Nous avons récemment examiné diverses techniques que vous pouvez utiliser pour masquer des données dans Windows, allant de simples manipulations de nom de fichier à un cryptage complet du système d'exploitation. Maintenant, nous allons renverser la situation et découvrir des moyens de découvrir une activité cachée.

Il y a de nombreuses raisons pour lesquelles quelqu'un pourrait ne pas vouloir que vous sachiez que votre sécurité a été violée. Le plus évident est l’infection par des logiciels malveillants. Si vous pensez que d'autres personnes utilisent peut-être votre PC sans votre consentement, les problèmes peuvent devenir graves. Que font-ils? Est-ce que les gens vont supposer que c'était toi?

Heureusement, le savoir est plus facile que vous ne le pensez et vous pouvez même surveiller votre ordinateur à partir de votre boîte de réception..

Exploring Explorer

Comment savoir si quelqu'un a modifié ou même ajouté un nouveau fichier sur votre ordinateur?

La méthode la plus simple consiste à ouvrir l'Explorateur Windows dans un compte doté de droits d'administrateur sur le système. Cliquez maintenant sur 'Organiser> Options des dossiers et de recherche'. Cliquez sur l'onglet "Affichage" et dans les paramètres avancés, assurez-vous que "Afficher les fichiers, dossiers et lecteurs cachés" est sélectionné. Cliquez sur OK'.

Maintenant, cliquez sur le champ de recherche dans l'Explorateur Windows. Cela révélera plusieurs critères de recherche, notamment «Date de modification». Cliquez dessus et un calendrier apparaît avec quelques options intéressantes, y compris «Plus tôt cette semaine». Cliquez sur l'un d'eux et appuyez sur [Entrée]. Tous les fichiers modifiés depuis ce moment, y compris les fichiers cachés, seront listés. Y a-t-il quelque chose que vous n'aimez pas le look de?

Bien entendu, une grande partie des malwares actuels sont capables de simuler le temps de modification d'un fichier pour le masquer de cette recherche. Le pire logiciel malveillant, le rootkit, maintient sa présence anonyme non seulement en simulant les temps de modification, mais en s'assurant également qu'il trompe le système d'exploitation en renvoyant des résultats qui donnent l'impression que tout va bien. Le rootkit peut alors permettre à d’autres logiciels malveillants, comme un enregistreur de frappe, de fonctionner..

Pour découvrir ce type d'infection, nous avons besoin d'un moyen d'examiner le disque pendant que Windows dort. Lire un PC en veille Le moyen le plus simple d'y parvenir est de démarrer un live CD Linux, de monter le disque et de regarder autour de vous..

Que cherchons-nous? Heureusement, nous n'avons pas besoin de savoir. Plusieurs fournisseurs de sécurité distribuent des disques Linux Live CD conçus pour exécuter simplement un scanner antivirus Windows. En l'absence d'un système Windows subverti, tous les logiciels malveillants sont nus et visibles.

L'un de ces disques est le CD Avira Rescue. Vous pouvez télécharger le fichier ISO et le graver sur un disque amorçable à l'aide de votre logiciel préféré, mais il existe une autre option. Si vous téléchargez et exécutez la version EXE, vous constaterez qu'elle contient un logiciel de gravure. Vous serez invité à insérer un DVD, après quoi l'ISO sera décompressé et gravé sur disque, prêt à démarrer.

Si vous utilisez une carte réseau sans fil, vous devrez connecter votre PC à votre routeur large bande avec un câble si Linux ne contient pas de pilote pour votre carte sans fil..

Lorsque vous démarrez le disque de secours, vous serez accueilli par un menu de démarrage. Appuyez sur [Entrée] pour continuer le démarrage. Le scanner Avira se chargera et fonctionnera.

Le logiciel a quatre onglets. Cliquez sur 'Mettre à jour' puis cliquez sur 'Oui' dans la fenêtre qui s'affiche vous demandant si vous souhaitez mettre à jour les définitions de programmes malveillants. Une fois terminé, cliquez sur l'onglet 'Configuration'. Assurez-vous que l'option sélectionnée est "Tous les fichiers" dans la section Méthode de numérisation. Veillez également à cocher les cases correspondant aux programmes Joke, aux risques de confidentialité pour la sécurité et aux utilitaires de compression à l'exécution. Cette dernière option est importante car certains logiciels malveillants restent compressés de manière sécurisée jusqu'à ce qu'ils soient exécutés, occultant ainsi leur objectif..

Enfin, cliquez sur l'onglet "Analyseur de virus", puis sur "Démarrer l'analyse". Une fois l'analyse terminée et toutes les infections furtives identifiées et, espérons-le, réparées, vous pouvez cliquer sur "Arrêter" et ensuite éteindre l'ordinateur ou redémarrer. Une fois que Linux s’est éteint, vous pouvez retirer le DVD et démarrer sous Windows..

Activité de suivi

Un autre problème majeur, en particulier si vous devez laisser votre PC sans surveillance pendant un moment, est un intrus qui l'utilise sans votre permission. Si quelqu'un veut vraiment lire votre disque dur, le démarrage d'un live CD Linux lui permettra de monter votre disque et de lire ce qu'il veut..

Si vous ne souhaitez pas chiffrer l'intégralité de votre système d'exploitation, comme nous l'avons montré lors du dernier problème, utilisez TrueCrypt, vous pouvez déjouer leurs tentatives de démarrage de l'ordinateur en définissant un mot de passe dans votre BIOS..

Le BIOS contient le premier logiciel à exécuter lorsque votre ordinateur est mis sous tension. Parce qu'il n'y a aucun moyen d'arrêter cela, dire au BIOS de demander un mot de passe au démarrage arrêtera la plupart des pirates informatiques potentiels. De plus, les implémentations modernes du BIOS autorisent l'utilisation de plusieurs mots de passe différents pour des tâches différentes. De plus, les disques durs les plus récents peuvent fonctionner en conjonction avec le BIOS pour empêcher la divulgation de secrets..

Pour définir un mot de passe BIOS, vous devez entrer dans son mode de configuration. La plupart des implémentations de BIOS modernes répondent au maintien enfoncé sur [F2], [F10] ou [Delete]. Le manuel de votre PC vous dira lequel. Maintenez cette touche immédiatement après la mise sous tension dans les cas où l'écran du BIOS clignote trop rapidement.

Différents types de BIOS ont des interfaces différentes, mais en général, il y aura toujours un écran de sécurité ou un mot de passe. Il peut y avoir différents types de mot de passe que vous pouvez définir.

Lorsque vous démarrez l'ordinateur, le mot de passe que vous êtes invité à saisir est le mot de passe de l'utilisateur. Cependant, qu'est-ce qui empêche quelqu'un d'entrer dans le BIOS et de le supprimer? C'est le travail du mot de passe superviseur. Si vous définissez cela, alors même entrer dans le BIOS devient problématique pour un pirate informatique.

Comme il existe des techniques pour remplacer les mots de passe du BIOS, les implémentations du BIOS des ordinateurs portables ont également un mot de passe disque dur. Ceci est stocké dans le contrôleur de disque dur et doit être fourni avant que le disque ne donne un octet d'accès.

Collecte de preuves

Si vous pensez que quelqu'un utilise votre PC sans autorisation, la meilleure chose à faire est parfois de rassembler des preuves, puis confrontez-les ou prenez des mesures pour que vous disposiez d'une raison légitime qui les empêche de continuer à l'utiliser..

Une méthode consiste à installer un enregistreur de frappe. Les enregistreurs de frappe ne sont pas toujours utilisés illégalement. Dans certaines situations, ils peuvent être utilisés pour vérifier que le personnel ne fait que ce qu'il est censé faire et ne pas abuser de sa position.

Un mot ou un avertissement d’abord: Ne soyez jamais tenté d’installer un enregistreur de frappe ou tout autre logiciel espion sur un ordinateur qui ne vous appartient pas personnellement. Si vous êtes pris et que l'affaire passe devant les tribunaux, vous pourriez être tenu responsable en vertu de la loi sur l'utilisation abusive d'ordinateurs, et vous encourez une peine de prison et une amende pouvant aller jusqu'à 5 000 £..

Il existe de nombreux keyloggers Windows gratuits. Nous utiliserons iSafe de iSafeSoft. La version d'évaluation durera sept jours, ce qui devrait être suffisant pour découvrir une utilisation non autorisée de votre PC. Téléchargez le fichier exécutable sur le PC que vous souhaitez surveiller (que nous appellerons la cible) et exécutez-le..

Le processus d'installation consiste simplement à accepter le contrat de licence et les valeurs par défaut. Une fois installé, appuyez sur [Ctrl] + [Alt] + [Shift] + [X] et entrez le mot de passe par défaut 123 pour ouvrir l'interface utilisateur du keylogger..

Chaque partie du système pouvant être enregistrée a sa propre icône. En haut de chaque icône se trouve un numéro indiquant les enregistrements collectés. Pour arrêter l'enregistrement de votre activité, cliquez sur le bouton vert «Arrêter maintenant»..

Avec les événements de journalisation iSafe, essayez d’ouvrir un navigateur Web et de saisir une phrase de recherche. Naviguez sur quelques sites, puis revenez à l'interface utilisateur iSafe. Cliquez sur "Journal" en haut de l'écran. Dans le panneau de gauche, développez le nom d'utilisateur qui a effectué la navigation et sélectionnez la catégorie "Site Web"..

Dans les volets de droite, vous verrez les dates et heures de chaque élément de l'activité de surf, ainsi que le site concerné. Sélectionnez-en un et le panneau inférieur affiche les détails. Sélectionnez la catégorie "Séquence de touches" dans le panneau de gauche et cliquez sur une entrée du trafic de navigation sur le Web que vous venez de générer. Le volet inférieur affiche les séquences de touches exactes (y compris les suppressions et autres modifications), ainsi que le texte saisi..

Une autre fonctionnalité intéressante est la catégorie Capture d'écran. Les captures d'écran sont prises à intervalles réguliers et constituent un élément de preuve puissant lorsque vous recherchez des activités indésirables effectuées par d'autres. De retour sur l'interface principale d'iSafe, cliquez sur l'onglet 'Capture d'écran' à gauche pour accéder aux paramètres..

Par défaut, iSafe effectue une capture toutes les minutes, mais cela pourrait bientôt remplir votre disque dur. Il est plus utile de prendre une photo de la fenêtre active. Vous pouvez réduire davantage la quantité d'espace occupé par chaque prise en sélectionnant la qualité de capture. Pour compresser les plans (et les protéger), sélectionnez l'option permettant de les compresser dans une archive. Ceci est protégé par le mot de passe iSafe.

iSafe ne prend pas de capture d'écran lorsque l'ordinateur est inactif (en d'autres termes, lorsque le suspect ne l'utilise pas). Quoi qu'il en soit, pour continuer à prendre des clichés, cliquez sur "Paramètre", puis sur "Capture" dans le volet de droite résultant. Décochez "Ne prenez pas de captures d'écran lorsque l'utilisateur est inactif".

Une fonction excellente de la fonction de capture d'écran est la possibilité de commencer à prendre des photos dès que iSafe détecte que l'utilisateur a saisi un ou plusieurs mots-clés spécifiés. Dans l'onglet Capture d'écran, cliquez sur "Activer Smart Sense" pour activer les boutons associés. Entrez un mot clé et cliquez sur 'Ajouter' pour l'ajouter à la liste. Pour le supprimer, sélectionnez-le et cliquez sur 'Supprimer'.

Plus de réglages

Le mot de passe par défaut n'est pas sécurisé. Cliquez donc sur l'onglet "Paramètres", puis sur "Général". À droite, entrez l'ancien mot de passe 123 et un nouveau, plus long. Cliquez sur 'Apply' pour le changer. Ce paramètre vous permet de définir de nombreuses autres options utiles. Par exemple, vous pouvez masquer l'utilisation d'iSafe en modifiant la séquence de raccourcis clavier par défaut de [Ctrl] + [Alt] + [Maj] + [X]..

Vous pouvez également définir les paramètres pour le mode Stealth. Cela inclut le fait de devenir invisible dans le gestionnaire de tâches. Cliquez sur la catégorie 'Utilisateurs' et vous pourrez spécifier les utilisateurs que vous souhaitez surveiller. Cela vous permet de limiter votre collecte de preuves aux seules personnes ou comptes suspects..

Vous pouvez également recevoir des données pertinentes par courrier électronique. Sélectionnez la catégorie Livraison et réglez "Livrer les journaux au courrier électronique" sur "Activé". Entrez votre adresse e-mail et définissez les options. L'envoi par courrier électronique des informations saisies par iSafe vous permettra de surveiller l'activité lorsque votre suspect pense qu'il est en sécurité. Si vous pouvez accéder à votre boîte de réception, vous pouvez toujours voir ce qu'ils préparent.

Passer au crible les preuves

Plutôt que de devoir parcourir chaque frappe, capture d'écran et autre élément d'information, vous pouvez cibler une plage de dates spécifique..

Sur l'interface principale d'iSafe, cliquez sur 'Log'. Sélectionnez une date et cliquez sur 'Afficher le journal'. Seules les entrées de ce jour sont affichées. Vous pouvez également sélectionner les sept ou 30 derniers jours ou définir une plage personnalisée. Cliquez sur le bouton "Personnaliser" en haut de l'écran, puis entrez les dates de début et de fin avant de cliquer sur "OK"..

Vous pouvez supprimer les journaux et autres informations collectées à l'aide des boutons situés en haut de la vue du journal. Vous pouvez également supprimer une plage de dates ou toutes les données ici pour économiser de l'espace disque..

Désinstaller iSafe après avoir terminé est aussi simple que de cliquer sur l'icône 'Désinstaller' en haut de l'interface..