公司能查到 qq 微信等工具的聊天记录的原理是什么？

电脑是公司加域的还是自己的？如果是公司的，ipguard 了解下，看下本地端口 8235 和 8237 有没有被开起来。

公私公开，私的只在手机上使用，不在公司设备上操作。

别想那么复杂 有可能只是老板或者人事路过看到在摸鱼 就记下通报了

不是还有定时截屏上传到服务器吗？你公司电脑都装了什么软件？
摄像头是最不可能的，除非对着你的屏幕装的摄像头。
要么网络层面去记录数据包网关上解密聊天记录数据要么就是截屏。就这两样了

深信服全网行为管理可以看聊天记录
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=263677

如果你装了公司的 DLP ，那本地聊天记录可以随便导

监控软件可以截屏的吧

以前深信服可以看，现在不知道了，因为中间 21 22 年闹得挺厉害 说侵犯隐私

如果使用公司的网络..
可以轻松的拿到各种数据包..
至于对电脑操作进行监控的话 可能需要电脑上安装监控软件

有软件

@lxyv 有基本不用公司电脑的同事也经常被通报，但只有微信被通报过，未见其他 app 通报。其他通报就是访问非工作网站，违规收发邮件等，这个就没啥奇怪了。我不连公司网络，目前一次都没被通报过。

@whoosy 通报是 IT 给人事，但这个事不好多问 IT

电脑如果装监控软件了，和裸奔没区别

如果没装软件，只靠流量分析，能通过 SNI 、DNS 之类的分析你上了什么网站 （内容看不到）

@Light3 能拿到数据包，但是没有证书能解密吗？

H3C SecPath ACG1000 系列应用控制网关 典型配置(R6614)-6W102-审计功能典型配置举例.pdf

公司有没有给电脑加域？公司有没有在你电脑上安装任何奇奇怪怪的东西？只要公司想那就肯定能看见

基本上常见的查看聊天记录的方法都是从终端下手，因为你的消息在通过你本地的密钥加密后进行发送，理论上只有保存了对应密钥对的人才知道你聊天记录的明文（利维坦能看见明文是因为人家直接在企鹅那里开了接口）

常见的方法貌似就是通过较高的操作权限获取你的解密密钥，或者在电脑上悄悄安装证书玩证书攻击让你的密钥本身就是不安全的，或者通过 dump 对应软件的 key 内存地址里面的方式拿到密钥，或者大道至简录屏

顺带一提，如果安装了深信服这类软件，那你比裸奔还恐怖。因为人的精力是有限的，公司不可能花钱专门雇一批督战队看你的录屏。但是深信服这类软件能直接出报告和主动提醒，连你今天敲了几次键盘都能给统计出来。

@kandaakihito 公司 windows 电脑有监控软件，这个就不去说了。但是我们有一些写代码的员工会带自己的 mac 上班，因为给员工配 mac 成本高，目前公司也没有管这个事，也没有要求装奇奇怪怪的软件。就安装了一个打印机驱动，这个驱动跟一般家用打印机不太一样，是一个公司的定制驱动，不知道会不会在这里面动手脚，其他地方的话除了网络侧和摄像头，没有可以监控个人电脑的地方了。但是用 mac 和 iPhone 的同事们确实被通报很少，用自己的安卓手机干私事被通报的有好几个了。

@kandaakihito 被通报的重灾区是财务和行政，本身事情就少，摸鱼必被抓。做开发的其实摸鱼也不少，但是被通报的次数很少。我问了他们被通报的说之前被通报后就不用公司电脑摸鱼了，但是还是被通报，目前已知的信息是这些人都是安卓手机。

猜测公司电脑上装有探针进行数据上报

不让摸鱼的公司，是怎么忍的。。

@Martens #19 2 、流量分析

装了定制打印机驱动。什么高级打印机需要装额外驱动。试试用同型号官网的驱动替代。
定制驱动本身就很可疑。

@BeijingBaby 日子难过了天天降本增效，午睡超下午上班时间 5 分钟进通报名单

@my2492 八成是流量审计吧？实在只能用公司 WiFi 的话，干脆用梯子开全局吧（

@my2492 不是说能抓到和谁聊天，但是抓不到聊天内容，装客户端可以全抓

@my2492 #10 老板懂社工学，安排内鬼了

@kandaakihito 准备买个 cpe 放公司了，只要别真是摄像头看屏幕这种最原始的方法就好。人事确实喜欢看录像，但是如果让他们看全公司的录像属实有点吃力。

@iijboom 看到一个说法是文字抓不到，但图片和文件传输是没加密的

你们公司包含外包常驻大概有几个？ 100+ 还是 50-100

@fulajickhz 南京和上海两个办公点加起来过 100 了，上海 30+，其他的都在南京，人事基本不会人肉巡查，但会看录像，我还是倾向于使用了技术手段。看录像估计也就看看有没有那种很明显摸鱼的，电脑上开个小窗口什么的理论上看不清。

@kandaakihito 装了深信服的 VPN 客户端，会有被监测的风险吗

@my2492 头脑风暴一下微信的传输加密，再试想一下自己选择一组聊天记录分享给别人的场景，基本上路由器上面拦截微信数据包 然后生成聊天记录分享出去就可以解密了

用自己手机+4G （ 5G ） 最安全

@iamOldMaster 普通公司之类的应该不会吧？

这玩意我也装过，很多高校的图书馆 VPN 客户端都用的这玩意。深信服再怎么说也是上市企业，监控电脑的前提是本身电脑就是公司资产。

上市公司没必要开发一款通用软件，打着其他功能的名义，帮助与自己八竿子关系打不着的一般社会团体偷偷摸摸地监控其成员的私人电脑。这么干纯纯吃力不讨好还违法。

其实就是 dns 日志。。。

https://learn.microsoft.com/zh-cn/sysinternals/downloads/sigcheck

下载上面工具，然后执行：sigcheck64 -tuv



看这些证书，就问大家怕不怕，刚好深信服也做网络安全设备，中间人攻击不是小意思嘛。
看看深信服的证书过期时间，都不知道这公司能不能活到那时候。

深信服就干这个的，只要你不投简历，哪个老板会闲的没事查你摸鱼记录？

@stone9527 都是打着防泄密的名义查。投简历这种东西，人家非要在公司投吗？查不查也没意义，人家只想知道有没有人摸鱼，是不是能继续榨一榨

@hahiru 打印机定制驱动应该还蛮常见的吧，例如公司有多个打印机，定制驱动可以抽象成一台，打印后可以在任意一台取文件之类的

现在大部分都是截图 然后自动分析。

1 、工作电脑不登私人微信
2 、个人设备不要连接公司网络
3 、手机贴防窥膜，

华为的手机 welink 天天弹窗让你用公司 wifi ，你看我用了吗？

在公司就是拿手机不连 wifi 摸鱼。

终端行为审计罢了。
如果微信的通信数据能被中间人截获并解密，我建议微信团队立刻原地解散。

应该只是看到行为，具体数据解密不了。除非电脑装了监控软件，可以做到用 dll hook 进微信进程，然后从内存中取聊天内容，不过这个水平属于安全领域的高手了，应该只有专业团队或个人才能搞。
上面说的密钥加解密我就不太了解了。dll hook 是我在 QQ 上玩过的，不过我也不太会，大佬教了一点皮毛后学不下了。

这个通报就有点魔性。。。。什么年代了。。连摸鱼都通报。。怎么不去死。

@Meteora626 深信服现在不可以了，但是企业定制机可以

@brom111 不用，你搜：云客，就知道了，小米这样的可以定制企业手机，手机后台可以同步微信、短信、电话截图到云上的。

根证书 + 持续截屏

@kandaakihito 兔友不用想那么多，深信服就是简单在你电脑上信任 root cert 然后就直接开盒了，Charles 这种工具用过吗，它怎么 proxy https 的深信服就怎么开盒的，36 楼截图很清楚了

不是，你司是西朝鲜公司吗？

电脑后台有公司管理软件，截屏可能性大。 但也有一些专做企业微信、微信、qq 这类聊数据拉取的。

mac 不给屏幕权限应该比较安全。或者说这些安全软件能解微信的数据包？

另外提醒一下，上次有帖子说飞书（可能是连接 vpn 情况下）后台会偷偷截图，但是一般飞书都会给屏幕权限。

@my2492 #13 抓包工具 https 的也可以抓啊

你们电脑不自己重装吗？

屏幕监控 是截图？

内置根证书，所有的 https 流量都能解密

装个火绒，把微信文件夹设置下禁止访问，然后发行很多大厂软件都会去刺探，，

@s4d 公司电脑瞎折腾 IT 那边直接能收到警报，今年公司严抓泄露商业机密，开会说这事情都开了不知几次了。但是借着这个查摸鱼让人很不爽

@736531683 后台截图的叫飞连，跟飞书是两个不同的 App ，飞书没有那些功能。这种企业级的保密软件都是要额外付费的，且价格不菲。飞书要是集成那些功能的话，你当字节跳动是做慈善的啊。

有些高档的行为管理网关，介绍是可以做到查看部分聊天软件内容。

管道基本不可能审计到主流 im 内容，你的端上肯定装东西了。

如果是我来做，就这样：

PC 端装个屏幕 AI 识别程序，通过关键字或图片来识别，比如 AI 检测到有家、爸、妈、老婆、之类的关键字就截图并留存证据，所以即知道你聊私事了，还知道你和谁聊了，聊了什么

网关端行为分析，这个最基本的，通过 DNS ，SNI 就能分析出你访问了哪些网站，所以你不用公司电脑也能知道访问了什么网站，或者手机手机连了公司网络，也可知道你打开了哪些 APP ，京东、淘宝、抖音什么的

通过摄像头分析行为特征，比如一个人长时间盯着手机，那就肯定有问题，截图保存给人工验证，再比如监控到手长时间离开键盘和鼠标，那肯定也是有问题的


如何破解：没什么好方法，最简单的就是不用公司网络，至少手机可以不用，如果电脑必须得连公司网络，那就再注册个微信，只聊公事，不要在电脑上打开任何非工作内容的程序和网页。然后你用手机数据摸摸鱼试试，如果你被通报了，说明摄像头有鬼

@my2492 路由器就是来干加解密的活的，当然能拿到所有信息

我记得有些深信服的方案，网关带硬盘的

@wuzzispacelake

emmm ，首先我不是兔兔，这么多平台唯独 v 站一堆人看不出来我是在反串。（正经兔友谁用这种头像啊）

然后，36 楼那个也是证书与中间人攻击？好像也是我猜想的一部分。因为我是网安小白，所以不清楚深信服的具体实现方式，所以只是列举了可能的手段猜想一把。

@kandaakihito 在终端设备塞证书是很重要的一步，深信服就是在客户机上证书硬塞，唉这下兔转神了，新家圈我

@wuzzispacelake 没必要 yygq ，大学四年其中三年半是全民大健康，一毕业就是历史垃圾时间，没去天生万物就已经算是粉了

@processzzp 我又没说是普通版飞书，飞书是有企业版的，不买企业版飞书的企业难道会用飞连吗？差不多一个意思，我感觉飞书后台会不会干这个事情不好说，据说飞书企业版所有消息都是有概览的。

如果是抓摸鱼的话这倒是简单。
之前研究过一段时间校园网共享，发现 Panabit 后台可以获取到正在登录的微信 ID 。
共享原理就是检测获取到的微信 ID 有多少个，超出就报共享（或者说是王者/LOL 的链接存在多个即报告共享）
后来我研究了以下，微信 ID 其实基本上跟裸奔没什么区别（ GetNewDns ），QQ 也是，所以我推测你们公司其实是根据登录的微信 ID 去通报的。正常情况下只登录一个微信的，如果你的手机登录了多个微信，比如多开，就会被发现。

前公司就是做监控类的，目前这类监控基本都很成熟了
技术原理：大多数基于 APIHook+驱动层劫持——针对浏览器、聊天记录还有文档记录什么的，网络层面 DLP 的话，局限性比较大，目前深信服采用的是证书劫持+应用层相结合

@lxyv #1 刚查，8237 打开保持通信状态，找人给卸载了。

@iCollin #73 别用公司电脑干和工作不相关的事就好，卸了在后端看到你不在线，反而会重点关注你

@lxyv #74 应该没用起来，扫了下其他电脑端口，没有看到得 8235 和 8237 。

直接替换了根证书吧