We hebben onlangs gekeken naar verschillende technieken die u kunt gebruiken om gegevens in Windows te verbergen, van eenvoudige bestandsnaamtrucs tot volledige codering van het besturingssysteem. Nu gaan we de tafels omdraaien en manieren ontdekken om verborgen activiteiten bloot te leggen.

Er zijn tal van redenen waarom iemand misschien niet wil dat je weet dat je beveiliging is geschonden. Het meest voor de hand liggende is infectie met malware. Als u denkt dat anderen uw pc zonder uw toestemming gebruiken, kunnen de problemen ernstig worden. Waar zijn ze mee bezig? Zullen mensen aannemen dat jij het was?

Gelukkig is het gemakkelijker om uit te vinden dan je zou denken, en je kunt zelfs je computer volgen vanuit je inbox.

Verkenner verkennen

Hoe u kunt zien of iemand een nieuw bestand op uw computer heeft gewijzigd of zelfs heeft toegevoegd?

De eenvoudigste methode is om Windows Explorer te openen in een account met beheerdersrechten voor het systeem. Klik nu op 'Organiseren> Map en zoekopties'. Klik op het tabblad 'Beeld' en zorg er in de geavanceerde instellingen voor dat 'Verborgen bestanden, mappen en stations weergeven' is geselecteerd. Klik OK'.

Klik nu op het zoekvak in Windows Verkenner. Dit zal verschillende zoekcriteria onthullen, inclusief 'Gewijzigde datum'. Klik hierop en een kalender verschijnt samen met enkele interessante opties, waaronder 'Eerder deze week'. Klik op een van deze en druk op [Invoeren]. Alle bestanden die sinds die tijd zijn gewijzigd, inclusief verborgen bestanden, worden weergegeven. Is er iets dat je niet leuk vindt??

Natuurlijk is veel van de malware van vandaag in staat om de tijd aan te passen aan een bestand om deze zoekopdracht te verbergen. De ergste malware, de rootkit, behoudt zijn anonieme aanwezigheid door niet alleen modificatietijden te vervalsen, maar ook ervoor te zorgen dat het besturingssysteem voor de gek wordt gehouden door terugkerende resultaten die alles goed doen lijken. De rootkit kan vervolgens toestaan ​​dat andere malware, zoals een keylogger, wordt uitgevoerd.

Om dit soort infectie bloot te leggen, hebben we een manier nodig om de schijf te onderzoeken terwijl Windows slaapt. Lees een slapende pc De eenvoudigste manier om dit te bereiken is om een ​​Linux live-CD op te starten, de schijf te monteren en rond te kijken.

Waar zoeken we naar? Gelukkig hoeven we het niet te weten. Verschillende beveiligingsleveranciers distribueren Linux live CD-schijven die zijn ontworpen om gewoon een Windows antivirus scanner te gebruiken. Zonder een ondermijnd Windows-systeem dat in de weg zit, is alle malware naakt en zichtbaar.

Een dergelijke schijf is de Avira Rescue-cd. Je kunt het ISO-bestand downloaden en het op een opstartbare schijf branden met je favoriete software, maar er is nog een andere optie. Als u de EXE-versie downloadt en uitvoert, zult u merken dat het brandersoftware bevat. U wordt gevraagd een dvd in te voegen, waarna de ISO wordt uitgepakt en op schijf wordt gebrand, klaar om op te starten.

Als u een draadloze netwerkkaart gebruikt, moet u uw pc met een kabel op uw breedbandrouter aansluiten als Linux geen stuurprogramma voor uw draadloze kaart bevat.

Wanneer u de rescue-schijf opstart, wordt een opstartmenu weergegeven. Druk op [Enter] om door te gaan met opstarten. De Avira-scanner wordt geladen en uitgevoerd.

De software heeft vier tabbladen. Klik op 'Bijwerken' en klik vervolgens op 'Ja' in het venster dat verschijnt om te vragen of u de malwaredefinities wilt bijwerken. Klik zodra u klaar bent op het tabblad 'Configuratie'. Zorg ervoor dat in de sectie Scanmethode de geselecteerde optie 'Alle bestanden' is. Zorg er ook voor dat u de aanvinkhokjes voor grapprogramma's, beveiligingsrisicorisico's en runtime-compressiehulpprogramma's selecteert. Deze laatste optie is belangrijk omdat sommige malware veilig worden gecomprimeerd totdat deze wordt uitgevoerd, waardoor het doel ervan wordt verdoezeld.

Klik ten slotte op het tabblad 'Virusscanner' en klik op 'Scanner starten'. Zodra de scan is voltooid en eventuele heimelijke infecties zijn geïdentificeerd en hopelijk zijn verholpen, kunt u klikken op 'Afsluiten' en de computer afsluiten of opnieuw opstarten. Nadat Linux zichzelf heeft afgesloten, kunt u de dvd verwijderen en opstarten in Windows.

Activiteit volgen

Een ander groot probleem, vooral als u uw pc een tijdje onbeheerd achterlaat, is een indringer die het gebruikt zonder uw toestemming. Als iemand echt je harde schijf wil lezen, zal het opstarten van een Linux live-CD hen in staat stellen om je schijf te mounten en te lezen wat ze maar willen.

Als u niet uw gehele besturingssysteem wilt coderen zoals we het vorige nummer met TrueCrypt hebben gedemonstreerd, kunt u hun pogingen om zelfs de computer op te starten doorzetten door een wachtwoord in te stellen in uw BIOS.

Het BIOS bevat de eerste software die moet worden uitgevoerd wanneer uw machine opstart. Omdat er geen manier is om dit te stoppen, het vertellen van het BIOS om een ​​wachtwoord te vragen tijdens het opstarten zal de meeste potentiële hackers dood houden. Bovendien maken moderne BIOS-implementaties verschillende wachtwoorden mogelijk die verschillende taken uitvoeren, en nieuwere harde schijven kunnen worden gemaakt om te werken in combinatie met het BIOS om te voorkomen dat geheimen worden onthuld.

Om een ​​BIOS-wachtwoord in te stellen, moet u naar de instellingsmodus gaan. De meeste moderne BIOS-implementaties reageren op het ingedrukt houden van [F2], [F10] of [Verwijderen]. In de handleiding van uw pc staat welke. Houd deze toets onmiddellijk na het inschakelen ingedrukt in gevallen waarin het BIOS-scherm te snel knippert.

Verschillende BIOS-typen hebben verschillende interfaces, maar over het algemeen zal er altijd een beveiligings- of wachtwoordscherm zijn. Er kunnen verschillende soorten wachtwoord zijn die u kunt instellen.

Wanneer u de computer opstart, is het wachtwoord dat u moet invoeren, het gebruikerswachtwoord. Wat moet echter voorkomen dat iemand het BIOS ingaat en verwijdert? Dat is de taak van het beheerderswachtwoord. Als u dit instelt, wordt het invoeren van de BIOS problematisch voor een hacker.

Omdat er technieken zijn voor het overschrijven van BIOS-wachtwoorden, hebben laptop BIOS-implementaties ook een HDD-wachtwoord. Dit wordt opgeslagen in de vaste schijfcontroller en moet worden geleverd voordat de schijf één byte toegang geeft.

Verzamelen van bewijsmateriaal

Als u denkt dat iemand uw pc zonder toestemming gebruikt, is het soms het beste om bewijsmateriaal te verzamelen en ze vervolgens te confronteren of stappen te ondernemen om te zorgen dat u een geldige reden hebt waarom ze het niet kunnen blijven gebruiken..

Een methode om dit te doen is om een ​​keylogger te installeren. Keyloggers worden niet altijd illegaal gebruikt. In sommige situaties kunnen ze worden gebruikt om te controleren of personeel alleen doet wat ze moeten doen en hun positie niet misbruiken.

Eerst een woord of waarschuwing: laat u nooit verleiden om een ​​keylogger of een ander stukje spyware te installeren op een computer die u niet persoonlijk bezit. Als je wordt betrapt en de zaak voor de rechtbank komt, zou je aansprakelijk kunnen zijn op grond van de Wet Misbruik van Computers en een gevangenisstraf en een boete krijgen van maximaal £ 5.000.

Er zijn veel gratis Windows-keyloggers. We gebruiken iSafe van iSafeSoft. De proefversie duurt zeven dagen, wat voldoende zou moeten zijn om ongeoorloofd gebruik van uw pc te ontdekken. Download het uitvoerbare bestand naar de pc die u wilt controleren (wat we het doel zullen noemen) en voer het uit.

Het installatieproces bestaat uit het eenvoudig accepteren van de licentieovereenkomst en de standaardinstellingen. Na installatie, druk op [Ctrl] + [Alt] + [Shift] + [X] en voer het standaard wachtwoord 123 in om de gebruikersinterface van de keylogger te openen.

Elk onderdeel van het systeem dat kan worden vastgelegd heeft een eigen pictogram. Bovenaan elk pictogram staat een nummer dat de records aangeeft die zijn verzameld. Als u wilt voorkomen dat uw activiteit wordt vastgelegd, klikt u op de groene knop 'Nu stoppen'.

Maak met iSafe-logging-evenementen een webbrowser open en voer een zoekterm in. Surf naar een paar sites en ga vervolgens terug naar de iSafe-gebruikersinterface. Klik op 'Log' bovenaan het scherm. Vouw in het linkerdeelvenster de gebruikersnaam uit die heeft gesurft en selecteer de categorie 'Website'.

In de rechtervensters ziet u de datums en tijden van elk onderdeel van de surfactiviteit, samen met de betreffende site. Selecteer een en het onderste paneel toont de details. Selecteer de categorie 'Keystroke' in het linkerdeelvenster en klik op een item uit het websurfverkeer dat u zojuist heeft gegenereerd. Het onderste paneel toont de exacte toetsaanslagen (inclusief verwijderingen en andere bewerkingen) en de ingevoerde tekst.

Een andere waardevolle functie is de Screenshot-categorie. Schermafbeeldingen worden met regelmatige tussenpozen genomen en vormen een krachtig bewijsmateriaal bij het zoeken naar ongewenste activiteiten door anderen. Terug op de hoofd-iSafe-interface, klik op het tabblad 'Screenshot' aan de linkerkant om toegang te krijgen tot de instellingen.

Standaard maakt iSafe elke minuut een opname, maar dit kan je harde schijf snel vullen. Het is nuttiger om een ​​foto van het actieve venster te maken. U kunt de hoeveelheid ruimte die door elke opname wordt genomen verder verminderen door de opnamekwaliteit te selecteren. Om de foto's te comprimeren (en ze te beschermen), selecteert u de optie om ze in een archief te comprimeren. Dit wordt beschermd door het iSafe-wachtwoord.

iSafe maakt geen screenshots wanneer de computer inactief is (met andere woorden, wanneer de verdachte het niet gebruikt). Om toch snaps te blijven maken, klik je op 'Setting' en vervolgens op 'Screenshot' in het resulterende rechterdeelvenster. Verwijder 'Neem geen schermafbeeldingen wanneer de gebruiker inactief is'.

Een uitstekende functie van de screenshot-faciliteit is de mogelijkheid om opnames te maken zodra iSafe detecteert dat de gebruiker een of meer specifieke trefwoorden heeft ingevoerd. Klik op het tabblad Screenshot op 'Smart Sense inschakelen' en de bijbehorende knoppen worden actief. Voer een trefwoord in en klik op 'Toevoegen' om het toe te voegen aan de lijst. Om het te verwijderen, selecteert u het en klikt u op 'Verwijderen'.

Meer instellingen

Het standaardwachtwoord is onveilig, dus klik op het tabblad 'Instellingen' en klik vervolgens op 'Algemeen'. Voer aan de rechterkant het oude 123-wachtwoord en een nieuw, langer wachtwoord in. Klik op 'Toepassen' om het te wijzigen. Met deze instelling kunt u veel andere handige opties instellen. U kunt bijvoorbeeld het gebruik van iSafe verbergen door de sneltoetsreeks te veranderen van de standaardwaarde van [Ctrl] + [Alt] + [Shift] + [X].

U kunt ook de parameters voor de Stealth-modus instellen. Deze omvatten het onzichtbaar worden in Taakbeheer. Klik op de categorie 'Gebruikers' en u kunt de gebruikers opgeven die u wilt controleren. Hiermee kunt u uw bewijsvergaring beperken tot alleen die personen of accounts die u vermoedt.

U kunt ook relevante gegevens per e-mail naar u laten e-mailen. Selecteer de categorie Levering en stel 'Logboeken bezorgen om te e-mailen' in op 'Aan'. Voer uw e-mailadres in en stel de opties in. Door uzelf e-mails te sturen, kunt u de informatie die door iSafe is vastgelegd, controleren wanneer uw verdachte gelooft dat ze veilig zijn. Mits je in je inbox kunt komen, kun je nog steeds zien wat ze van plan zijn.

Het bewijs verschuiven

In plaats van elke toetsaanslag, schermafbeelding en ander gegeven te doorlopen, kunt u een specifiek datumbereik targeten.

Klik in de hoofd-iSafe-interface op 'Logboek'. Selecteer een datum en klik op 'Bekijk log'. Alleen de items voor die dag worden getoond. U kunt ook de vorige zeven of 30 dagen selecteren of een aangepast bereik definiëren. Klik op de knop 'Aangepast' boven aan het scherm en voer de begin- en einddatums in voordat u op 'OK' klikt..

U kunt de logboeken en andere verzamelde informatie verwijderen met behulp van de knoppen boven aan de logweergave. U kunt hier ook een datumbereik of alle gegevens verwijderen om op schijfruimte te besparen.

Het verwijderen van iSafe nadat u klaar bent, is net zo eenvoudig als klikken op het pictogram 'Verwijderen' bovenaan de interface.