3 Cách kiểm tra máy tính của mình bị xâm nhập trái phép
Thực tế người đã sử dụng máy tính của bạn không chỉ để lại vài mảnh bằng chứng trên bàn của bạn, mà họ còn để lại dấu vết trong máy tính mà họ không hề nhận ra. Gần như tất cả mọi việc bạn làm trên máy tinh đều để lại dấu vết. Bạn chỉ cẩn biết tìm những bằng chứng đó ở đâu thôi.
Những hành động có thể để lại dấu vết bao gồm khởi động lại máy tính, cố gắng và thất bại khi đăng nhập bằng tài khoản Windows của bạn, khởi động các ứng dụng, duyệt web, mở các thư mục,… Trong bài viết này tôi sẽ chỉ cho bạn những chỗ bạn nên kiểm tra ngay lập tức khi nghi ngờ có ai đó đã sử dụng máy tính mà không có sự cho phép của bạn.
Tìm hiểu những mẩu bánh mì vụn
Nếu bạn muốn trở thành một thám tử máy tính để vạch mặt kẻ đã xâm phạm trái phép máy tính của bạn, thì bạn cần phải vận dụng tư duy logic của mình khi xem xét đâu là nơi bạn muốn kiểm tra đầu tiên. Có quá nhiều chỗ trong hệ thống máy tính để bạn tìm kiếm, vì vậy bạn muốn bắt đầu tìm kiếm ở nơi hợp lý hơn và có khả năng tìm ra bằng chứng nhất.Ví dụ, nếu bạn có bạn cùng phòng là một kẻ nghiệm game, và bạn nghi ngờ người đó đã sử dụng máy tính của bạn để chơi game, và bạn có thể sẽ muốn kiểm tra các thư mục các phần mềm đã được đăng nhập ( tối sẽ chỉ cho bạn ở phần sau). Hoặc bạn đang sử dụng laptop ở một địa điểm công cộng và bạn nghi ngờ một người bạn của bạn đã sử dụng máy của bạn để truy cập Internet trong một thời gian ngắn, và bạn muốn kiểm tra bản ghi Internet để xác thực điều đó. Biết hoặc nghi ngờ nơi để bắt đầu tìm kiểm sẽ giúp giảm đáng kể lượng thời gian bạn cần để xác nhận những nghi ngờ đó.
Kiểm tra Window Logs
Một cách khá phổ biến là kiểm tra Windows Logs để xem có gì bị lỗi trong hệ thống hoặc tại sao máy tính hay bị sập nguồn tại một thời điểm nhất định trong quá trình khởi động. Windows Logs có thể cho bạn biết rất nhiều thông tin, ví dụ như việc máy tính đang cố làm và tại sao nó lại thất bại. Một điều khá tuyệt là nó chứa vô cùng nhiều thông tin dữ liệu ngay cả khí quá trình không có lỗi. Bạn có thể truy cập vào đây bằng cách mở Control Panel, vào Administrative Tools và chọn Computer Managerment.
Khi đã truy cập được vào Windows Logs, kích vào Event Viewer ở thanh
công cụ bên trái và bạn sẽ thấy một folder của Windows Logs. Mở folder
đó ra bạn sẽ thấy cửa sổ làm việc của Windows Logs.
Một công cụ hữu ích đó là Security Log. Nó sẽ cho bạn biết khi có ai đó
cố sử dụng tài khoản Windows của bạn, hoặc đơn thuần khi họ khởi động
lại máy tính của bạn trong thời gian bạn không dùng nó.
Khi sự dụng các công cụ này, bạn sẽ tìm thấy rất nhiều thông tin không
hề có giá trị với người dùng phổ thông. Tuy nhiên, nếu xem xét một cách
kỹ lưỡng, bạn có thể sẽ tìm ra đầu mối, cho bạn biết ứng dụng mà người
đã truy cập vào máy tính của bạn sử dụng, ví dụ dưới đây chỉ ra người
dùng đã chạy công cụ Windows search.
Windows Logs thường không có sự chắc chắn. Nếu may mắn, bạn sẽ tìm thấy
những bằng chứng chứng tỏ rằng có người đã can thiệp vào máy tính của
bạn khi bạn không có ở đó. Rất khó cho ai đó cố chối cãi vì ở activity
có chứa cả thông tin về ngày giờ truy cập.
Những tập tin gần nhất
Kiểm tra các thông tin được sửa đổi gần đây là một trong những cách đơn
đơn giản nhât để buộc tội ai đó sử dụng máy tính của bạn khi không được
phép. Tất nhiên, một trong những cách nhanh chóng nhất để xem người đó
đã mở file nào trong máy tính là kiểm tra ” Recent Items” trong Windows
Start.
Cách này có thể thành công nếu bạn may mắn, nhưng nếu người đó hiểu về
máy tính thì họ hoàn toàn có thể kích chuột phải vào “Recent Items” chọn
“Clear Recent Items List”, và may mắn đã không đến với bạn.
Cũng không hẳn là không may mắn. Bạn vẫn có thể tìm ra các thư mục đã
được sửa đổi gần đây, nó có thể không cho bạn biết thư mục nào đã bị mở,
nhưng nếu ứng dụng mà kẻ xâm nhập đã sử dụng tạo ra bất cứ một log hoặc
file lỗi, hoặc nó làm thay đổi hoàn toàn một file nào đó trong máy tính
của bạn, bạn sẽ có thể phát hiện ra bằng cách mở Windows Explorer, kích
vào ổ C, kích vào ô tìm kiếm và chọn “Date modified”
Bạn chọn ngày, và một danh sách tất cả các file đã bị sửa đổi trong ngày hôm đó sẽ hiện ra.
Như bạn thấy, thư mục như Temp và Downloads có các file bị sửa đổi, đó
có thể là bằng chứng quý giá để buộc tội người đã dùng máy tính khi bạn
ra ngoài. Nếu may mắn bạn sẽ tìm ra một văn bản, 1 file log hoặc vài
mảnh thông tin cá ngày tháng chính xác với lúc bạn không ở gần máy tính.
Tất nhiên, kiểm tra lịch sử duyệt web của các trình duyệt bạn đã cài cũng là một cách dễ dàng và có tỉ lệ thành công cao.
Muốn thành công với phương pháp này thì đòi hỏi kẻ lén vào máy bạn phải
hoàn toàn quên không xóa lịch sử duyệt web sau khi dùng. Có vẻ khả năng
này không có, nhưng ai mà biết được, bạn có thể là người rất may mắn!
Biện pháp cuối cùng: Tạo ra một Scheduled Task
Nếu bạn không thể tìm ra một dấu vết nào của kẻ xâm nhập để lại trong
máy tính, nhưng bạn biết chăc chắn kẻ đột nhập là ai, hãy tạo ra một
“Schedule task”, nó sẽ gửi cho bạn một email bất cứ khi nào máy tính của
bạn bị đánh thức hoặc khi nó được khởi động.
Để tạo ra nó, chỉ cần vào scheduled task và tạo ra một task mới. Bên
dưới thẻ General, hãy chắc rằng cài đặt task hoạt động hoặc không kho mà
có người đăng nhập hệ thống.
Bên
dưới nhãn Triggers là nơi bạn sẽ nói cho schedule task khi nòa hoạt
động từng nhiệm vụ riêng biệt. Ở phần “Begin the task”, bạn sẽ đổi nó từ
“On a schedule” sang “At start up” hoặc “on workstation unlock”…
Nếu không có lựa chọn nào phù hợp với yêu cầu của bạn, bạn có thể sử
dụng một cách riêng biệt hơn khi bạn muốn kích hoạt email của bạn bằng
cách chọn “On a event” từ danh sách và chọn ứng dụng hoặc thao tác hệ
thống mà bạn muốn kích hoạt thông báo khi có ai đó sử dụng máy tính.
Để chọn các ứng dụng cụ thể ngoài việc chỉ chọn thao tác hệ thống, chọn
“Application” ở danh sách kéo dài và chọn ứng dụng ở phần “Source”.
Đối với Event ID, bạn cần tìm trong Event ID đã được lập danh sách trong
application log hoặc có thể tìm Windows Event IDs ở đây.
Với thẻ Action, bạn có thể gửi một lệnh Blat, nó sẽ xuất ra một email. Ví dụ như:
"c:\temp\blat\blat.exe"
Với các thông số sau:
"-body Someone is using your computer! -to rdxxxxx@gmail.com -subject Computer Access Alert!"
Nếu bạn không có lệnh Blat được xây dựng sẵn trong máy hoặc không thể
xuất ra lệnh Blat, hãy xem bài viết hướng dẫn cài đặt Blat ở đây.
Một cách khác để làm nếu bạn không có thời gian hoặc sự kiên nhẫn để tự cài đặt cho bản thân mình, đó là cài đặt phần mềm như iSpy, một công cụ theo dõi màn hình máy tính và tự động chụp ảnh màn hình( nguồn : http://www.itvn360.com )
Không có nhận xét nào:
Đăng nhận xét