Recentemente, analisamos várias técnicas que você pode usar para ocultar dados no Windows, desde truques simples de nomes de arquivos até a criptografia completa do sistema operacional. Agora vamos virar a mesa e descobrir maneiras de descobrir atividades ocultas.

Existem muitas razões pelas quais alguém pode não querer que você saiba que sua segurança foi violada. O mais óbvio é a infecção por malware. Se você acredita que outras pessoas podem estar usando seu PC sem o seu consentimento, os problemas podem se tornar sérios. O que eles estão fazendo? As pessoas assumirão que foi você?

Felizmente, descobrir é mais fácil do que você imagina, e você pode até monitorar seu computador da sua caixa de entrada..

Explorando o Explorer

Como você pode saber se alguém modificou ou até mesmo adicionou um novo arquivo ao seu computador?

O método mais fácil é abrir o Windows Explorer em uma conta com direitos de administrador no sistema. Agora clique em "Organizar> Opções de pasta e pesquisa". Clique na guia "Visualizar" e, nas configurações avançadas, verifique se "Mostrar arquivos, pastas e unidades ocultos" está selecionado. Clique OK'.

Agora clique na caixa de pesquisa no Windows Explorer. Isso revelará vários critérios de pesquisa, incluindo "Data de modificação". Clique aqui e um calendário aparece junto com algumas opções interessantes, incluindo "Mais cedo esta semana". Clique em um desses e pressione [Enter]. Todos os arquivos modificados desde esse momento, incluindo os ocultos, serão listados. Existe alguma coisa que você não gosta da aparência de?

Naturalmente, muito do malware de hoje é capaz de falsificar o tempo de modificação em um arquivo para se esconder dessa pesquisa. O pior malware, o rootkit, mantém sua presença anônima não apenas falsificando os tempos de modificação, mas também garantindo que o sistema operacional retorne resultados que fazem tudo parecer correto. O rootkit pode então permitir que outros malwares, como um keylogger, sejam executados.

Para descobrir esse tipo de infecção, precisamos de uma maneira de examinar o disco enquanto o Windows dorme. Leia um computador para dormir A maneira mais fácil de conseguir isso é inicializar um live CD do Linux, montar o disco e dar uma olhada.

O que você está procurando? Por sorte, não precisamos saber. Diversos fornecedores de segurança distribuem CDs live Linux projetados para simplesmente executar um antivírus do Windows. Sem um sistema Windows subvertido atrapalhando, todo o malware está nu e visível.

Um desses discos é o CD do Avira Rescue. Você pode baixar o arquivo ISO e gravá-lo em um disco inicializável usando seu software favorito, mas há outra opção. Se você baixar e executar a versão EXE, verá que ela contém o software do gravador. Você será solicitado a inserir um DVD, após o qual o ISO será descompactado e gravado em disco, pronto para inicializar.

Se você estiver usando uma placa de rede sem fio, você terá que conectar seu PC em seu roteador de banda larga com um cabo se o Linux não contiver um driver para sua placa wireless..

Quando você inicializa o disco de recuperação, você será atendido por um menu de inicialização. Pressione [Enter] para continuar a inicialização. O scanner da Avira será carregado e executado.

O software tem quatro guias. Clique em "Atualizar" e, em seguida, clique em "Sim" na janela que aparece perguntando se você deseja atualizar as definições de malware. Depois de concluído, clique na guia "Configuração". Certifique-se de que na seção Método de verificação, a opção selecionada seja 'Todos os arquivos'. Certifique-se também de selecionar as caixas de seleção para os programas de piada, os riscos de privacidade de segurança e os utilitários de compactação de tempo de execução. Esta última opção é importante porque alguns malwares permanecem compactados com segurança até serem executados, obscurecendo assim sua finalidade.

Por fim, clique na guia "Verificador de vírus" e clique em "Iniciar scanner". Quando a verificação estiver concluída e todas as infecções furtivas tiverem sido identificadas e consertadas, você poderá clicar em 'Desligar' e desligar o computador ou reinicializar. Uma vez que o Linux se desligou, você pode remover o DVD e inicializar no Windows.

Atividade de rastreamento

Outro grande problema, especialmente se você tiver que deixar seu PC sem supervisão por algum tempo, é um intruso usando-o sem a sua permissão. Se alguém realmente quiser ler o seu disco rígido, inicializar um live CD do Linux permitirá que eles montem o seu disco e leiam o que quiserem..

Se você não quiser criptografar todo o seu sistema operacional como demonstramos o último problema usando TrueCrypt, você pode frustrar suas tentativas de inicializar o computador, definindo uma senha no seu BIOS.

O BIOS contém o primeiro software a ser executado quando a sua máquina é ligada. Como não há como parar isso, pedir à BIOS que peça uma senha no momento da inicialização parará a maioria dos possíveis hackers mortos. Além disso, as modernas implementações de BIOS permitem várias senhas diferentes que executam trabalhos diferentes, e discos rígidos mais recentes podem ser usados ​​para trabalhar em conjunto com o BIOS para evitar que os segredos sejam revelados..

Para definir uma senha do BIOS, você precisa entrar em seu modo de configuração. A maioria das implementações modernas do BIOS respondem a pressionar [F2], [F10] ou [Delete]. O manual do seu PC lhe dirá qual. Segure esta tecla imediatamente após ligar nos casos em que a tela da BIOS pisca rapidamente.

Diferentes tipos de BIOS têm interfaces diferentes, mas em geral sempre haverá uma tela de segurança ou senha. Pode haver diferentes tipos de senha que você pode definir.

Quando você inicializa o computador, a senha solicitada é a senha do usuário. No entanto, o que impede alguém de entrar no BIOS e removê-lo? Esse é o trabalho da senha do supervisor. Se você definir isso, até mesmo entrar no BIOS torna-se problemático para um hacker.

Como existem técnicas para substituir as senhas do BIOS, as implementações do BIOS do laptop também possuem uma senha do disco rígido. Isso é armazenado no controlador de disco rígido e deve ser fornecido antes que o disco libere um byte de acesso.

Coleta de evidências

Se você acha que alguém está usando seu PC sem permissão, às vezes o melhor é coletar evidências e, em seguida, confrontá-las ou tomar medidas para garantir que você tenha um motivo legítimo para que elas não possam continuar a usá-las..

Um método para fazer isso é instalar um keylogger. Keyloggers nem sempre são usados ​​ilegalmente. Em algumas situações, eles podem ser usados ​​para verificar se o pessoal está apenas fazendo o que deve e não abusando de sua posição..

Uma palavra ou aviso primeiro: Nunca seja tentado a instalar um keylogger ou qualquer outro tipo de spyware em um computador que você não possua pessoalmente. Se você for pego e o caso for ao tribunal, você pode ser responsabilizado pelo Ato de Uso Indevido de Computadores e receber uma sentença de prisão e uma multa de até £ 5.000..

Existem muitos keyloggers gratuitos do Windows. Usaremos o iSafe da iSafeSoft. A versão de teste durará sete dias, o que deve ser suficiente para descobrir o uso não autorizado do seu PC. Baixe o executável para o PC que você deseja monitorar (que vamos chamar de alvo) e execute-o.

O processo de instalação consiste em simplesmente aceitar o contrato de licença e os padrões. Uma vez instalado, pressione [Ctrl] + [Alt] + [Shift] + [X] e digite a senha padrão 123 para abrir a interface do usuário do keylogger..

Cada parte do sistema que pode ser registrada possui seu próprio ícone. No topo de cada ícone há um número, indicando os registros que foram coletados. Para impedir que sua atividade seja registrada, clique no botão verde "Parar agora".

Com os eventos de registro do iSafe, tente abrir um navegador da Web e inserir uma frase de pesquisa. Navegue para alguns sites e volte para a interface do usuário do iSafe. Clique em "Log" no topo da tela. No painel esquerdo, expanda o nome de usuário que fez a navegação e selecione a categoria "Website".

Nos painéis do lado direito, você verá as datas e horários de cada elemento da atividade de surfe, juntamente com o site envolvido. Selecione um e o painel inferior mostra os detalhes. Selecione a categoria "Toque de tecla" no painel à esquerda e clique em uma entrada do tráfego de navegação na Web que você acabou de gerar. O painel inferior mostra as teclas exatas (incluindo exclusões e outras edições) e o texto digitado.

Outro recurso valioso é a categoria Screenshot. As capturas de tela são feitas em intervalos regulares e são uma evidência poderosa quando se procura atividades indesejáveis ​​de outras pessoas. De volta à interface principal do iSafe, clique na guia "Captura de tela" à esquerda para acessar as configurações.

Por padrão, o iSafe faz uma captura a cada minuto, mas isso pode em breve preencher seu disco rígido. É mais útil tirar uma foto da janela ativa. Você pode reduzir ainda mais a quantidade de espaço ocupado por cada foto, selecionando a qualidade de captura. Para comprimir as fotos (e protegê-las), selecione a opção para compactá-las em um arquivo. Isso é protegido pela senha do iSafe.

O iSafe não tira screenshots quando o computador está ocioso (em outras palavras, quando o suspeito não o está usando). Para continuar tirando fotos de qualquer maneira, clique em "Configurações" e, em seguida, clique em "Captura de tela" no painel direito resultante. Desmarque 'Não tire screenshots quando o usuário estiver ocioso.'

Uma excelente função do recurso de captura de tela é a capacidade de começar a tirar fotos assim que o iSafe detectar que o usuário digitou uma ou mais palavras-chave especificadas. Na guia Captura de tela, clique em 'Ativar Smart Sense' e os botões associados tornam-se ativos. Digite uma palavra-chave e clique em "Adicionar" para adicioná-la à lista. Para removê-lo, selecione-o e clique em "Excluir".

Mais configurações

A senha padrão é insegura, então clique na guia "Configurações" e depois clique em "Geral". À direita, insira a senha antiga e uma nova e mais longa. Clique em "Aplicar" para alterá-lo. A configuração permite que você defina muitas outras opções úteis. Por exemplo, você pode ocultar o uso do iSafe alterando a sequência de teclas de atalho do padrão de [Ctrl] + [Alt] + [Shift] + [X]..

Você também pode definir os parâmetros para o modo Stealth. Estes incluem tornar-se invisível no Gerenciador de Tarefas. Clique na categoria "Usuários" e você pode especificar os usuários que deseja monitorar. Isso permite que você reduza sua coleta de evidências apenas para as pessoas ou contas suspeitas.

Você também pode enviar dados relevantes por e-mail para você. Selecione a categoria Entrega e defina "Entregar registros para enviar e-mail" para "Ativar". Digite seu endereço de e-mail e defina as opções. Enviar-se por e-mail as informações capturadas pelo iSafe permitirá que você monitore as atividades quando o suspeito acreditar que elas estão seguras. Desde que você chegue à sua caixa de entrada, ainda é possível ver o que eles estão fazendo.

Peneirando a evidência

Em vez de ter que passar por cada pressionamento de tecla, captura de tela e outras informações, você pode segmentar um período específico.

Na interface principal do iSafe, clique em 'Log'. Selecione uma data e clique em "Visualizar log". Apenas as entradas para esse dia são mostradas. Você também pode selecionar os últimos sete ou 30 dias ou definir um intervalo personalizado. Clique no botão "Personalizar" na parte superior da tela e insira as datas de início e término antes de clicar em "OK".

Você pode excluir os logs e outras informações coletadas usando os botões na parte superior da exibição de log. Você também pode excluir um intervalo de datas ou todos os dados aqui para economizar espaço em disco.

Desinstalar o iSafe depois de terminar é tão simples quanto clicar no ícone 'Desinstalar' no topo da interface.