微信聊天遭老板監視，殺毒軟件“失明”，員工隱私被系統性采集！軟件商公開售賣“監控神器”，稱已服務多家企業

每經記者：張宏 朱恒

“如何神不知鬼不覺地對員工電腦屏幕進行監管？其實非常簡單，只需要安裝這款軟件，就可以監管到公司所有電腦，實時查看到員工電腦屏幕。員工從安裝開始全程無感知、無彈窗??”

小紅書上，有銷售人員發布多個宣傳視頻，展示安裝在員工電腦里的“電子眼”的強大監控功能。

《每日經濟新聞》記者（以下簡稱每經記者）發現，一款面向公司用戶、單套價格或不足300元的監控軟件正在被公開售賣。

“可以同步監管到員工微信和QQ”“無感知”“無彈窗”??“監控神器”真的能“完美隱身”？每經記者展開深入調查。

“監控神器”被公開售賣 銷售：員工是察覺不到的

“筆記本、臺式機都能用??可以等員工下班了再安裝，安裝好之后把安裝包刪除??被監控過程中，員工那邊是察覺不到的，咱們有這個優點?！睂τ谶@款軟件，河北安固云軟件有限公司（以下簡稱安固）的銷售人員介紹稱。

每經記者：受控端可以看到安裝文件嗎？

安固銷售：看不到，到時候會隱藏起來。

每經記者：殺毒軟件查得出來嗎？

安固銷售：我們老板已經和這些廠商協調過，都是兼容的。這不是病毒，所以（殺毒軟件）是檢測不到的。

記者注意到，通過安固公司官網披露的聯系電話可直接搜索到該銷售人員的微信。

每經記者隨即以意向客戶的身份，從該銷售人員處拿到了上述軟件的控制端（監控其他電腦的終端）及受控端（被監控的終端）兩個安裝包進行實際安裝測試。

受控端安裝僅用時23秒，全程沒有隱私條款彈窗，也無法選擇安裝路徑。安裝完成后，需填寫控制端IP，設置受控端所屬部門及名稱并點擊確定，該設備即在控制端上線。

控制端界面顯示受控端上線

控制端頁面頂部顯示，軟件實際名為“固信安全管控平臺”。

值得一提的是，當被問及該軟件的資質和后續運維情況時，該名安固銷售人員稱：“這邊是個新起的公司，屬于分公司，但總公司好像（成立）時間挺長的?！?/p>

每經記者深入調查發現，安固實為該軟件的代理商之一，該軟件的源頭公司名為“山東固信軟件有限公司”（以下簡稱固信），即上述安固銷售人員口中的總公司，天眼查顯示，兩家公司在股權上并無關聯。

記者隨后以意向客戶的身份分別致電固信官網標注的400電話及售前咨詢電話。

固信售前咨詢表示：“經確認，安固是我們代理。”在提供相關信息后，固信的銷售人員稱可以安排測試，“臺式、筆記本都行??但我們有一個局域網限制。主控電腦要與被控電腦處在同一個局域網內”。

何為局域網限制？據該人員解釋，可以簡單理解為控制端與受控端連接同一個Wi-Fi。

如果筆記本電腦連接員工自己提供的熱點，是否就監控不到了？該人員回復稱：“是的，但是我們的軟件可以限制員工不能連接其他網絡。”

對于“筆記本存在帶離公司的場景”，該人員進一步給出了更加“周全”的監控方案：做一個公網，將軟件服務端部署到云服務器上，所有電腦綁定公網IP（網際互連協議），依靠這種方式，即使員工在天涯海角，也能實時監控、管理，但是會增加額外成本。

在記者提出遠程測試的需求后，該人員稱，需要拍攝服務器機器碼到公司logo（標識）的全程無剪輯視頻，且服務器賬號必須是企業認證。而安固在提供遠程測試時，記者僅提交了一張營業場所照片。

幾經溝通后，記者獲取了固信銷售人員提供的安裝包。

當在相同設備運行安裝軟件時，電腦系統提示“已安裝，是否覆蓋？”

更換設備安裝后，記者發現，兩家公司提供的軟件從受控端頂部顯示的名稱到基本功能設計、頁面設計一致。

同樣一款軟件，安裝后的監控效果究竟如何？每經記者找了一位從事網絡安全10余年的專業技術人員一同測試。

記者親測：微信聊天實時“直播” 從屏幕到硬盤一覽無余

每經記者首先將從安固獲取的控制端及受控端兩個安裝包分別安裝完成，并將受控端設備設置上線。

此時，受控端系統托盤處顯示，客戶端策略生效中。不過，這款軟件藏得極深：記者查看任務管理器及應用列表，并未發現該軟件的身影。

受控端設備上線后系統顯示的信息

按照圖示點擊軟件圖標打開終端管理助手，記者發現，彈出的頁面除了顯示設備名及IP地址，并不具備實際管理及操控功能。

在控制端設置“隱藏”，十幾秒后，受控端系統托盤處的軟件圖標旋即消失。在此過程中，受控端未收到任何系統提醒，而控制端可以決定是否允許受控端查看自身策略。

控制端“編輯策略”頁面，可由此開啟不同的“監控”功能

此外，記者還通過控制端設置開啟了微信、QQ、釘釘、飛書等社交軟件的聊天審計功能，能監控瀏覽網站的數據，還能同步開啟屏幕錄像。在設置過程中，受控端同樣沒有收到任何提醒。

設置完成后，記者開始與受控端登錄的微信聊天。期間，記者通過微信發送的文字、圖片、視頻、文件等全部聊天記錄出現在了控制端的頁面上。甚至對于圖片、視頻、文件的具體內容，控制端也可以通過預覽或下載的方式查看，而受控端毫無察覺。

點擊“實時屏幕”，控制端可以同步觀看受控端屏幕操作；點擊“本地審計”，則可查看受控端的屏幕錄屏，甚至受控端電腦的文件也一覽無余。

對于殺毒軟件的查找情況，每經記者也進行了測試。

需要注意的是，安固的銷售人員聲稱其老板跟殺毒軟件廠商有過“協商”，安裝的軟件不會被判定為病毒，對于該說法，記者無法確定真假。但每經記者在受控端被監視的情況下，使用360安全助手、火絨安全軟件、騰訊電腦管家、金山毒霸、聯想電腦管家對受控端進行了全盤掃描，均未識別出任何風險。

多款主流殺毒軟件未識別出風險

而上述記者親測“裸泳式”監控過程涉及的兩臺電腦，相距近兩千公里——控制端電腦位于成都市，受控端電腦位于北京市，兩臺設備以一臺服務器作為公網映射。

此外，每經記者還在局域網內同步測試了固信提供的軟件，操作過程中，對應的受控端同樣全程無感知，殺毒軟件也未檢出異常。與安固有所不同的是，通過固信提供的軟件無法查看受控端微信發送的圖片。

經此驗證，安固銷售人員宣稱的監控功能確實能實現，并且能做到被監控者在監控中無感知。

已有多家企業購買“監控神器”

這樣一款能讓殺毒軟件“失明”的監控軟件，究竟有多少公司在使用？

在和安固的銷售人員溝通過程中，其直接發來了某理工科院校的采購合同掃描件。訂購信息顯示，該院校采購的軟件為“終端安全管理系統”。

而為了證明“總公司”的實力，安固的銷售人員還發來多份固信的銷售合同掃描件，其中一份合同的采購方顯示為國內大型知名IT服務商，合同信息顯示，該公司采購的軟件為“安全管控平臺”。

每經記者：“終端安全管理系統”和“安全管控平臺”是同一款軟件嗎？

安固銷售：只是叫法不一樣，就像“上網行為管理、數據防泄漏、終端安全”的說法，意思就是可以監控員工上班情況、瀏覽的什么網站、聊天內容、文件操作、文件管控、實時屏幕、錄像等。

每經記者：上述兩家采購方購買的是否為此前測試的監控員工軟件？

安固銷售：對的。

記者還注意到，部分合同的采購方和收貨方并非同一家公司。例如，一家位于天津市的小型信息技術公司簽訂的合同中顯示的收貨方為大型能源投資公司等多家企業。

一家位于武漢市的小型科技公司委托固信將產品送至北京市朝陽區建國門外大街甲6號WWT大廈某層交貨，該合同的貨物清單明確顯示，“提供微信聊天審計、QQ/TIM聊天審計、釘釘聊天、企業微信聊天審計、瀏覽網站審計、網絡搜索審計、電子郵件審計和上傳下載審計”的模塊購買數量為2300套。

安固究竟是一家多大規模的公司？其官網及銷售人員出示的宣傳材料上顯示，安固公司目前已服務數千家行業頭部企業，客戶涵蓋金融、互聯網、醫療、制造等多個領域。

這些客戶均購買了記者測試的這款軟件嗎？上述收貨方為大型能源投資公司等多家企業的合同采購項目為“網絡準入產品”，該產品是否包含監控功能？

安固的銷售人員稱，網關屬于不同的功能，是可以單獨購買的，宣傳材料中列示的公司客戶并非全部購買了監控功能。

每經記者注意到，這款軟件的使用成本并不高。固信的銷售人員提供的報價為：采購一臺，按原價498元/臺收費，可終身使用，如果需要后續更新維護，第二年起按合同價款的15%收取維護費；采購數量達到20臺到50臺有優惠，單價比原價低近200元。

調查過程中，每經記者發現，兩家公司的合同范本均對采購方的權利義務及安全責任做出規定。

而在與記者實際溝通的過程中，安固的銷售人員未提及在監控之前需告知員工，且稱，如果購買數量少，也可以以個人名義購買。

固信方面則表示軟件針對企業單位內部終端電腦的管理，需要對員工進行告知，不能侵犯員工隱私。但記者實測注意到，監控可做到無提示、無彈窗，被監控對象在無專業技術人員指導的情況下是難以發現的，也無法取證，投訴和維權更無從談起。所以，普通個人是很難與監控軟件抗衡的。

安全專家： 軟件所用技術與病毒、木馬完全相同

從技術上看，要做到監控微信等社交軟件和前臺“無感知”是否有難度？

某國內頭部殺毒軟件安全專家在接受每經記者微信采訪時分析稱，從技術上看，做到前臺“無感知”的難度并不大。通過消息鉤子或其他類似的系統接口劫持技術很容易做到對常規監控軟件的信息屏蔽，最終達到隱藏自身存在的目的。

那么，在被監控的電腦中如何找到該軟件？

在參與測試的專業技術人員的指導下，每經記者以受控端管理員的身份運行命令行工具，查找受控端電腦的網絡連接，通過排查可疑的網絡連接情況，根據可疑進程號定位到了該軟件的可執行程序文件路徑。

的確如銷售人員所說，該文件夾處于隱藏狀態。選擇顯示隱藏文件夾后，也僅能看到日志，依然無法從中找到運行文件。由于程序正在被運行占用，無法直接刪除文件夾和程序文件。使用代碼停止進程，計算機藍屏并自動重啟，重啟后程序依然運行，控制端仍顯示受控端在線。通過Windows系統自帶的服務管理禁用該服務開機自啟動后，重啟程序依然運行。直到通過火絨安全軟件禁止程序開機啟動并將電腦重啟后，控制端才顯示受控端下線。不過，由于部分“文件已在Windows資源管理器打開”，依然無法徹底刪除文件夾。

最終，每經記者多次重啟并使用火絨安全軟件的文件粉碎功能，才將文件夾徹底刪除。

從這款軟件的運行方式及查找、刪除難度上看，其是否與病毒、木馬軟件具有相同的功能、效果？該軟件與病毒、木馬軟件是否采用了近似的技術？在網絡安全領域，一般如何定義這種軟件？

上述頭部殺毒軟件的安全專家告訴記者，病毒、木馬本身就是軟件的一種存在形式，與正常軟件的區別只在于使用目的和使用方法。所以，如果這款軟件被用來進行惡意的監控或信息竊取，那它就是病毒、木馬。其隱藏自身存在和運行的技術與病毒、木馬不是“近似”而是完全相同。這類軟件一般被認定為遠程監控或遠程控制類軟件，它的存在比較“灰色”。通常來說，如果其開發者有大公司背書且能盡量確保被合法使用，那可以被認定為是帶有潛在風險的合法軟件。但一旦被濫用或從根本上便“動機不純”，則會被判定為后門或木馬類程序。

結合該類文件特性，上述技術人員給出了一份判斷電腦是否被監控的“自查指南”。

如何停止監控？

該技術人員表示，繼續輸入通過可疑進程號定位該軟件可執行程序文件路徑的代碼，根據輸出的文件路徑尋找可疑文件夾ipsafe。

如果無法找到文件夾，代表文件夾可能被隱藏。此時點擊查看，勾選顯示隱藏的項目。

定位到文件夾后，如顯示程序正在運行占用，無法直接刪除文件夾。可以通過代碼查看父進程，不斷重復這一操作，直到父進程變為系統文件service.exe，上一層的p2mon32.exe即為該軟件的最外層進程。

使用火絨安全軟件，從啟動項管理中找到該程序，禁止該程序開機啟動并重啟。最后使用火絨安全軟件的文件粉碎功能粉碎文件夾。如顯示粉碎失敗，可以反復重啟粉碎。

律師：監控行為觸犯刑法

圍繞外界關心的監控行為是否合法、員工如何維護權益、軟件買賣方應承擔何種責任等話題，每經記者咨詢了律師、技術人員等專業人士。

上述知名律師稱，國家法律明確規定了侵犯公民個人信息的法律后果。微信聊天記錄等通信內容雖然不能直接等同于公民個人信息，但二者存在交叉。最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號）明確規定，公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名，身份證件號碼，通信通訊聯系方式、住址、賬號密碼、財產狀況，行蹤軌跡等。微信聊天記錄極有可能包含以上內容和信息，監控相關聊天內容的企業可能要承擔相應的責任。

每經記者注意到，《App違法違規收集使用個人信息行為認定方法》對App運營者可被認定為“未公開收集使用規則” “未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”的行為有清晰界定。

策劃|蒲付強 李彪

記者|張宏 朱恒

編輯|魏官紅

統籌|易啟江

視覺|劉青彥

排版|魏官紅