Vi har nylig sett på ulike teknikker du kan bruke til å skjule data i Windows, fra enkle filnavn-triks for å fullføre kryptering av operativsystemet. Nå skal vi dreie bordene og finne måter å avdekke skjult aktivitet.

Det er mange grunner til at noen kanskje ikke vil at du skal vite at sikkerheten din er blitt overtrådt. Det mest åpenbare er infeksjon med skadelig programvare. Hvis du tror at andre kan bruke PCen uten ditt samtykke, kan problemene bli alvorlige. Hva gjør de? Vil folk anta at det var deg?

Heldigvis er det enklere å finne ut, enn du kanskje tror, ​​og du kan til og med overvåke datamaskinen din fra innboksen din.

Utforsker Explorer

Hvordan kan du fortelle om noen har endret eller til og med lagt til en ny fil på datamaskinen din?

Den enkleste metoden er å åpne Windows Explorer i en konto med administratorrettigheter over systemet. Klikk nå på 'Organiser> Mappe og søkealternativer'. Klikk på "Vis" -fanen og i de avanserte innstillingene, forsikre deg om at "Vis skjulte filer, mapper og stasjoner" er valgt. Klikk på "OK".

Klikk nå søkefeltet i Windows Utforsker. Dette vil avsløre flere søkekriterier, inkludert "Date modified". Klikk på denne og en kalender vises sammen med noen interessante alternativer, inkludert "Tidligere denne uken". Klikk på en av disse og trykk på [Enter]. Alle filene som er endret siden denne gangen, inkludert skjulte, vil bli oppført. Er det noe du ikke liker utseendet til?

Selvfølgelig er mye av dagens malware i stand til å fakse modifikasjonstiden på en fil for å gjemme seg fra dette søket. Den verste malware, rootkit, opprettholder sin anonyme tilstedeværelse ved ikke bare å svikte modifikasjonstider, men sørger også for at det lurker operativsystemet til å returnere resultater som gjør alt til å virke greit. Rotkit kan da tillate annen malware, som en keylogger, å kjøre.

For å avdekke denne typen infeksjon, trenger vi en måte å undersøke disken mens Windows sover. Les en sovende PC Den enkleste måten å oppnå dette på er å starte en Linux live-CD, montere disken og ta en titt.

Hva søker vi etter? Heldigvis trenger vi ikke vite. Flere sikkerhetsleverandører distribuerer Linux Live CD-plater designet for å bare kjøre en Windows-antivirusskanner. Uten et underlagt Windows-system kommer i veien, er all skadelig programvare naken og synlig.

En slik plate er Avira Rescue CD. Du kan laste ned ISO-filen og brenne den til en oppstartbar plate ved hjelp av favorittprogramvaren, men det er et annet alternativ. Hvis du laster ned og kjører EXE-versjonen, finner du at den inneholder brennersoftware. Du vil bli bedt om å sette inn en DVD, hvoretter ISO vil bli pakket ut og brent til disk, klar til oppstart.

Hvis du bruker et trådløst nettverkskort, må du koble din PC til bredbåndsrouteren med en kabel hvis Linux ikke inneholder en driver for det trådløse kortet.

Når du starter opp redningsdisken, vil du bli møtt av en oppstartsmeny. Trykk på [Enter] for å fortsette oppstart. Avira-skanneren lastes og kjøres.

Programvaren har fire faner. Klikk "Oppdater", og klikk deretter "Ja" i vinduet som vises, spør om du vil oppdatere malwaredefinisjonene. Når du er ferdig, klikker du på kategorien "Konfigurasjon". Kontroller at i delen Skannemetode er alternativet valgt 'Alle filer'. Sørg også for at du markerer avmerkingsboksene for vitsprogrammer, sikkerhetsrelaterthetsrisiko og kjøretidskomprimeringsverktøy. Dette siste alternativet er viktig fordi noen malware forblir trygt komprimert til den kjører, og derved skjuler dens formål.

Til slutt klikker du på "Virusskanner" -fanen og klikker på "Startskanner". Når skanningen er fullført og noen smarte infeksjoner har blitt identifisert og forhåpentligvis løst, kan du klikke på "Slå av" og enten slå av datamaskinen eller starte på nytt. Når Linux har lukket seg ned, kan du fjerne DVDen og starte opp i Windows.

Sporingsaktivitet

Et annet stort problem, spesielt hvis du må forlate PCen uovervåket en stund, er en interloper som bruker den uten din tillatelse. Hvis noen virkelig ønsker å lese harddisken, vil booting av en Linux-live-CD tillate dem å montere disken din og lese hva de liker.

Hvis du ikke vil kryptere hele operativsystemet ditt som vi demonstrerte siste problemet ved hjelp av TrueCrypt, kan du hindre deres forsøk på å starte opp datamaskinen selv ved å sette inn et passord på BIOS-en din.

BIOS inneholder den første programvaren som skal kjøres når maskinen står opp. Fordi det ikke er mulig å stoppe dette, forteller BIOS å be om et passord ved oppstartstid, stoppe de fleste ville være hackere døde. I tillegg tillater moderne BIOS-implementeringer flere forskjellige passord som utfører forskjellige jobber, og nyere harddisker kan gjøres for å fungere sammen med BIOS for å forhindre at hemmeligheter blir avslørt.

For å angi et BIOS-passord må du komme inn i oppsettmodus. De fleste moderne BIOS-implementeringer svarer på å holde nede [F2], [F10] eller [Slett]. PC-håndboken din forteller deg hvilken. Hold denne tasten umiddelbart etter strømmen i tilfeller hvor BIOS-skjermen blinker for fort.

Ulike BIOS-typer har forskjellige grensesnitt, men generelt vil det alltid være et sikkerhets- eller passordskjermbilde. Det kan være forskjellige typer passord du kan angi.

Når du starter opp datamaskinen, er passordet du blir bedt om å skrive inn brukerpassordet. Men hva er å stoppe noen som går inn i BIOS og fjerner den? Det er jobben til veilederpassordet. Hvis du angir dette, blir det enda problematisk for en hacker å komme inn i BIOS.

Fordi det er teknikker for tvingende BIOS-passord, har bærbare BIOS-implementeringer også et HDD-passord. Dette er lagret i harddiskkontrollen og må leveres før disken gir opp en byte av tilgang.

Bevis samling

Hvis du tror at noen bruker PCen din uten tillatelse, er det noen ganger det beste å samle bevis, da konfronterer du dem eller tar skritt for å sikre at du har en legitim grunn til at de ikke kan fortsette å bruke den.

En metode for å gjøre dette er å installere en keylogger. Keyloggers brukes ikke alltid ulovlig. I noen situasjoner kan de brukes til å kontrollere at personell bare gjør hva de skal og ikke misbruker sin stilling.

Et ord eller en advarsel først: Ikke vær fristet til å installere en keylogger eller noe annet spyware på en datamaskin som du ikke personlig eier. Hvis du er fanget, og saken går til retten, kan du være ansvarlig under misbruk av datamaskiner, og få fengselsstraff og en bøde på opptil £ 5000.

Det er mange gratis Windows keyloggers. Vi bruker iSafe fra iSafeSoft. Prøvingsversjonen varer i syv dager, som bør være nok til å oppdage uautorisert bruk av PCen din. Last ned kjørbar til PCen du vil overvåke (som vi kaller målet) og kjøre det.

Installasjonsprosessen består av bare å godta lisensavtalen og standardinnstillingene. Når du er installert, trykker du på [Ctrl] + [Alt] + [Shift] + [X] og angir standardpassordet 123 for å åpne keyloggerens brukergrensesnitt.

Hver del av systemet som kan logges har sitt eget ikon. Øverst på hvert ikon er et nummer som indikerer oppføringene som er samlet. For å stoppe aktiviteten din, logg på, klikk den grønne knappen merket "Stopp nå".

Med iSafe-loggingshendelser, prøv å åpne en nettleser og skrive inn en søkefras. Surf til noen få nettsteder, og gå deretter tilbake til iSafe-brukergrensesnittet. Klikk på Logg øverst på skjermen. I panelet til venstre, utvider du brukernavnet som surfer og velger kategorien "Nettsted".

I de høyre rutene ser du datoene og tidspunktene for hvert element av surfingaktivitet, sammen med det aktuelle nettstedet. Velg en og det nedre panelet viser detaljene. Velg kategorien "Tastetrykk" i panelet til venstre og klikk på en oppføring fra nett surfing trafikken du nettopp generert. Den nedre ruten viser nøyaktige tastetrykk (inkludert slettinger og andre endringer), og teksten er skrevet inn.

En annen verdifull funksjon er skjermbildet kategorien. Skjermbilder er tatt med jevne mellomrom, og er et kraftig bevis når man ser etter uønskede aktiviteter av andre. Tilbake på hoved iSafe-grensesnittet, klikk på "Skjermbilde" -fanen til venstre for å få tilgang til innstillingene.

Som standard gjør iSafe en fange hvert minutt, men dette kan snart fylle harddisken din. Det er mer nyttig å ta et skudd av det aktive vinduet. Du kan ytterligere redusere mengden plass som tas av hvert bilde ved å velge fangstkvaliteten. For å komprimere bildene (og beskytte dem), velg alternativet for å komprimere dem til et arkiv. Dette er beskyttet av iSafe-passordet.

iSafe tar ikke skjermbilder når datamaskinen er inaktiv (med andre ord når den mistenkte ikke bruker den). For å fortsette å ta snaps uansett, klikk 'Innstilling', og klikk deretter 'Skjermbilde' i den høyre høyre ruten. Untick 'Ikke ta skjermbilder når brukeren er inaktiv.'

En utmerket funksjon av skjermbildet er muligheten til å begynne å ta bilder så snart iSafe oppdager at brukeren har angitt et eller flere angitte søkeord. På Skjermbilde-fanen klikker du 'Aktiver Smart Sense' og tilhørende knapper blir aktive. Skriv inn et søkeord og klikk "Legg til" for å legge det til i listen. For å fjerne den, velg den og klikk på "Slett".

Flere innstillinger

Standard passordet er usikkert, så klikk kategorien 'Innstillinger' og klikk deretter 'Generelt'. Til høyre, skriv inn det gamle 123-passordet og en ny, lengre en. Klikk på "Bruk" for å endre det. Innstillingen lar deg sette mange andre nyttige alternativer. For eksempel kan du skjule bruken av iSafe ved å endre hurtigtast-sekvensen fra standardet til [Ctrl] + [Alt] + [Shift] + [X].

Du kan også angi parametrene for Stealth-modusen. Disse inkluderer å bli usynlig i oppgavebehandling. Klikk på "Brukere" -kategorien, og du kan angi hvilke brukere du vil overvåke. Dette gjør det mulig å begrense bevissamlingen din til bare de menneskene eller kontoene du mistenker.

Du kan også få relevant informasjon sendt til deg. Velg Leveringskategorien og sett 'Lever logger til e-post' til 'På'. Skriv inn e-postadressen din og angi alternativene. Sending av deg selv informasjonen som er fanget av iSafe, gjør at du kan overvåke aktivitet når din mistenker at de er trygge. Forutsatt at du kan komme til innboksen din, kan du fortsatt se hva de skal gjøre.

Sifter bevisene

Snarere enn å måtte ploughe gjennom hvert tastetrykk, skjermbilde og annen informasjon, kan du målrette mot et bestemt datointervall.

På hoved iSafe-grensesnittet klikker du på Log. Velg en dato og klikk på "Vis logg". Bare oppføringene for den dagen vises. Du kan også velge de forrige syv eller 30 dagene, eller definere et tilpasset område. Klikk på 'Tilpasset' -knappen øverst på skjermen, og skriv deretter inn start- og sluttdatoen før du klikker 'OK'.

Du kan slette loggene og annen innsamlet informasjon ved hjelp av knappene øverst i loggvisningen. Du kan også slette et datoperiode eller alle dataene her for å spare på diskplass.

Avinstallere iSafe etter at du er ferdig, er så enkelt som å klikke på "Uninstall" -ikonet øverst i grensesnittet.