Surveiller son ordinateur de façon efficace
Que ce soit pour les parents qui souhaitent protéger leurs fils, ou pour le chef d’entreprise qui souhaite surveiller son employé (attention à la légalité dans ce cas), il est toujours utile de surveiller son ordinateur pendant qu’on a le dos tourné pour y voir ce qui s’y passe quand on est pas là.
Je dis « attention à la légalité », car oui la surveillance est tolérée sous conditions, notamment d’information préalable.
Alors par surveillance on pense naturellement aux « logiciels de surveillance » type contrôle parental ou keyloggers. Et cela fonctionne effectivement.
Mais nous allons ici utiliser des outils plus simples, plus précis, et très adaptés pour surveiller son ordinateur.
Nous allons commencer par un programme appelé LastActivityView (Vue sur les dernières activités). Ce programme est développé par Nir Sofer, un programmeur C++ et .NET très expérimenté en programmation système.
L’outil est téléchargeable gratuitement ici : http://www.nirsoft.net/utils/computer_activity_view.html
Il est très facile d’utilisation, il suffit de le lancer et d’observer l’historique complet des activités s’afficher.
Sauf effacement volontaire, les actions effectuées sur votre ordinateur depuis qu’il a été acheté s’affichent :
- Les programmes installés et lancés
- Les ouvertures de dossiers
- Les heures de connexion et déconnexion
- Les connexions ou déconnexions au réseau
- etc…
Comment cela fonctionne-il ?
Ce programme récupère les informations à partir de divers endroit dont les events logs de Windows (logs d’évènements).
Car oui, finalement il n’y a pas de miracle, c’est Windows qui à la base a stocké bien au chaud toutes ces données !
Certaines structures sont non documentées, mais analysées par des chercheurs en forensiques. Je pense notamment aux Shellbags qui permettent de retrouver des noms de dossiers complètements supprimés il y a des années…
Je vous ai fait une vidéo dédiée à ce sujet que vous retrouverez ci-dessous :
Surveiller son ordinateur en temps réel
D’autres programmes permettent de surveiller son ordinateur en temps réel.
Ils peuvent être utiles pour par exemple vérifier les éventuels programmes malveillants qui se lancés sur l’ordinateur ou qui échangent des données sur le réseau.
Ces programmes sont à l’origine développés par Sysinternals, entreprise rachetée en 2006 par Microsoft.
Il y a d’abord ProcessExplorer (à télécharger ici : http://technet.microsoft.com/fr-fr/sysinternals/hh206031) qui permet de faire bien plus que le gestionnaire des tâches classique de Windows.
Il permet en particulier de savoir quels fichiers ou répertoires sont utilisés par un programme. Il affiche bien plus de détails que les informations classiques du gestionnaire des tâches de base.
Ensuite, et concernant le réseau, certains keyloggers envoient par exemple les logs par FTP, il est possible de voir l’IP du serveur distant via l’onglet « Remote Address » de l’outil TcpView : http://technet.microsoft.com/fr-fr/sysinternals/hh205947.
Toujours développé par Sysinternals, TcpView permet d’afficher les connexions TCP et UDP établies ou fermées.
Ces outils ne sont que la partie émergée de l’iceberg. Si l’analyse forensique et l’étude approfondie des systèmes à la recherche de traces vous intéressent, je vous propose les cours dédiés sur Cyberini :
Hacking éthique – Étude des logiciels malveillants où nous traitons également l’analyse des processus à lancement automatique (caractéristiques adorées par les virus). Ainsi que l’analyse des données dans la mémoire RAM. Vous apprendrez également les détails sur le fonctionnement des logiciels malveillants.
Nettoyage PC Désinfection et Sécurisation où nous allons décortiquer les extensions de navigateur malveillantes et voir comment nettoyer son pc de fond en comble avec divers outils, mais aussi diverses techniques utilisées par les pirates.