最近公司部署了 ip-guard。

...都能中间人了

另外 还想请教下 如果电脑只安装了 IP-guard 的控制台。（因为具有管理权限，但是明显控制台登录进去的账号能看到的相关功能不全面） 也会成为被监控的对象吗？

都能在你电脑上了。直接读你数据走了，还管你打没打开界面。只要你一登录，在运行

都装电脑上了不要问了，要啥有啥

@proxytoworld 中间人可以随便看 mtproto 吗？有没有这方面资料？

@leafyyy 只有控制台不会

直接读你硬盘、内存、截屏。其它问题不用问了

这种恶心人的软件是不是只有国内才有市场...

@PTLin 并不是。。

@PTLin DLP 的知名厂商包括 Forcepoint 、赛门铁克、Trellix （收购的迈克菲）等，甚至连微软都有 DLP 。

@Hongmin @wdlth 那么这么恶心的软件是不是只卖给天朝哈哈，这么问总行了把。

他装归他装，你自己刷你自己手机不就行了。。。。

@tlerbao 我国企业的 DLP 意识和国际上还是有差距的，应该多与国际接轨。

https://www.forcepoint.com/company/customers
客户包括：IBM 、CVS 连锁药房、微软、高通、波音、陶氏化学、沃尔玛等等。

https://www.trellix.com/en-us/index.html
超过 80%的财富 100 客户，甚至包含美国弗吉尼亚州的五边形机构

@PTLin 精神能不能正常点

你别说 TG 的内容了，整个屏幕都能给截取。。。。不确定你们的 IT 策略是怎么开的。反正既然已经上了，就规避一点吧。

@wdlth #10 ip-guard 自己就明确区分了数据加密保护跟全盘监控两个级别，你还在这里混淆监控跟数据保护，那是连非蠢即坏都算不上，是实实在在的蠢。

看公司买了哪些模块，这玩意客户端 300+ M
理论上只要钱给够(每个功能模块都要加钱)，无所不能吧

你现在是装了一个权限比操作系统还高的超级后门，它可能确实没干，但它要想干随时就能干。

这种系统，有一个名字更贴切：（公司对员工）零信任防护系统。信任是双向的，公司对员工零信任，员工也要对公司零信任，在装了零信任系统的公司电脑上，不要放任何员工的个人内容，包括笔记这种零碎个人资料。

@lambdaq 几乎所有在客户端的安全类软件都可以视作为大号木马，我没用过 ip-guard ，但所有在客户端安装的软件都可以实现
1. 在你电脑安装根证书（安装的时候会请求管理员权限吧）而后在 gateway 劫持 https 、tls 证书，这样直接就能解密加密内容，tg 用的加密流量可以被中间人攻击，成为明文流量，在根据逻辑还原
2. 监控电脑文件

@proxytoworld 问题是 tg 它走的不是 https tls ，也没有证书这个说法。。它是自创的 mtproto 加密协议。。。具体怎么劫持老哥说下原理？

当然，本地 hook 这个肯定可行。我想知道中间人怎么搞？

我所在的公司今年也部署了 ip-guard ，只有安装了 ip-guard 的电脑才能接入内部工程网络访问源代码。

个人觉得公司要部署这样的系统也不可厚非，但是应该公开监控详情及监控信息的处理流程（哪些行为会被监控，哪些人可以查看监控信息等等）。

跟公司 IT 请求相应的信息公开，一直得不到满意的回复（或者他们压根没有成文的条款）。

直接主管也认同我的主张，后来给我另配了台电脑来处理其他事务。

@nothingistrue IP-guard 是有终端安全管理的，可以监控系统、文件和网络等，不光是文件。

有论文说明可以从内存中提取 Telegram 的数据，如果管理员把你的 TG 内存 dump 了，会泄露一些信息。
https://doi.org/10.1016/j.fsidi.2022.301342