Bàn phím đặt không đúng chỗ. Ai đó làm vãi vài mảnh vụn thức ăn trên bàn của bạn. Màn hình của bạn bị nghiêng một cách khác thường. Bạn biết rằng có người nào đó đã sử dụng máy tính của bạn, nhưng bạn không có bất kì bằng chứng nào để kết tội thủ phạm.
Thực tế người đã sử dụng máy tính của bạn không chỉ để lại vài mảnh bằng chứng trên bàn của bạn, mà họ còn để lại dấu vết trong máy tính mà họ không hề nhận ra. Gần như tất cả mọi việc bạn làm trên máy tinh đều để lại dấu vết. Bạn chỉ cẩn biết tìm những bằng chứng đó ở đâu thôi.
Những hành động có thể để lại dấu vết bao gồm khởi động lại máy tính, cố gắng và thất bại khi đăng nhập bằng tài khoản Windows của bạn, khởi động các ứng dụng, duyệt web, mở các thư mục,… Trong bài viết này tôi sẽ chỉ cho bạn những chỗ bạn nên kiểm tra ngay lập tức khi nghi ngờ có ai đó đã sử dụng máy tính mà không có sự cho phép của bạn.
Ví dụ, nếu bạn có bạn cùng phòng là một kẻ nghiệm game, và bạn nghi ngờ người đó đã sử dụng máy tính của bạn để chơi game, và bạn có thể sẽ muốn kiểm tra các thư mục các phần mềm đã được đăng nhập ( tối sẽ chỉ cho bạn ở phần sau). Hoặc bạn đang sử dụng laptop ở một địa điểm công cộng và bạn nghi ngờ một người bạn của bạn đã sử dụng máy của bạn để truy cập Internet trong một thời gian ngắn, và bạn muốn kiểm tra bản ghi Internet để xác thực điều đó. Biết hoặc nghi ngờ nơi để bắt đầu tìm kiểm sẽ giúp giảm đáng kể lượng thời gian bạn cần để xác nhận những nghi ngờ đó.
Thực tế người đã sử dụng máy tính của bạn không chỉ để lại vài mảnh bằng chứng trên bàn của bạn, mà họ còn để lại dấu vết trong máy tính mà họ không hề nhận ra. Gần như tất cả mọi việc bạn làm trên máy tinh đều để lại dấu vết. Bạn chỉ cẩn biết tìm những bằng chứng đó ở đâu thôi.
Những hành động có thể để lại dấu vết bao gồm khởi động lại máy tính, cố gắng và thất bại khi đăng nhập bằng tài khoản Windows của bạn, khởi động các ứng dụng, duyệt web, mở các thư mục,… Trong bài viết này tôi sẽ chỉ cho bạn những chỗ bạn nên kiểm tra ngay lập tức khi nghi ngờ có ai đó đã sử dụng máy tính mà không có sự cho phép của bạn.
Tìm hiểu những mẩu bánh mì vụn
Nếu bạn muốn trở thành một thám tử máy tính để vạch mặt kẻ đã xâm phạm trái phép máy tính của bạn, thì bạn cần phải vận dụng tư duy logic của mình khi xem xét đâu là nơi bạn muốn kiểm tra đầu tiên. Có quá nhiều chỗ trong hệ thống máy tính để bạn tìm kiếm, vì vậy bạn muốn bắt đầu tìm kiếm ở nơi hợp lý hơn và có khả năng tìm ra bằng chứng nhất.Ví dụ, nếu bạn có bạn cùng phòng là một kẻ nghiệm game, và bạn nghi ngờ người đó đã sử dụng máy tính của bạn để chơi game, và bạn có thể sẽ muốn kiểm tra các thư mục các phần mềm đã được đăng nhập ( tối sẽ chỉ cho bạn ở phần sau). Hoặc bạn đang sử dụng laptop ở một địa điểm công cộng và bạn nghi ngờ một người bạn của bạn đã sử dụng máy của bạn để truy cập Internet trong một thời gian ngắn, và bạn muốn kiểm tra bản ghi Internet để xác thực điều đó. Biết hoặc nghi ngờ nơi để bắt đầu tìm kiểm sẽ giúp giảm đáng kể lượng thời gian bạn cần để xác nhận những nghi ngờ đó.
Kiểm tra Window Logs
Một cách khá phổ biến là kiểm tra Windows Logs để xem có gì bị lỗi trong hệ thống hoặc tại sao máy tính hay bị sập nguồn tại một thời điểm nhất định trong quá trình khởi động. Windows Logs có thể cho bạn biết rất nhiều thông tin, ví dụ như việc máy tính đang cố làm và tại sao nó lại thất bại. Một điều khá tuyệt là nó chứa vô cùng nhiều thông tin dữ liệu ngay cả khí quá trình không có lỗi. Bạn có thể truy cập vào đây bằng cách mở Control Panel, vào Administrative Tools và chọn Computer Managerment.
Khi đã truy cập được vào Windows Logs, kích vào Event Viewer ở thanh công cụ bên trái và bạn sẽ thấy một folder của Windows Logs. Mở folder đó ra bạn sẽ thấy cửa sổ làm việc của Windows Logs.
Một công cụ hữu ích đó là Security Log. Nó sẽ cho bạn biết khi có ai đó cố sử dụng tài khoản Windows của bạn, hoặc đơn thuần khi họ khởi động lại máy tính của bạn trong thời gian bạn không dùng nó.
Khi sự dụng các công cụ này, bạn sẽ tìm thấy rất nhiều thông tin không hề có giá trị với người dùng phổ thông. Tuy nhiên, nếu xem xét một cách kỹ lưỡng, bạn có thể sẽ tìm ra đầu mối, cho bạn biết ứng dụng mà người đã truy cập vào máy tính của bạn sử dụng, ví dụ dưới đây chỉ ra người dùng đã chạy công cụ Windows search.
Windows Logs thường không có sự chắc chắn. Nếu may mắn, bạn sẽ tìm thấy những bằng chứng chứng tỏ rằng có người đã can thiệp vào máy tính của bạn khi bạn không có ở đó. Rất khó cho ai đó cố chối cãi vì ở activity có chứa cả thông tin về ngày giờ truy cập.
Những tập tin gần nhất
Kiểm tra các thông tin được sửa đổi gần đây là một trong những cách đơn đơn giản nhât để buộc tội ai đó sử dụng máy tính của bạn khi không được phép. Tất nhiên, một trong những cách nhanh chóng nhất để xem người đó đã mở file nào trong máy tính là kiểm tra ” Recent Items” trong Windows Start.
Cách này có thể thành công nếu bạn may mắn, nhưng nếu người đó hiểu về máy tính thì họ hoàn toàn có thể kích chuột phải vào “Recent Items” chọn “Clear Recent Items List”, và may mắn đã không đến với bạn.
Cũng không hẳn là không may mắn. Bạn vẫn có thể tìm ra các thư mục đã được sửa đổi gần đây, nó có thể không cho bạn biết thư mục nào đã bị mở, nhưng nếu ứng dụng mà kẻ xâm nhập đã sử dụng tạo ra bất cứ một log hoặc file lỗi, hoặc nó làm thay đổi hoàn toàn một file nào đó trong máy tính của bạn, bạn sẽ có thể phát hiện ra bằng cách mở Windows Explorer, kích vào ổ C, kích vào ô tìm kiếm và chọn “Date modified”
Bạn chọn ngày, và một danh sách tất cả các file đã bị sửa đổi trong ngày hôm đó sẽ hiện ra.
Như bạn thấy, thư mục như Temp và Downloads có các file bị sửa đổi, đó có thể là bằng chứng quý giá để buộc tội người đã dùng máy tính khi bạn ra ngoài. Nếu may mắn bạn sẽ tìm ra một văn bản, 1 file log hoặc vài mảnh thông tin cá ngày tháng chính xác với lúc bạn không ở gần máy tính.
Tất nhiên, kiểm tra lịch sử duyệt web của các trình duyệt bạn đã cài cũng là một cách dễ dàng và có tỉ lệ thành công cao.
Muốn thành công với phương pháp này thì đòi hỏi kẻ lén vào máy bạn phải hoàn toàn quên không xóa lịch sử duyệt web sau khi dùng. Có vẻ khả năng này không có, nhưng ai mà biết được, bạn có thể là người rất may mắn!
Biện pháp cuối cùng: Tạo ra một Scheduled Task
Nếu bạn không thể tìm ra một dấu vết nào của kẻ xâm nhập để lại trong máy tính, nhưng bạn biết chăc chắn kẻ đột nhập là ai, hãy tạo ra một “Schedule task”, nó sẽ gửi cho bạn một email bất cứ khi nào máy tính của bạn bị đánh thức hoặc khi nó được khởi động.
Để tạo ra nó, chỉ cần vào scheduled task và tạo ra một task mới. Bên dưới thẻ General, hãy chắc rằng cài đặt task hoạt động hoặc không kho mà có người đăng nhập hệ thống.
Bên dưới nhãn Triggers là nơi bạn sẽ nói cho schedule task khi nòa hoạt động từng nhiệm vụ riêng biệt. Ở phần “Begin the task”, bạn sẽ đổi nó từ “On a schedule” sang “At start up” hoặc “on workstation unlock”…
Nếu không có lựa chọn nào phù hợp với yêu cầu của bạn, bạn có thể sử dụng một cách riêng biệt hơn khi bạn muốn kích hoạt email của bạn bằng cách chọn “On a event” từ danh sách và chọn ứng dụng hoặc thao tác hệ thống mà bạn muốn kích hoạt thông báo khi có ai đó sử dụng máy tính.
Để chọn các ứng dụng cụ thể ngoài việc chỉ chọn thao tác hệ thống, chọn “Application” ở danh sách kéo dài và chọn ứng dụng ở phần “Source”.
Đối với Event ID, bạn cần tìm trong Event ID đã được lập danh sách trong application log hoặc có thể tìm Windows Event IDs ở đây.
Với thẻ Action, bạn có thể gửi một lệnh Blat, nó sẽ xuất ra một email. Ví dụ như:
"c:\temp\blat\blat.exe"
Với các thông số sau:
"-body Someone is using your computer! -to rdxxxxx@gmail.com -subject Computer Access Alert!"
Nếu bạn không có lệnh Blat được xây dựng sẵn trong máy hoặc không thể xuất ra lệnh Blat, hãy xem bài viết hướng dẫn cài đặt Blat ở đây.
Một cách khác để làm nếu bạn không có thời gian hoặc sự kiên nhẫn để tự cài đặt cho bản thân mình, đó là cài đặt phần mềm như iSpy, một công cụ theo dõi màn hình máy tính và tự động chụp ảnh màn hình.
Xuất thân là Quản Trị Kinh Doanh. Yêu thích Marketing Online và trở thành Blogger với gần 1000 bài viết về nhiều lĩnh vực. Blog cá nhân http://toilaquantri.com
ConversionConversion EmoticonEmoticon