CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Afslør skjult pc-aktivitet

Med gratis software kan du finde ud af, hvad andre laver bag din ryg.

27. juni 2012 kl. 11.52

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Tiden er inde til at vise, hvordan man afslører skjult aktivitet på pc’en. Der kan være mange grunde til, at andre ikke ønsker, at man opdager, at sikkerheden er truet. Den mest oplagte er infektion med malware. Hvis du tror, at andre bruger din pc uden din godkendelse, kan konsekvenserne være alvorlige. Hvad laver de? Tror folk, at det er dit værk? Heldigvis er det nemmere, end man skulle tro, at afsløre det, og du kan faktisk overvåge din computer fra din indbakke.

Få gang i Stifinder

Hvordan ved man, om nogle har rodet med en fil eller lagt en ny fil på computeren? Den nemmeste metode består i at åbne Windows Stifinder i en konto med administratorrettigheder til systemet. Klik derefter ’Organiser > Mappe- og søgeindstillinger’. Klik på ’Vis’. Under ’Avancerede indstillinger’ skal du vælge ’Vis skjulte filer og mapper’. Klik ’OK’.

Klik nu i søgeboksen i Windows Stifinder. Det udløser adskillige søgekriterier, herunder ’Ændringsdato’. Klik på det, så kommer der en kalender med nogle interessante valgmuligheder, herunder ’Tidligere i denne uge’. Kik på en af dem, og tryk [Enter]. Nu får du en liste over alle de filer, der er blevet ændret siden dette tidspunkt. Er der noget, du ikke bryder dig om?

Naturligvis kan megen moderne malware ændre ændringsdatoen, så denne søgning ikke fungerer. Den værste for malware, rootkits, opretholder sin anonyme tilstedeværelse ved ikke blot at svindle med ændringsdatoer, den narrer også operativsystemet til at levere resultater, der får det hele til at se godt ud. Rootkittet kan derefter køre anden malware, for eksempel en keylogger. Hvis vi skal afdække denne form for infektion, skal vi kunne undersøge harddisken, mens Windows sover.

Aflæs en sovende pc

Den nemmeste måde at gøre det på består i at boote en Linux-live-cd, gå på disken og se sig om. Hvad leder vi efter? Det behøver vi heldigvis ikke at vide.

Adskillige sikkerhedsleverandører distri- buerer Linux-live-cd’er, der har til formål at køre en Windows-antivirusscanner. Når der ikke står et undergravet Windows-system i vejen, er al malware nøgen og synlig. Et eksempel på en sådan disk er Avira Rescue CD, som man kan finde på www.bit.ly/euGNCu. Du kan downloade iso-filen og brænde den på en bootbar disk med din foretrukne software, men der findes også en anden mulighed.

Hvis du downloader og kører exe-versionen, vil du konstatere, at den rummer brændersoftware. Du bliver bedt om at indsætte en dvd, og derefter bliver iso’en pakket ud og brændt på disken, klar til boot. Hvis du bruger et trådløst netkort, skal du slutte din pc til din bredbåndsrouter med et kabel, hvis Linux ikke har en driver til dit trådløse kort.

Når du booter redningsdisken, bliver du præsenteret for en bootmenu. Tryk [Enter] for at fortsætte boot-processen. Nu bliver Avira-scanneren indlæst og kører.

Softwaren har fire knapper. Klik ’Update’ og derefter ’Yes’ i det vindue, der spørger dig, om du vil opdatere malware-definitionerne. Når det er overstået, skal du klikke på ’Configuration’.

Under ’Scan Method’ skal du sikre dig, at den valgte funktion er ’All files’. Du skal også sørge for, at du har klikket ud for joke-programmer, sikkerhedsrisici og værktøjer til runtime-kompression. Den sidstnævnte funktion er vigtig, fordi nogle former for malware forbliver komprimerede, indtil de bliver kørt, og derfor kan man ikke se dem. Klik til sidst på ’Virus scanner’ og derefter på ’Start scanner’.

Når scanningen er færdig, og eventuelle skjulte infektioner er blevet identificeret og forhåbentlig ordnet, kan du klikke på ’Shut down’ og enten lukke computeren eller genstarte. Når Linux har lukket sig selv, kan du fjerne dvd’en og boote i Windows.

Sporingsaktivitet

Et andet større problem, der navnlig opstår, hvis man lader sin pc stå ubemandet et stykke tid, er, at en indtrængende person kan få adgang til maskinen. Hvis nogle vil aflæse din harddisk, kan de boote en Linux-live-cd og læse, hvad de har lyst til.

Hvis du ikke vil kryptere hele operativ- systemet, kan du afværge deres forsøg på at boote computeren ved at vælge et kodeord i bios. Hvis du tror, at nogle bruger din pc uden tilladelse, er det sommetider bedst at samle bevismateriale. Derefter kan du enten konfrontere dem eller sikre dig, at du har en god grund til, at de ikke kan blive ved med at bruge den. En af metoderne består i at installere en keylogger.

Keyloggere bliver ikke altid brugt ulovligt. I nogle situationer kan man bruge dem til at sikre, at ansatte kun gør, hvad de formodes at gøre, så de ikke misbruger deres stillinger.

Der findes mange gratis Windows-keyloggere. Vi bruger iSafe fra iSafeSoft. Prøveversionen virker i syv dage, og det bør være nok til at afdække uautoriseret brug af pc’en.

Download den eksekverbare fil på den pc, du vil overvåge (vi kalder den målet), og kør den. Installationsprocessen er enkel. Man skal blot acceptere licensaftalen og stan- dardindstillingerne.

Når installationen er slut, skal man trykke [Ctrl]+[Alt]+[Shift]+[X] og skrive standardkodeordet 123 for at komme ind i keyloggerens brugerflade. Hver eneste del af systemet, som man kan logge på, har sit eget ikon. I toppen af hvert ikon er der et tal, der angiver de resultater, der er blevet indsamlet. Hvis man vil forhindre, at ens aktivitet bliver regis-treret, skal man kikke på den grønne knap ’Stop now’.

Prøv at åbne en webbrowser, og skriv en søgetekst. Surf rundt på et par sites, og gå derefter tilbage til iSafes brugerflade. Klik ’Log’ øverst på skærmen. I feltet til venstre skal du angive det brugernavn, der stod for websøgningen, og vælge kategorien ’Website’. I feltet til højre kan du se datoer og tid for hvert udslag af surfaktivitet inklusive det site, der er involveret. Vælg et, så får du detaljerede oplysninger.

Vælg kategorien ’Keystrokes’ i feltet til venstre, og klik på et eksempel fra den webtrafik, du netop har genereret. Det nederste felt viser de nøjagtige indtastninger (herunder sletninger og andre redigeringer) og den tekst, der er skrevet ind.

En anden god funktion er kategorien Screenshot. Der bliver taget screenshots med regelmæssige mellemrum, og de er stærke vidnesbyrd, når man er på udkig efter andres upassende adfærd. Når du kommer tilbage til iSafe-brugerfladen, skal du klikke på knappen ’iSafe’ for at få adgang til indstillingerne.

Standardværdien er, at iSafe tager én optagelse i minuttet, men det kan hurtigt fylde harddisken op. Det er bedre at tage et skud af det aktive vindue. Man kan yderligere reducere pladsbehovet ved at vælge optagelseskvaliteten. Hvis man vil komprimere optagelserne (og beskytte dem), skal man vælge muligheden for at komprimere dem i et arkiv. Den er beskyttet af iSafe-kodeordet. Der bliver ikke taget skærmbilleder, når computeren ikke bliver brugt (når den mistænkte ikke bruger den). Hvis du alligevel vil tage snapshots, skal du klikke ’Setting’ og derefter klikke ’Screenshots’ i feltet til højre. Fravælg ’Don’t take screenshots when user is idle’.

Et glimrende aspekt af screenshot-funktionen er muligheden for at begynde at optage billeder, så snart iSafe opdager, at brugeren har skrevet et eller flere specificerede nøgleord. På Screenshot-fanen skal du klikke ’Enable Smart Sense’, så bliver de tilknyttede knapper aktive. Skriv et nøgleord, og klik ’Add’ for at føje det til listen. Hvis du vil fjerne det, skal du markere det og klikke ’Delete’.

Flere indstillinger

Standardkodeordet er usikkert. Derfor bør du klikke på ’Settings’ og derefter på ’General’. Skriv det gamle 123-kodeord og et nyt, der er længere. Klik på ’Apply’, så bliver det ændret.

Denne indstilling gør det muligt at indstille mange andre stærke funktioner. Man kan for eksempel skjule brugen af iSafe ved at ændre tastesekvensen fra standarden, der er [Ctrl]+[Alt]+[Shift]+[X]. Man kan også vælge parametre til Stealth-tilstanden. En af dem er at blive usynlig i Joblisten. Klik på kategorien ’Users’, så kan du specificere de brugere, du vil overvåge. På den måde kan du begrænse dit bevismateriale til kun de mennesker eller konti, du har mistanke til.

Du kan også få relevante data via e-mail. Vælg kategorien Delivery, og indstil ’Deliver logs to email’ til ’On’. Skriv din e-mail-adresse, og indstil funktionerne. Hvis du mailer informationen fra iSafe til dig selv, kan du overvåge aktiviteten, mens den mistænkte tror, at alt er godt. Hvis du kan få adgang til din indbakke, kan du stadig se, hvad der foregår.

Sorter bevismaterialet

I stedet for at skulle pløje dig gennem hvert eneste anslag, skærmbillede og anden information kan du gå målrettet efter et specifikt dataomfang. I iSafe-brugerfladen skal du klikke på ’Log’. Vælg en dato, og klik på ’View log’. Du får kun vist oplysninger for denne dato.

Du kan også vælge de foregående 7 eller 30 dage, og du kan definere et skræddersyet tidsrum. Klik på knappen ’Custom’ øverst på skærmen, og angiv begyndelses- og slutdatoer, før du klikker ’OK’. Du kan slette logs og anden indsamlet information ved hjælp af knapperne foroven i logvisningen. Du kan også slette et tidsrum eller data her, hvis du vil frigøre plads på harddisken.

Afinstallation af iSafe kræver blot, at man klikker på ikonet ’Uninstall’ øverst i brugerfladen.

Efter at en naiv indtrængende person har afsluttet sit ondsindede værk på din pc, sletter han eller hun måske belastende filer og tømmer papirkurven. Problemet er, at Windows blot markerer de disksektorer, hvorpå filerne lå, som frie og til rådighed. Indholdet bliver ikke slettet. Når man afinstallerer en applikation, opstår det samme problem.

Der findes mange værktøjer til gendannelse, som kan genoplive filer, og i nogle tilfælde kan man gendanne filer efter flere års forløb. Det hjælper ikke nødvendigvis at defragmentere harddisken, fordi filerne bliver gemt i såkaldte link-lists, der holder styr på sektorerne selv efter defragmentering. En løsning består i at bruge AxCrypt til at overskrive en fils indhold med vilkårlige data, før den bliver slettet. Du kan downloade AxCrypt her.

Kør den eksekverbare fil. Hvis din standardbrowser ikke er IE, skal du vælge den funktion, der bevarer den tilstand, før du klikker på ’Install’. Du får mulighed for at registrere AxCrypt, men det er ikke nødvendigt for at køre programmet.
Hvis du vil overskrive en fil og derefter slette den, skal du højreklikke på den og vælge ’AxCrypt > Shred an delete’. Svar ’Yes’ til den afsluttende advarsel, så går AxCrypt i gang.

Bios indeholder den første software, der kører, når man tænder for maskinen. Det kan man ikke komme uden om, og hvis man beder bios om at forlange et kodeord under boot, stopper man de fleste hackere. Desuden kan moderne bios-former arbejde med forskellige kodeord, der udfører forskellige opgaver, og nyere harddiske kan samarbejde med bios og forhindre, at der bliver afsløret hemmeligheder.

Når man skal oprette et bios-kodeord, skal man gå ind i bios’ setup-tilstand. De fleste moderne bios’er reagerer på, at man trykker [F2], [F10] eller [Delete]. Du kan læse om det i din pc’s brugsanvisning. Hold tasten nede, umiddelbart efter at du har tændt maskinen, hvis bios-skærmbilledet farer for hurtigt forbi.

Forskellige bios-typer har forskellige brugerflader, men som regel er der et sikkerheds- eller kodeordsskærmbillede. Man kan vælge mellem forskellige kodeord. Når man booter computeren, er det kodeord, man bliver afkrævet, brugerkodeordet. Men hvad forhindrer, at en eller anden går ind i bios og fjerner det?

Den opgave tilfalder supervisor-kodeordet. Hvis man har oprettet det, bliver selv det at gå ind i bios problematisk for hackeren. Eftersom der findes teknikker til at omgå bios-kodeord, har laptop-bios’er også et hdd-kodeord. Det bliver gemt på harddisk-controlleren og skal skrives ind, før disken giver så meget som en byte fra sig.

Et rootkit er en form for usynlig malware, hvis primære funktion er at gemme sig selv og dens indhold for brugeren, operativsystemet og endda også antivirusprogrammet. Rootkits virker, fordi producenter af operativsystemer leverer officielle funktionskald, der beder om oplysninger om det kørende system.

Rootkits sidder mellem funktionskaldene og operativsystemets kerne og erstatter ”ren” information. De sletter alle spor efter deres tilstedeværelse og deres ondsindede indhold. De kan også åbne bagdøre for nemt at få adgang. Det hele foregår, mens de er usynlige.

Det gør dem interessante for efterretningstjenester og botnet-vogtere. Botnets kan indbringe deres ejere mange millioner kroner på kort tid, men straffen ved afsløring er hård. Derfor er det afgørende at forhindre, at de inficerede pc’ers ejere opdager, at der er noget galt. Effektiv kode, der ikke sinker pc’en mærkbart, er én ting, men det er bedre at forblive uset.

Man kan afsløre og fjerne en rootkit-infektion ved hjælp af et troværdigt boot-medium som Aviras Rescue CD, der scanner systemet. Det er ofte den bedste og eneste metode til at sikre, at man ikke bliver udspioneret og snydt af sin egen pc.

Der er gjort mange forsøg på at lave operativsystemkerner, der forhindrer rootkit-infektion, men behovet for troværdige boot-medier stiger støt, selv til hjemme-pc’er. Rootkit-teknologierne bliver nemlig mere og mere udbredt.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]
[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Advarsel

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Slet dine spor

[/themepacific_accordion_section]
[/themepacific_accordion]



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
opinion
Andreas Kiær
Andreas Kiær
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Læs indlæg
Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Mest læste klummer og blogs
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Læs indlæg

Premium
Teaser billede
Sår tvivl om Netcompanys forklaring efter kæmpelæk af data: 34-årig varetægtsfængsles fire uger mere
Læs mere »
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Vil have de unge: I den kinesiske tech-sektor står man over for fyring, når man fylder 35 år
Efter exit fra Capgemini: Her er Claus Rydkjærs nye job - får topstilling i svensk milliard-koncern
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Så meget tjener cheferne i den danske it-branche: Halvdelen får mere end 77.000 kroner om måneden
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »