Je commence à soupçonner que quelqu'un non autorisé a peut-être eu accès à mon PC. Je remarque que mes favoris de navigateur sont modifiés, etc.
Alors, que puis-je faire pour surveiller l'activité de mon PC ? J'utilise Windows 7 mais j'aimerais savoir ce que les utilisateurs de Linux pourraient faire dans ce cas.
Ne mentionnez pas le changement de mot de passe ou les suggestions simples. Je cherche un outil ou une manière de surveiller les activités de mon PC. Un journal (fichier) en gros.
Fondamentalement, vous ne pouvez pas savoir cela (pas avec certitude) sans un audit complet du PC. Par définition, quelqu'un qui a le contrôle de votre PC a le contrôle de ce que vous voyez sur le PC.
Ce que vous pouvez faire pour être raisonnablement sûr, c'est examiner (analyse de rootkit, analyse antivirus, vérification des fichiers que vous n'avez pas installés / créés, etc.) le PC en utilisant un CD live de Linux, car il contourne ce qui est sur l'ordinateur au démarrage. Ne faites pas confiance à un CD live de Windows pour cela; les sources non officielles à partir desquelles proviennent les CD live de Windows, ainsi que des problèmes comme l'autorun, le rendent peu fiable.
En alternative à un CD live, vérifiez le trafic réseau entrant/sortant de la machine de manière externe à partir de la machine elle-même. En d'autres termes, regardez votre routeur, ou placez un hub ou un tap réseau (pas un commutateur) entre la machine et le reste du réseau, puis examinez les paquets aller et retour, les protocoles utilisés, les adresses IP/domaines accédés, les ports contactés, etc. Idéalement, vous devriez le faire avec un câble qui permet uniquement le trafic dans un sens (c'est-à-dire, avec ses fils de retour coupés), de sorte que la machine examinant le trafic ne puisse pas être compromise également. Wireshark est le type d'outil dont vous avez besoin pour réellement examiner le trafic à partir d'un PC / portable.
Si la machine que vous souhaitez réellement vérifier est une machine virtuelle, c'est beaucoup plus facile -- exécutez simplement wireshark sur l'hôte et examinez les interfaces appropriées (généralement virtuelles), ou analysez la partition virtuelle (peut-être après l'avoir convertie en fichier brut ou l'avoir montée avec le drapeau noexec de Linux/Unix, et sans fonctionnalités semblables à autorun actives) à partir de l'hôte.
MAIS, ayant dit tout cela, si cela va si loin que vous ne pouvez plus faire confiance à votre machine, vous devriez probablement la considérer comme perdue et recommencer : Réinstallez la machine, puis vérifiez et restaurez les DONNÉES (PAS les programmes ; assurez-vous que vos sauvegardes séparent les deux).
Franchement, vous voulez avoir une bonne séparation des privilèges et un contrôle sur les applications : droits non-admin sur votre compte utilisateur normal, autorisation du pare-feu bidirectionnel (entrée ET sortie) pour empêcher les applications malveillantes d'ouvrir simplement des ports avec UPNP, NoScript (le plugin firefox), Adblock, etc. Dans une situation professionnelle, un pare-feu externe approprié & une passerelle de filtrage, un système de détection d'intrusion, un système de surveillance, etc. devraient tous être utilisés pour vous assurer que vous SACHEZ ce qui entre et sort de votre machine, sans avoir besoin de faire un audit.
Consultez les journaux de sécurité Windows. Là, vous pouvez voir des informations détaillées sur les connexions. Si vous voyez une connexion à un moment où vous étiez là, alors vous savez que quelqu'un d'autre l'a utilisée.
Cliquez avec le bouton droit sur l'icône de mon ordinateur, sélectionnez gérer, observateur d'événements, journaux Windows, puis sécurité.
Peut-être pas répondre pleinement à votre question, mais peut-être que vous trouverez cela utile tout de même: Si vous êtes vraiment suspicieux, vous pouvez toujours utiliser la recherche intégrée de Windows et scanner les fichiers modifiés. Touche Windows + S puis tapez "modified: 13/8/2011 .. 14/8/2011" pour trouver tous les fichiers qui ont été modifiés. À partir de là, vous devez déterminer si certains de vos fichiers ont été modifiés pendant votre absence et s'il est probable qu'un intrus en soit responsable. Autre que cela, je vous suggère de lire ce que Lee a écrit ici aussi. Cette méthode ne sera peut-être pas très utile en fonction des compétences de l'intrus potentiel. Aussi, juste pour votre information, Microsoft fournit un programme appelé Autoruns (Sysinternals) pour vous aider à comprendre quels programmes démarrent automatiquement.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
