微信聊天遭老板监视，杀毒软件“失明”，员工隐私被系统性采集！软件商公开售卖“监控神器”，称已服务多家企业

“如何神不知鬼不觉地对员工电脑屏幕进行监管？其实非常简单，只需要安装这款软件，就可以监管到公司所有电脑，实时查看到员工电脑屏幕。员工从安装开始全程无感知、无弹窗⋯⋯”

小红书上，有销售人员发布多个宣传视频，展示安装在员工电脑里的“电子眼”的强大监控功能。

《每日经济新闻》记者（以下简称每经记者）发现，一款面向公司用户、单套价格或不足300元的监控软件正在被公开售卖。

“可以同步监管到员工微信和QQ”“无感知”“无弹窗”⋯⋯“监控神器”真的能“完美隐身”？每经记者展开深入调查。

“监控神器”被公开售卖 销售：员工是察觉不到的

“笔记本、台式机都能用⋯⋯可以等员工下班了再安装，安装好之后把安装包删除⋯⋯被监控过程中，员工那边是察觉不到的，咱们有这个优点。”对于这款软件，河北安固云软件有限公司（以下简称安固）的销售人员介绍称。

每经记者：受控端可以看到安装文件吗？

安固销售：看不到，到时候会隐藏起来。

每经记者：杀毒软件查得出来吗？

安固销售：我们老板已经和这些厂商协调过，都是兼容的。这不是病毒，所以（杀毒软件）是检测不到的。

记者注意到，通过安固公司官网披露的联系电话可直接搜索到该销售人员的微信。

每经记者随即以意向客户的身份，从该销售人员处拿到了上述软件的控制端（监控其他电脑的终端）及受控端（被监控的终端）两个安装包进行实际安装测试。

受控端安装仅用时23秒，全程没有隐私条款弹窗，也无法选择安装路径。安装完成后，需填写控制端IP，设置受控端所属部门及名称并点击确定，该设备即在控制端上线。

控制端界面显示受控端上线

控制端页面顶部显示，软件实际名为“固信安全管控平台”。

值得一提的是，当被问及该软件的资质和后续运维情况时，该名安固销售人员称：“这边是个新起的公司，属于分公司，但总公司好像（成立）时间挺长的。”

每经记者深入调查发现，安固实为该软件的代理商之一，该软件的源头公司名为“山东固信软件有限公司”（以下简称固信），即上述安固销售人员口中的总公司，天眼查显示，两家公司在股权上并无关联。

图片来源：安固销售人员提供的代理证书

记者随后以意向客户的身份分别致电固信官网标注的400电话及售前咨询电话。

固信售前咨询表示：“经确认，安固是我们代理。”在提供相关信息后，固信的销售人员称可以安排测试，“台式、笔记本都行⋯⋯但我们有一个局域网限制。主控电脑要与被控电脑处在同一个局域网内”。

何为局域网限制？据该人员解释，可以简单理解为控制端与受控端连接同一个Wi-Fi。

如果笔记本电脑连接员工自己提供的热点，是否就监控不到了？该人员回复称：“是的，但是我们的软件可以限制员工不能连接其他网络。”

对于“笔记本存在带离公司的场景”，该人员进一步给出了更加“周全”的监控方案：做一个公网，将软件服务端部署到云服务器上，所有电脑绑定公网IP（网际互连协议），依靠这种方式，即使员工在天涯海角，也能实时监控、管理，但是会增加额外成本。

在记者提出远程测试的需求后，该人员称，需要拍摄服务器机器码到公司logo（标识）的全程无剪辑视频，且服务器账号必须是企业认证。而安固在提供远程测试时，记者仅提交了一张营业场所照片。

几经沟通后，记者获取了固信销售人员提供的安装包。

当在相同设备运行安装软件时，电脑系统提示“已安装，是否覆盖？”

更换设备安装后，记者发现，两家公司提供的软件从受控端顶部显示的名称到基本功能设计、页面设计一致。

同样一款软件，安装后的监控效果究竟如何？每经记者找了一位从事网络安全10余年的专业技术人员一同测试。

记者亲测：微信聊天实时“直播” 从屏幕到硬盘一览无余

每经记者首先将从安固获取的控制端及受控端两个安装包分别安装完成，并将受控端设备设置上线。

此时，受控端系统托盘处显示，客户端策略生效中。不过，这款软件藏得极深：记者查看任务管理器及应用列表，并未发现该软件的身影。

受控端设备上线后系统显示的信息

按照图示点击软件图标打开终端管理助手，记者发现，弹出的页面除了显示设备名及IP地址，并不具备实际管理及操控功能。

在控制端设置“隐藏”，十几秒后，受控端系统托盘处的软件图标旋即消失。在此过程中，受控端未收到任何系统提醒，而控制端可以决定是否允许受控端查看自身策略。

控制端“编辑策略”页面，可由此开启不同的“监控”功能

此外，记者还通过控制端设置开启了微信、QQ、钉钉、飞书等社交软件的聊天审计功能，能监控浏览网站的数据，还能同步开启屏幕录像。在设置过程中，受控端同样没有收到任何提醒。

设置完成后，记者开始与受控端登录的微信聊天。期间，记者通过微信发送的文字、图片、视频、文件等全部聊天记录出现在了控制端的页面上。甚至对于图片、视频、文件的具体内容，控制端也可以通过预览或下载的方式查看，而受控端毫无察觉。

点击“实时屏幕”，控制端可以同步观看受控端屏幕操作；点击“本地审计”，则可查看受控端的屏幕录屏，甚至受控端电脑的文件也一览无余。

对于杀毒软件的查找情况，每经记者也进行了测试。

需要注意的是，安固的销售人员声称其老板跟杀毒软件厂商有过“协商”，安装的软件不会被判定为病毒，对于该说法，记者无法确定真假。但每经记者在受控端被监视的情况下，使用360安全助手、火绒安全软件、腾讯电脑管家、金山毒霸、联想电脑管家对受控端进行了全盘扫描，均未识别出任何风险。

多款主流杀毒软件未识别出风险

而上述记者亲测“裸泳式”监控过程涉及的两台电脑，相距近两千公里——控制端电脑位于成都市，受控端电脑位于北京市，两台设备以一台服务器作为公网映射。

此外，每经记者还在局域网内同步测试了固信提供的软件，操作过程中，对应的受控端同样全程无感知，杀毒软件也未检出异常。与安固有所不同的是，通过固信提供的软件无法查看受控端微信发送的图片。

经此验证，安固销售人员宣称的监控功能确实能实现，并且能做到被监控者在监控中无感知。

已有多家企业购买“监控神器”  

这样一款能让杀毒软件“失明”的监控软件，究竟有多少公司在使用？

在和安固的销售人员沟通过程中，其直接发来了某理工科院校的采购合同扫描件。订购信息显示，该院校采购的软件为“终端安全管理系统”。

图片来源：安固销售人员提供的某理工科院校的采购合同扫描件

而为了证明“总公司”的实力，安固的销售人员还发来多份固信的销售合同扫描件，其中一份合同的采购方显示为国内大型知名IT服务商，合同信息显示，该公司采购的软件为“安全管控平台”。

图片来源：安固销售人员提供的国内大型知名IT服务商与固信的采购合同扫描件

每经记者：“终端安全管理系统”和“安全管控平台”是同一款软件吗？

安固销售：只是叫法不一样，就像“上网行为管理、数据防泄漏、终端安全”的说法，意思就是可以监控员工上班情况、浏览的什么网站、聊天内容、文件操作、文件管控、实时屏幕、录像等。

每经记者：上述两家采购方购买的是否为此前测试的监控员工软件？

安固销售：对的。

记者还注意到，部分合同的采购方和收货方并非同一家公司。例如，一家位于天津市的小型信息技术公司签订的合同中显示的收货方为大型能源投资公司等多家企业。

一家位于武汉市的小型科技公司委托固信将产品送至北京市朝阳区建国门外大街甲6号WWT大厦某层交货，该合同的货物清单明确显示，“提供微信聊天审计、QQ/TIM聊天审计、钉钉聊天、企业微信聊天审计、浏览网站审计、网络搜索审计、电子邮件审计和上传下载审计”的模块购买数量为2300套。

图片来源：安固销售人员提供的某科技公司与固信的采购合同扫描件

安固究竟是一家多大规模的公司？其官网及销售人员出示的宣传材料上显示，安固公司目前已服务数千家行业头部企业，客户涵盖金融、互联网、医疗、制造等多个领域。

图片来源：安固公司官网截图

这些客户均购买了记者测试的这款软件吗？上述收货方为大型能源投资公司等多家企业的合同采购项目为“网络准入产品”，该产品是否包含监控功能？

安固的销售人员称，网关属于不同的功能，是可以单独购买的，宣传材料中列示的公司客户并非全部购买了监控功能。

每经记者注意到，这款软件的使用成本并不高。固信的销售人员提供的报价为：采购一台，按原价498元/台收费，可终身使用，如果需要后续更新维护，第二年起按合同价款的15%收取维护费；采购数量达到20台到50台有优惠，单价比原价低近200元。

调查过程中，每经记者发现，两家公司的合同范本均对采购方的权利义务及安全责任做出规定。

图片来源：安固提供的合同范本截图

图片来源：固信提供的合同范本截图

而在与记者实际沟通的过程中，安固的销售人员未提及在监控之前需告知员工，且称，如果购买数量少，也可以以个人名义购买。

固信方面则表示软件针对企业单位内部终端电脑的管理，需要对员工进行告知，不能侵犯员工隐私。但记者实测注意到，监控可做到无提示、无弹窗，被监控对象在无专业技术人员指导的情况下是难以发现的，也无法取证，投诉和维权更无从谈起。所以，普通个人是很难与监控软件抗衡的。

安全专家：  软件所用技术与病毒、木马完全相同  

从技术上看，要做到监控微信等社交软件和前台“无感知”是否有难度？

某国内头部杀毒软件安全专家在接受每经记者微信采访时分析称，从技术上看，做到前台“无感知”的难度并不大。通过消息钩子或其他类似的系统接口劫持技术很容易做到对常规监控软件的信息屏蔽，最终达到隐藏自身存在的目的。

那么，在被监控的电脑中如何找到该软件？

在参与测试的专业技术人员的指导下，每经记者以受控端管理员的身份运行命令行工具，查找受控端电脑的网络连接，通过排查可疑的网络连接情况，根据可疑进程号定位到了该软件的可执行程序文件路径。

的确如销售人员所说，该文件夹处于隐藏状态。选择显示隐藏文件夹后，也仅能看到日志，依然无法从中找到运行文件。由于程序正在被运行占用，无法直接删除文件夹和程序文件。使用代码停止进程，计算机蓝屏并自动重启，重启后程序依然运行，控制端仍显示受控端在线。通过Windows系统自带的服务管理禁用该服务开机自启动后，重启程序依然运行。直到通过火绒安全软件禁止程序开机启动并将电脑重启后，控制端才显示受控端下线。不过，由于部分“文件已在Windows资源管理器打开”，依然无法彻底删除文件夹。

最终，每经记者多次重启并使用火绒安全软件的文件粉碎功能，才将文件夹彻底删除。

从这款软件的运行方式及查找、删除难度上看，其是否与病毒、木马软件具有相同的功能、效果？该软件与病毒、木马软件是否采用了近似的技术？在网络安全领域，一般如何定义这种软件？

上述头部杀毒软件的安全专家告诉记者，病毒、木马本身就是软件的一种存在形式，与正常软件的区别只在于使用目的和使用方法。所以，如果这款软件被用来进行恶意的监控或信息窃取，那它就是病毒、木马。其隐藏自身存在和运行的技术与病毒、木马不是“近似”而是完全相同。这类软件一般被认定为远程监控或远程控制类软件，它的存在比较“灰色”。通常来说，如果其开发者有大公司背书且能尽量确保被合法使用，那可以被认定为是带有潜在风险的合法软件。但一旦被滥用或从根本上便“动机不纯”，则会被判定为后门或木马类程序。

结合该类文件特性，上述技术人员给出了一份判断电脑是否被监控的“自查指南”。

如何停止监控？

该技术人员表示，继续输入通过可疑进程号定位该软件可执行程序文件路径的代码，根据输出的文件路径寻找可疑文件夹ipsafe。

如果无法找到文件夹，代表文件夹可能被隐藏。此时点击查看，勾选显示隐藏的项目。

定位到文件夹后，如显示程序正在运行占用，无法直接删除文件夹。可以通过代码查看父进程，不断重复这一操作，直到父进程变为系统文件service.exe，上一层的p2mon32.exe即为该软件的最外层进程。

使用火绒安全软件，从启动项管理中找到该程序，禁止该程序开机启动并重启。最后使用火绒安全软件的文件粉碎功能粉碎文件夹。如显示粉碎失败，可以反复重启粉碎。

律师：监控行为触犯刑法

围绕外界关心的监控行为是否合法、员工如何维护权益、软件买卖方应承担何种责任等话题，每经记者咨询了律师、技术人员等专业人士。

上述知名律师称，国家法律明确规定了侵犯公民个人信息的法律后果。微信聊天记录等通信内容虽然不能直接等同于公民个人信息，但二者存在交叉。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）明确规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名，身份证件号码，通信通讯联系方式、住址、账号密码、财产状况，行踪轨迹等。微信聊天记录极有可能包含以上内容和信息，监控相关聊天内容的企业可能要承担相应的责任。

每经记者注意到，《App违法违规收集使用个人信息行为认定方法》对App运营者可被认定为“未公开收集使用规则” “未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”的行为有清晰界定。

图片来源：《App违法违规收集使用个人信息行为认定方法》截图

策划|蒲付强 李彪

记者|张宏 朱恒

编辑|魏官红

统筹|易启江

视觉|刘青彦

排版|魏官红