"Ho lasciato un mio amico da solo con il mio pc vorrei sapere se e possibile visualizzare i file e le cartelle che ha aperto.
Grazie
un lettore "
Premetto che questo tipo di analisi non utilizza software di terze parti, sfrutta solo strumenti già presenti nel sistema operativo, per chi volesse effettuare una investigazione più approfondita con software gratuiti, consiglio il mio post
Investigare sulle attività di un computer (Computer Investigation)
Prima di iniziare è fondamentale annotare la data è l'ora dell'intervallo di tempo di cui si vuole investigare,
poi procedere così:
1. Aprire cartella documenti dal menu strumenti scegliamo -> opzioni cartella (Fig. 1) -> dalla scheda visualizzazioni scegliamo -> Visualizza cartelle e file nascosti (Fig. 2)
Fig. 1 |
Fig. 2 |
2. Andiamo su start -> esegui e scriviamo %USERPROFILE%\Dati applicazioni comparirà una finestra simile alla Fig.3
Fig. 3 |
3. Clicchiamo sull'intestazione della Colonna "Data Ultima modifica" ed otterremo:Il Primo set di dati su cui investigare:
da qui potete capire se e quali applicazioni sono state lanciate nell'intervallo di tempo su cui investigate
4. Andiamo su start -> esegui e scriviamo %USERPROFILE%\Recent comparirà una finestra simile alla Fig.4
Fig.4 |
5. Clicchiamo sull'intestazione della Colonna "Data Ultima modifica" ed otterremo:
Il secondo set di dati su cui investigare:
da qui potete esaminare tutti i file e le cartelle che sono state aperte nell'intervallo di tempo su cui investigate
6. Andiamo su start -> esegui e scriviamo %USERPROFILE%\Impostazioni locali\Temporary Internet Files comparirà una finestra simile alla Fig.5
Fig. 5 |
7. Clicchiamo sull'intestazione della Colonna "Ultima modifica" ed otterremo:
Il Terzo set di dati su cui investigare:
qui troverete tutta la navigazione ad internet (file video compresi) fatta nell'intervallo di tempo su cui investigate.
8. Andiamo su start -> esegui e scriviamo eventvwr.exe comparirà una finestra simile alla Fig.6. Si tratta del visualizzatore di eventi di windows, una vera miniera d'oro di informazioni per tutti gli amministratori di Sistema.
Fig. 6 |
9. Scegliamo la voce Sistema dall'elenco alla sinistra della finestra
10. Dall'elenco scegliamo gli eventi con origine eventlog cliccandoci sopra due volte ci daranno l'ora e la data di avvio o riavvio del computer.
di seguito allego una tabella con codice evento e descrizione per tante altre informazioni recuperabili dal visualizzatore di eventi:
Evento Descrizione
516 Alcuni eventi di audit sono stati disabilitati.
517 Log di audit creato.
528 Logon avvenuto con successo.
529 Logon fallito.
531 Logon fallito e account successivamente bloccato.
538 Logoff avvenuto con successo.
576 Assegnamento e utilizzo di diritti utente.
578 Utilizzo di un servizio privilegiato.
595 Accesso indiretto a un oggetto.
608 Cambiamento nelle policy dei diritti utente.
610 Nuovo trusted domain.
612 Cambiamento nelle politiche di audit.
624 Aggiunta di un nuovo account.
626 Account utente abilitato.
630 Account utente cancellato.
636 Account di gruppo variato.
642 Account utente variato.
643 Cambiamento nelle policy di dominio.
Ora avete un bel pò di materiale su cui lavorare, dovete solo avere la calma e la tranquillità di analizzare tutti questi dati, un solo consiglio da chi fà questo lavoro di analisi da diversi anni: "Non vi fermate alle apparenze" rileggete il dato più volte e cercate di farlo incrociare con altri dati per fornirvi un riscontro veritiero.
Arrivederci al prossimo Tutorial
Michele Balzano
Fantastico! ma con CCleaner e i 35 passaggi é possibile non lasciare tracce nelle procedure da te indicate?
RispondiEliminaGrazie