Recientemente examinamos varias técnicas que puede usar para ocultar datos en Windows, desde simples trucos de nombre de archivo para completar el cifrado del sistema operativo. Ahora vamos a cambiar las tablas y descubrir formas de descubrir actividades ocultas..

Hay muchas razones por las que alguien no quiere que sepa que su seguridad ha sido violada. Lo más obvio es la infección con malware. Si cree que otros pueden estar usando su PC sin su consentimiento, los problemas pueden ser graves. ¿Qué están haciendo? La gente asumirá que fuiste tú?

Afortunadamente, descubrirlo es más fácil de lo que piensa, e incluso puede monitorear su computadora desde su bandeja de entrada.

Explorando explorador

Cómo saber si alguien ha modificado o incluso agregado un archivo nuevo a su computadora?

El método más sencillo es abrir el Explorador de Windows en una cuenta con derechos de administrador sobre el sistema. Ahora haga clic en 'Organizar> Carpeta y opciones de búsqueda'. Haga clic en la pestaña 'Ver' y en la configuración avanzada, asegúrese de que esté seleccionado 'Mostrar archivos, carpetas y unidades ocultos'. Haga clic en Aceptar'.

Ahora haga clic en el cuadro de búsqueda en el Explorador de Windows. Esto revelará varios criterios de búsqueda, incluyendo 'Fecha de modificación'. Haga clic en este botón y aparecerá un calendario junto con algunas opciones interesantes, que incluyen 'A principios de esta semana'. Haga clic en uno de estos y presione [Enter]. Todos los archivos modificados desde este momento, incluyendo los ocultos, serán listados. ¿Hay algo que no te guste el aspecto de?

Por supuesto, gran parte del malware actual es capaz de falsificar el tiempo de modificación en un archivo para ocultarlo en esta búsqueda. El peor malware, el rootkit, mantiene su presencia anónima no solo falsificando los tiempos de modificación, sino también asegurando que engaña al sistema operativo para que devuelva resultados que hagan que todo parezca bien. El rootkit puede permitir que otro malware, como un keylogger, se ejecute.

Para descubrir este tipo de infección, necesitamos una forma de examinar el disco mientras Windows duerme. Leer una PC durmiente La forma más fácil de lograr esto es arrancar un CD vivo de Linux, montar el disco y echar un vistazo.

¿Qué estamos buscando? Por suerte, no necesitamos saberlo. Varios proveedores de seguridad distribuyen discos de CD en vivo de Linux diseñados para ejecutar simplemente un escáner antivirus de Windows. Sin que un sistema Windows subvertido se interponga, todo el malware está desnudo y visible..

Uno de estos discos es el CD de rescate de Avira. Puede descargar el archivo ISO y grabarlo en un disco de arranque con su software favorito, pero hay otra opción. Si descarga y ejecuta la versión EXE, encontrará que contiene software de grabación. Se le pedirá que inserte un DVD, después de lo cual se desempaquetará el ISO y se grabará en el disco, listo para arrancar.

Si está utilizando una tarjeta de red inalámbrica, tendrá que conectar su PC a su enrutador de banda ancha con un cable si Linux no contiene un controlador para su tarjeta inalámbrica.

Cuando arranque el disco de rescate, se encontrará con un menú de inicio. Presiona [Enter] para continuar el arranque. El escáner Avira se cargará y ejecutará.

El software tiene cuatro pestañas. Haga clic en 'Actualizar' y luego haga clic en 'Sí' en la ventana que aparece preguntándole si desea actualizar las definiciones de malware. Una vez completado, haga clic en la pestaña 'Configuración'. Asegúrese de que en la sección Método de escaneo, la opción seleccionada sea 'Todos los archivos'. También asegúrese de seleccionar las casillas de verificación para programas de broma, riesgos de privacidad de seguridad y utilidades de compresión de tiempo de ejecución. Esta última opción es importante porque algunos programas maliciosos se mantienen comprimidos de forma segura hasta que se ejecutan, ocultando así su propósito.

Finalmente, haga clic en la pestaña 'Escáner de virus' y haga clic en 'Iniciar escáner'. Una vez que se haya completado el análisis y se hayan identificado y se haya solucionado todas las infecciones sigilosas, puede hacer clic en 'Apagar' y apagar la computadora o reiniciar. Una vez que Linux se apaga solo, puedes quitar el DVD y arrancar en Windows.

Actividad de seguimiento

Otro problema importante, especialmente si tiene que dejar su PC desatendida por un tiempo, es que un intruso lo use sin su permiso. Si alguien realmente quiere leer su disco duro, arrancar un Live CD de Linux le permitirá montar su disco y leer lo que quiera..

Si no desea cifrar todo su sistema operativo como demostramos en el último problema con TrueCrypt, puede frustrar sus intentos de incluso iniciar el equipo configurando una contraseña en su BIOS.

El BIOS contiene el primer software que se ejecutará cuando se encienda la máquina. Debido a que no hay forma de detener esto, decirle a la BIOS que solicite una contraseña en el momento del arranque detendrá a la mayoría de los piratas informáticos. Además, las implementaciones modernas de BIOS permiten varias contraseñas diferentes que realizan diferentes trabajos, y se puede hacer que los discos duros más nuevos funcionen junto con el BIOS para evitar que se revelen los secretos..

Para establecer una contraseña de BIOS, necesita ingresar a su modo de configuración. La mayoría de las implementaciones modernas de BIOS responden manteniendo presionado [F2], [F10] o [Eliminar]. El manual de tu PC te dirá cuál. Mantenga presionada esta tecla inmediatamente después del encendido en los casos en que la pantalla del BIOS parpadee demasiado rápido.

Los diferentes tipos de BIOS tienen interfaces diferentes, pero en general siempre habrá una pantalla de seguridad o contraseña. Puede haber diferentes tipos de contraseña que puede establecer.

Cuando inicia la computadora, la contraseña que debe ingresar es la contraseña del usuario. Sin embargo, ¿qué impide que alguien ingrese a la BIOS y lo elimine? Ese es el trabajo de la contraseña de supervisor. Si configura esto, entonces incluso ingresar el BIOS se vuelve problemático para un hacker.

Debido a que existen técnicas para anular las contraseñas de BIOS, las implementaciones de BIOS portátiles también tienen una contraseña de HDD. Esto se almacena en el controlador del disco duro y debe suministrarse antes de que el disco renuncie a un byte de acceso.

Recolección de evidencia

Si crees que alguien está usando tu PC sin permiso, a veces lo mejor es recopilar pruebas, luego confrontarlas o tomar medidas para asegurarte de que tienes una razón legítima por la que no pueden seguir usándolas..

Un método para hacer esto es instalar un keylogger. Los keyloggers no siempre son usados ​​ilegalmente. En algunas situaciones, se pueden usar para verificar que el personal solo está haciendo lo que se supone que debe hacer y no abusa de su posición.

Una palabra o advertencia primero: nunca se sienta tentado a instalar un keylogger o cualquier otro programa espía en una computadora que usted no posee personalmente. Si lo descubren y el caso va a la corte, podría ser responsable en virtud de la Ley de uso indebido de computadoras, y recibir una sentencia de prisión y una multa de hasta £ 5,000.

Hay muchos keyloggers de Windows gratis. Usaremos iSafe desde iSafeSoft. La versión de prueba durará siete días, lo que debería ser suficiente para descubrir el uso no autorizado de su PC. Descargue el ejecutable a la PC que desea monitorear (que llamaremos el objetivo) y ejecútelo..

El proceso de instalación consiste simplemente en aceptar el acuerdo de licencia y los valores predeterminados. Una vez instalado, presione [Ctrl] + [Alt] + [Shift] + [X] e ingrese la contraseña predeterminada 123 para abrir la interfaz de usuario del keylogger.

Cada parte del sistema que se puede registrar tiene su propio icono. En la parte superior de cada icono hay un número, que indica los registros que se han recopilado. Para detener el inicio de sesión de su actividad, haga clic en el botón verde marcado 'Detener ahora'.

Con los eventos de registro de iSafe, intente abrir un navegador web e ingresar una frase de búsqueda. Navegue por algunos sitios y luego vuelva a la interfaz de usuario de iSafe. Haga clic en 'Log' en la parte superior de la pantalla. En el panel de la izquierda, expanda el nombre de usuario que hizo la navegación y seleccione la categoría 'Sitio web'.

En los paneles de la derecha, verá las fechas y horas de cada elemento de la actividad de navegación, junto con el sitio involucrado. Seleccione uno y el panel inferior muestra los detalles. Seleccione la categoría 'Pulsación de tecla' en el panel de la izquierda y haga clic en una entrada del tráfico de navegación web que acaba de generar. El panel inferior muestra las pulsaciones exactas (incluidas las eliminaciones y otras ediciones), y el texto introducido.

Otra característica valiosa es la categoría Captura de pantalla. Las capturas de pantalla se toman a intervalos regulares, y son una pieza poderosa de evidencia cuando se buscan actividades adversas de otros. De vuelta en la interfaz principal de iSafe, haga clic en la pestaña 'Captura de pantalla' a la izquierda para acceder a la configuración.

Por defecto, iSafe realiza una captura cada minuto, pero esto pronto podría llenar su disco duro. Es más útil tomar una foto de la ventana activa. Puede reducir aún más la cantidad de espacio que ocupa cada disparo seleccionando la calidad de captura. Para comprimir los disparos (y protegerlos), seleccione la opción para comprimirlos en un archivo. Esto está protegido por la contraseña de iSafe.

iSafe no tomará capturas de pantalla cuando la computadora esté inactiva (en otras palabras, cuando el sospechoso no la esté usando). Para seguir tomando snaps de todos modos, haga clic en 'Configuración', luego haga clic en 'Captura de pantalla' en el panel de la derecha resultante. Desmarque "No tomar capturas de pantalla cuando el usuario está inactivo".

Una función excelente de la función de captura de pantalla es la capacidad de comenzar a tomar fotos tan pronto como iSafe detecta que el usuario ha ingresado una o más palabras clave específicas. En la pestaña Captura de pantalla, haga clic en 'Habilitar Smart Sense' y los botones asociados se activarán. Ingrese una palabra clave y haga clic en 'Agregar' para agregarla a la lista. Para eliminarlo, selecciónelo y haga clic en 'Eliminar'.

Más ajustes

La contraseña predeterminada es insegura, así que haga clic en la pestaña 'Configuración' y luego haga clic en 'General'. A la derecha, ingrese la contraseña antigua 123 y una nueva, más larga. Haga clic en 'Aplicar' para cambiarlo. La configuración le permite configurar muchas otras opciones útiles. Por ejemplo, puede ocultar el uso de iSafe cambiando la secuencia de teclas de acceso rápido de la predeterminada de [Ctrl] + [Alt] + [Shift] + [X].

También puede establecer los parámetros para el modo Stealth. Estos incluyen hacerse invisible en el Administrador de tareas. Haga clic en la categoría 'Usuarios' y puede especificar los usuarios que desea monitorear. Esto le permite limitar su recopilación de pruebas solo a aquellas personas o cuentas que sospecha.

También puede recibir datos relevantes por correo electrónico. Seleccione la categoría Entrega y configure 'Entregar registros en correo electrónico' en 'Activado'. Ingrese su dirección de correo electrónico y configure las opciones. Enviándose por correo electrónico la información capturada por iSafe le permitirá monitorear la actividad cuando su sospechoso crea que está seguro. Siempre que pueda acceder a su bandeja de entrada, todavía puede ver lo que están haciendo.

Tamizando la evidencia

En lugar de tener que revisar cada pulsación de tecla, captura de pantalla y otra información, puede seleccionar un intervalo de fechas específico.

En la interfaz principal de iSafe, haga clic en 'Iniciar sesión'. Seleccione una fecha y haga clic en 'Ver registro'. Sólo se muestran las entradas para ese día. También puede seleccionar los siete o los 30 días anteriores, o definir un rango personalizado. Haga clic en el botón 'Personalizar' en la parte superior de la pantalla, luego ingrese las fechas de inicio y finalización antes de hacer clic en 'Aceptar'.

Puede eliminar los registros y otra información recopilada utilizando los botones en la parte superior de la vista de registro. También puede eliminar un intervalo de fechas o todos los datos aquí para ahorrar espacio en el disco..

Desinstalar iSafe después de terminar es tan simple como hacer clic en el ícono 'Desinstalar' en la parte superior de la interfaz.