Я подозреваю, что к моему компьютеру мог получить доступ кто-то неавторизованный. Как будто я вижу, что мои закладки браузера меняются и т.д. И т.д.
Итак, что я могу сделать, чтобы отслеживать активность моего ПК? Я использую Windows 7, но я хотел бы знать, что могут сделать пользователи Linux в этом случае.
Не упоминайте изменение пароля или простые предложения. Я ищу какой-либо инструмент или способ контролировать деятельность моего компьютера. Логи (файл) в основном.
По сути, вы не можете знать это (не наверняка) без полного аудита ПК. По определению, тот, кто контролирует ваш компьютер, контролирует то, что вы видите на ПК.
Что вы можете сделать, чтобы быть достаточно уверенным, так это проверить (сканирование корневого комплекта, сканирование на вирусы, проверить файлы, которые вы не установили / не создали и т.д.) На ПК с помощью live CD с Linux, поскольку при загрузке он обходит то, что находится на компьютере , Не доверяйте Windows Live CD для этого; Неофициальные источники, из которых поступают Windows Live CD, наряду с такими проблемами, как автозапуск, делают это ненадежным.
В качестве альтернативы живому компакт-диску, проверьте сетевой трафик, входящий / выходящий из машины снаружи от самой машины. Другими словами, посмотрите на свой маршрутизатор или установите концентратор или сетевой ответвитель (не коммутатор) между машиной и остальной частью сети, затем изучите пакеты, идущие назад и вперед, используемые протоколы, IP-адреса / домены, к которым осуществляется доступ, порты, с которыми осуществляется связь, и т. д. В идеале вы должны делать это с помощью кабеля, который пропускает только 1 путь (т. Е. Обрезает обратные провода), так что машина, проверяющая трафик, также не может быть скомпрометирована. Wireshark - это тот инструмент, который вам нужен для проверки трафика с ПК / ноутбука.
Если машина, которую вы на самом деле хотите проверить, является виртуальной машиной, это намного проще - просто запустите wireshark на хосте и проверьте соответствующие (обычно виртуальные) интерфейсы или просканируйте виртуальный раздел (возможно, после преобразования его в необработанный файл или монтирования). это с флагом linux/unix noexec и без активных функций, похожих на автозапуск) с хоста.
НО, сказав все это, если доходит до того, что вы больше не можете доверять своей машине, вам, вероятно, следует просто подумать об этом и начать все сначала: переустановите машину, затем проверьте и восстановите ДАННЫЕ (НЕ программы; убедитесь, что ваши резервные копии разделяют два).
Действительно, вы хотите иметь надлежащее разделение привилегий и контроль над приложениями: права не-администратора для вашей обычной учетной записи пользователя, двусторонняя (входящая и исходящая) авторизация брандмауэра, чтобы не дать мошенническим приложениям просто открывать порты с помощью UPNP, NoScript (плагин firefox) ), Adblock и др. В бизнес-ситуации следует использовать надлежащий внешний брандмауэр и прокси-сервер фильтрации, систему обнаружения вторжений, систему мониторинга и т.д., Чтобы убедиться, что вы ЗНАЕТЕ, что входит и выходит из вашей машины, без необходимости аудита.
Посмотрите в журналах безопасности Windows. Там вы можете увидеть подробную информацию о входах в систему. Если вы видите вход в систему в то время, когда вы были там, то вы знаете, что кто-то другой использовал его.
Щелкните правой кнопкой мыши значок «Мой компьютер», выберите «Управление», «Просмотр событий», «Журналы Windows», затем «Безопасность».
Возможно, вы не отвечаете на ваш вопрос полностью, но, возможно, вы найдете это полезным независимо от того, что: если вы действительно подозрительны, вы всегда можете использовать окна, встроенные в поиск, и сканировать измененные файлы. Нажмите клавишу Windows + S, а затем введите «Изменено: 13.08.2011 .. 14.08.2011», чтобы найти все файлы, которые были изменены. С этого момента вы должны выяснить, были ли некоторые ваши файлы изменены, пока вы находитесь вдали, и есть ли вероятность, что за это ответственный злоумышленник. Кроме того, что я предлагаю вам прочитать также то, что Ли написал здесь. Этот метод, возможно, не будет иметь большого значения в зависимости от навыков возможного злоумышленника. Кроме того, для вашей информации Microsoft предоставляет программу под названием автозапуск (sysinternals), которая поможет вам определить, какие программы запускаются автоматически.
