lunedì 27 settembre 2010

Come è stato usato il mio computer in mia assenza? (Computer Investigation) - Parte 2

Colgo l'occasione di rispondere ad un commento di un mio lettore per creare un post che servirà sicuramente a tutti.
"Ho lasciato un mio amico da solo con il mio pc vorrei sapere se e possibile visualizzare  i file e le cartelle  che ha aperto.
Grazie
un lettore "


Premetto che questo tipo di analisi non utilizza software di terze parti, sfrutta solo strumenti già presenti nel sistema operativo, per chi volesse effettuare una investigazione più approfondita con software gratuiti, consiglio il mio post

Investigare sulle attività di un computer (Computer Investigation)




Prima di iniziare è fondamentale annotare la data è l'ora dell'intervallo di tempo di cui si vuole investigare,
poi procedere così:

1. Aprire cartella documenti dal menu strumenti scegliamo -> opzioni cartella (Fig. 1) -> dalla scheda visualizzazioni scegliamo -> Visualizza cartelle e file nascosti (Fig. 2)

Fig. 1










Fig. 2


















2. Andiamo su start -> esegui e scriviamo %USERPROFILE%\Dati applicazioni    comparirà una finestra simile alla Fig.3  
Fig. 3
















3. Clicchiamo sull'intestazione della Colonna "Data Ultima modifica" ed otterremo:
Il Primo set di dati su cui investigare:
da qui potete capire se e quali applicazioni sono state lanciate nell'intervallo di tempo su cui investigate
4. Andiamo su start -> esegui e scriviamo %USERPROFILE%\Recent    comparirà una finestra simile alla Fig.4
Fig.4













5. Clicchiamo sull'intestazione della Colonna "Data Ultima modifica" ed otterremo:
Il secondo set di dati su cui investigare:
da qui potete esaminare tutti i file e le cartelle che sono state aperte nell'intervallo di tempo su cui investigate
6. Andiamo su start -> esegui e scriviamo %USERPROFILE%\Impostazioni locali\Temporary Internet Files    comparirà una finestra simile alla Fig.5
Fig. 5

















7. Clicchiamo sull'intestazione della Colonna "Ultima modifica" ed otterremo:
Il Terzo set di dati su cui investigare:
qui troverete tutta la navigazione ad internet (file video compresi) fatta nell'intervallo di tempo su cui investigate.
8. Andiamo su start -> esegui e scriviamo eventvwr.exe    comparirà una finestra simile alla Fig.6. Si tratta del visualizzatore di eventi di windows, una vera miniera d'oro di informazioni per tutti gli amministratori di Sistema. 
Fig. 6

9. Scegliamo la voce Sistema dall'elenco alla sinistra della finestra





10. Dall'elenco scegliamo gli eventi con origine eventlog cliccandoci sopra due volte ci daranno l'ora e la data di avvio o riavvio del computer.


















di seguito allego una tabella con codice evento e descrizione per tante altre informazioni recuperabili dal visualizzatore di eventi:


Evento    Descrizione
516       Alcuni eventi di audit sono stati disabilitati.
517       Log di audit creato.
528       Logon avvenuto con successo.
529       Logon fallito.
531       Logon fallito e account successivamente bloccato.
538       Logoff avvenuto con successo.
576       Assegnamento e utilizzo di diritti utente.
578       Utilizzo di un servizio privilegiato.
595       Accesso indiretto a un oggetto.
608       Cambiamento nelle policy dei diritti utente.
610       Nuovo trusted domain.
612       Cambiamento nelle politiche di audit.
624       Aggiunta di un nuovo account.
626       Account utente abilitato.
630       Account utente cancellato.
636       Account di gruppo variato.
642       Account utente variato.
643       Cambiamento nelle policy di dominio.

Ora avete un bel pò di materiale su cui lavorare, dovete solo avere la calma e la tranquillità di analizzare tutti questi dati, un solo consiglio da chi fà questo lavoro di analisi da diversi anni: "Non vi fermate alle apparenze" rileggete il dato più volte e cercate di farlo incrociare con altri dati per fornirvi un riscontro veritiero.
Arrivederci al prossimo Tutorial
Michele Balzano

1 commento:

  1. Fantastico! ma con CCleaner e i 35 passaggi é possibile non lasciare tracce nelle procedure da te indicate?

    Grazie

    RispondiElimina

Post più popolari