิเคชัน GlassWire คุณจะเห็นการเชื่อมต่อแอปพลิเคชันทั้งหมดภายใต้ ส่วน GlassWire Protect แอปพลิเคชันจะประเมินการเชื่อมต่อและทำเครื่องหมายการเชื่อมต่อที่ไม่น่าเชื่อถือโดยอัตโนมัติ ในกรณีส่วนใหญ่ แอปพลิเคชันจะสามารถตรวจจับการเชื่อมต่อระยะไกลที่เป็นอันตรายและแจ้งเตือนคุณได้
ส่วนรีวิว Glasswire ในอินเทอร์เฟซหลัก
นอกเหนือจากอัลกอริทึมของแอปแล้ว คุณยังสามารถมองหาเบาะแส เช่น การใช้ข้อมูลสูงของแอปที่ไม่รู้จักได้อีกด้วย การเชื่อมต่อระยะไกลใช้ข้อมูลถาวรจึงตรวจจับได้ง่าย
ดูงานที่กำหนดเวลาไว้
ความพยายามในการเข้าถึงระยะไกลจำนวนมากได้รับการจัดการโดยใช้เครื่องมือตัวกำหนดเวลางาน ใน Windows ซึ่งช่วยให้พวกเขาสามารถอยู่รอดได้แม้จะรีบูตพีซีและดำเนินการงานต่างๆ โดยไม่ต้องทำงานต่อเนื่อง หากพีซีของคุณติดไวรัส คุณจะเห็นงานจากแอพพลิเคชั่นที่ไม่รู้จักในตัวกำหนดเวลางาน
ค้นหา “task Scheduler” ใน Windows Search และเปิดแอปพลิเคชัน Task Scheduler ในแผงด้านซ้าย เปิดตัวกำหนดเวลางาน (ภายในเครื่อง) -> ไลบรารีตัวกำหนดเวลา งาน มองหาโฟลเดอร์แปลกหรือที่น่าสงสัยอื่นๆ นอกเหนือจาก Microsoft หากคุณพบโฟลเดอร์ใด ๆ ให้คลิกขวาที่งานแล้วเลือกคุณสมบัติ
เมนูคุณสมบัติงานในตัวกำหนดเวลาการทำงานของ Windows
ในคุณสมบัติ ให้ดูที่ แท็ บทริกเกอร์ และการดำเนินการ เพื่อดูว่างานทำอะไรและดำเนินการเมื่อใด ซึ่งน่าจะเพียงพอต่อการเข้าใจว่างานนั้นแย่หรือไม่ ตัวอย่างเช่น หากงานรันแอปพลิเคชันหรือสคริปต์ที่ไม่รู้จักเมื่อเข้าระบบหรือเมื่อระบบไม่ได้ใช้งาน งานดังกล่าวอาจเป็นอันตรายได้
แท็บทริกเกอร์และการดำเนินการในคุณสมบัติ
หากคุณไม่พบงานที่น่าสงสัย คุณอาจต้องการดูใน Microsoft เป็นไปได้ว่ามัลแวร์ที่ซับซ้อนกำลังซ่อนอยู่ในโฟลเดอร์ระบบ ค้นหางานที่ดูน่าสงสัย เช่น มีชื่อทั่วไป เช่น "systemMonitor" หรือชื่อที่สะกดผิด โชคดีที่คุณไม่จำเป็นต้องค้นคว้างานแต่ละงาน เนื่องจากงานส่วนใหญ่จะเขียนโดย Microsoft Corporation ซึ่งสามารถละเว้นได้อย่างปลอดภัย