Vi har nyligen tittat på olika tekniker som du kan använda för att dölja data i Windows, från enkla filnamnstryck för att slutföra kryptering av operativsystemet. Nu ska vi vända på borden och upptäcka sätt att avslöja dold aktivitet.

Det finns många anledningar till varför någon kanske inte vill att du ska veta att din säkerhet har brutits. Det mest uppenbara är infektion med skadlig kod. Om du tror att andra kan använda din dator utan ditt samtycke kan problemen bli allvarliga. Vad håller de på med? Kommer folk anta att det var du?

Lyckligtvis är det enklare att ta reda på vad du kanske tror, ​​och du kan även övervaka din dator från din inkorg.

Explorerar Explorer

Hur kan du se om någon har ändrat eller till och med lagt till en ny fil till din dator?

Den enklaste metoden är att öppna Windows Explorer i ett konto med administratörsrättigheter över systemet. Klicka nu på "Organisera> Mapp och sökalternativ". Klicka på fliken "Visa" och i de avancerade inställningarna, se till att "Visa dolda filer, mappar och enheter" är markerad. Klicka på "OK".

Klicka nu på sökrutan i Utforskaren. Detta kommer att avslöja flera sökkriterier, inklusive "Ändrat datum". Klicka här och en kalender visas tillsammans med några intressanta alternativ, inklusive "Tidigare i veckan". Klicka på en av dessa och tryck på [Enter]. Alla filer som ändrats sedan den här tiden, inklusive dolda, kommer att listas. Finns det något som du inte gillar utseendet på?

Naturligtvis är mycket av dagens malware kapabel att faking modifiera tiden på en fil för att gömma sig från den här sökningen. Den värsta skadliga programvaran, rootkit, behåller sin anonyma närvaro genom att inte bara faking modifikationstider, men också se till att det lurar operativsystemet i att återkomma resultat som gör allt som verkar okej. Rotkit kan sedan tillåta annan skadlig kod, som en keylogger, att köra.

För att upptäcka denna typ av infektion behöver vi ett sätt att undersöka disken medan Windows sover. Läs en sovande dator Det enklaste sättet att uppnå detta är att starta en Linux-live-CD, montera disken och ta en titt.

Vad letar vi efter? Lyckligtvis behöver vi inte veta. Flera säkerhetsleverantörer distribuerar Linux-live-CD-skivor som är utformade för att helt enkelt köra en Windows-antivirusskanner. Utan att ett omvändt Windows-system kommer i vägen är all skadlig kod naken och synlig.

En sådan skiva är Avira Rescue CD. Du kan ladda ner ISO-filen och bränna den till en startbar skiva med din favoritprogramvara, men det finns ett annat alternativ. Om du hämtar och kör EXE-versionen hittar du att den innehåller brännarprogram. Du kommer att bli ombedd att sätta in en DVD, varefter ISO kommer att packas upp och brännas till skiva, redo att starta.

Om du använder ett trådlöst nätverkskort måste du ansluta din dator till din bredbandsrouter med en kabel om Linux inte innehåller en drivrutin för ditt trådlösa kort.

När du startar räddningsskivan kommer du att mötas av en startmeny. Tryck på [Enter] för att fortsätta starta upp. Avira-scannern laddas och körs.

Programvaran har fyra flikar. Klicka på "Uppdatera" och klicka sedan på "Ja" i fönstret som visas om du vill uppdatera malwaredefinitionerna. När du är klar klickar du på fliken Konfiguration. Se till att i avsnittet Scanmetod är det valda alternativet "Alla filer". Se även till att du markerar kryssrutorna för skämtprogram, säkerhetsrisker för integritet och runtime-komprimeringsverktyg. Det här sista alternativet är viktigt eftersom vissa skadliga program stannar säkert komprimerade tills den körs och därigenom döljer dess syfte.

Slutligen klickar du på fliken "Virusskanner" och klickar på "Startskanner". När skanningen är klar och eventuella smutsiga infektioner har identifierats och förhoppningsvis fixats kan du klicka på "Stäng av" och antingen stänga av datorn eller starta om. När Linux har stängt sig kan du ta bort DVD: n och starta till Windows.

Spårningsaktivitet

Ett annat stort problem, speciellt om du måste lämna datorn oövervakad ett tag, är en interloper som använder den utan din tillåtelse. Om någon verkligen vill läsa hårddisken, startar en Linux-live-CD så att de kan montera din skiva och läsa vad de vill.

Om du inte vill kryptera hela ditt operativsystem som vi visade det senaste problemet med TrueCrypt, kan du motverka deras försök att ens starta datorn genom att ange ett lösenord på din BIOS.

BIOS innehåller den första mjukvaran som ska köras när din maskin startar upp. Eftersom det inte finns något sätt att stoppa detta, berättar BIOS att fråga om ett lösenord vid starttid stoppar de flesta hackare som är döda. Dessutom möjliggör moderna BIOS-implementeringar flera olika lösenord som utför olika jobb, och nyare hårddiskar kan göras för att fungera tillsammans med BIOS för att förhindra att hemligheter avslöjas.

För att ställa in ett BIOS-lösenord måste du komma in i sitt installationsläge. De flesta moderna BIOS-implementeringar svarar på att hålla ner [F2], [F10] eller [Delete]. Din PC: s manual kommer att berätta vilken. Håll den här knappen omedelbart efter strömmen i de fall där BIOS-skärmen blinkar för snabbt.

Olika BIOS-typer har olika gränssnitt, men i allmänhet kommer det alltid att finnas en säkerhets- eller lösenordsskärm. Det kan finnas olika typer av lösenord du kan ställa in.

När du startar datorn är lösenordet som du ombeds ange användarnamnet. Men vad är det för att stoppa någon att gå in i BIOS och ta bort den? Det är jobbet för handledarens lösenord. Om du ställer in detta blir det även problematiskt för en hackare att komma in i BIOS.

Eftersom det finns tekniker för överordnade BIOS-lösenord, har bärbara BIOS-implementeringar också ett HDD-lösenord. Detta lagras i hårddiskkontrollen och måste levereras innan disken ger upp en byte av åtkomst.

Bevissamling

Om du tror att någon använder din dator utan tillstånd, är det ibland det bästa att samla bevis, då konfronterar du dem eller vidtar åtgärder för att du ska få en legitim anledning till att de inte kan fortsätta använda den.

En metod att göra detta är att installera en keylogger. Keyloggers används inte alltid olagligt. I vissa situationer kan de användas för att kontrollera att personal bara gör vad de ska och inte missbrukar sin position.

Ett ord eller en varning först: Be aldrig frestad att installera en keylogger eller någon annan del av spionprogram på en dator som du inte personligen äger. Om du är fångad och ärendet går till domstol, kan du vara ansvarig enligt lagen om missbruk av datorer och få en fängelsestraff och en böter på upp till 5 000 kr.

Det finns många gratis Windows keyloggers. Vi använder iSafe från iSafeSoft. Försöksversionen kommer att ligga i sju dagar, vilket borde räcka för att upptäcka obehörig användning av din dator. Ladda ner körbar till den dator du vill övervaka (som vi ringer upp målet) och kör det.

Installationsprocessen består av att helt enkelt acceptera licensavtalet och standardinställningarna. När du har installerat trycker du på [Ctrl] + [Alt] + [Shift] + [X] och anger standard lösenord 123 för att öppna keyloggerens användargränssnitt.

Varje del av systemet som kan loggas har en egen ikon. Överst på varje ikon finns ett nummer som anger vilka poster som har samlats in. För att stoppa aktiviteten loggas klickar du på den gröna knappen som markeras "Stopp nu".

Med iSafe-loggningshändelser kan du försöka öppna en webbläsare och skriva in en sökfras. Surfa till några webbplatser och gå tillbaka till iSafe-användargränssnittet. Klicka på "Logga" längst upp på skärmen. I den vänstra panelen, expandera användarnamnet som surfade och välj kategorin "Webbplats".

I de högra rutorna ser du datum och tider för varje element av surfaktivitet tillsammans med den aktuella platsen. Välj en och den nedre panelen visar detaljerna. Välj kategorin "Tangenttryck" i panelen till vänster och klicka på en post från webbsurfningstrafiken du just skapat. Den nedre rutan visar exakta tangenttryckningar (inklusive raderingar och andra ändringar) och texten inmatades.

En annan värdefull funktion är kategorin Skärmdump. Skärmdumpar tas med jämna mellanrum, och är ett kraftfullt bevis när man letar efter otvivla aktiviteter från andra. Tillbaka på det huvudsakliga iSafe-gränssnittet, klicka på fliken "Skärmdump" till vänster för att komma åt inställningarna.

ISafe gör som standard en inspelning varje minut, men det kan snart fylla din hårddisk. Det är mer användbart att ta ett skott av det aktiva fönstret. Du kan ytterligare minska mängden utrymme som tas av varje skott genom att välja inspelningskvaliteten. För att komprimera skotten (och skydda dem), välj alternativet för att komprimera dem i ett arkiv. Detta skyddas av iSafe-lösenordet.

iSafe tar inte skärmdumpar när datorn är vilolös (med andra ord när misstänkt inte använder det). För att fortsätta ta snaps ändå, klicka på "Inställning" och klicka sedan på "Skärmdump" i den högra rutan som följer. Avmarkera "Ta inte skärmdumpar när användaren är inaktiv."

En utmärkt funktion av skärmdumpen är möjligheten att börja ta bilder så snart iSafe upptäcker att användaren har angett ett eller flera angivna nyckelord. På fliken Skärmbild klickar du på "Aktivera Smart Sense" och associerade knappar blir aktiva. Ange ett nyckelord och klicka på "Lägg till" för att lägga till det i listan. För att ta bort det, välj det och klicka på "Ta bort".

Fler inställningar

Standardlösenordet är osäkert, klicka sedan på fliken Inställningar och klicka sedan på Allmänt. Till höger anger du det gamla 123-lösenordet och en ny, längre en. Klicka på "Apply" för att ändra den. Inställningen låter dig ställa in många andra användbara alternativ. Du kan till exempel dölja användningen av iSafe genom att ändra snabbvalssekvensen från standardinställningen för [Ctrl] + [Alt] + [Shift] + [X].

Du kan också ställa in parametrarna för Stealth-läget. Dessa inkluderar att bli osynliga i Task Manager. Klicka på användarkategorin och du kan ange vilka användare du vill övervaka. Detta gör att du kan begränsa din bevisuppsamling till bara de personer eller konton du misstänker.

Du kan också få relevant information till dig. Välj Leverans kategori och sätt 'Leverera loggar till e-post' till 'På'. Ange din e-postadress och ange alternativen. Emaila dig själv informationen som fångats av iSafe gör det möjligt för dig att övervaka aktiviteten när din misstänkt tror att de är säkra. Förutsatt att du kan komma till din inkorg, kan du fortfarande se vad de ska göra.

Siffrera bevisen

Snarare än att behöva ploga genom varje tangenttryckning, skärmdump och annan information, kan du rikta in ett visst datumintervall.

På huvud iSafe-gränssnittet klickar du på "Logga". Välj ett datum och klicka på "Visa logg". Endast uppgifterna för den dagen visas. Du kan också välja de föregående sju eller 30 dagarna, eller definiera ett anpassat intervall. Klicka på knappen "Anpassad" längst upp på skärmen och ange start- och slutdatum innan du klickar på "OK".

Du kan ta bort loggarna och annan samlad information med knapparna längst upp i loggvyn. Du kan också radera ett datumintervall eller alla data här för att spara på diskutrymme.

Avinstallera iSafe när du är klar är så enkelt som att klicka på ikonen "Avinstallera" längst upp i gränssnittet.