Как узнать, чем занимался пользователь компьютера?
Немного конкретизирую задачу. Предположим, что на компьютере установлена ОС Windows XP, у пользователя свой логин с неизвестным вам паролем и у вас нет прав администратора. Нужно узнать, какие программы запускались, с какими файлами работал пользователь, что писал в аське и по почте, что хранит и хранил на жестком диске, пароли к сайтам и программам. На всё не более часа. Программы, которые вы будете использовать, должны быть из класса «Portable», то есть работать без установки на исследуемый компьютер.
Поехали. Для начала надо получить доступ к учетной записи пользователя и зайти с его правами. И пароль тут не преграда. Существует масса программ по подбору паролей, но это требует значительного времени, и рассматривать их не будем. Самое простое – использовать загрузочный CD или флэшку с программой, способной изменить пароль пользователя без знания старого.
Например,
«CIA». Для загрузки с внешнего носителя у большинства современных
компьютеров достаточно нажать специальную функциональную клавишу,
указанную при включении компьютера на самом первом экране. Запускаете
«CIA», выбираете каталог с Windows пользователя и обнуляете его пароль,
затем устанавливаете новый. Перезагрузка в штатном режиме, ввод нового
пароля и вы уже в системе. Всё просто. Для заметания следов достаточно
обнулить пароль пользователя средствами системы, и большинство
пользователей при следующей загрузке спишет всё на «глюки дурацкой
Винды».
Не теряя времени, запустите программу восстановления удаленных файлов.
Советовать тут что-то сложно. На вкус и цвет. Попробуйте для начала
«Active File Recovery», для большинства случаев её хватит. Сначала
быстрый поиск как менее затратный по времени.
Пока идет поиск, давайте вытащим все пароли. Лучшая из программ «Multi
Password Recovery». Почта, аська, имена и пароли к сайтам и другим
компьютерам. Какие программы установлены, что запускается при входе в
систему – сохраните на флэшку, потом, в спокойной обстановке, можно
полазить по форумам и почитать, что писал пользователь.
Пришла пора разобраться с почтой. Можно запустить почтовик, который
используется, и почитать, а можно скопировать базы с письмами и
разобраться потом. Если используется Outlook Express, то достаточно
найти, где находится файл с именем «Входящие» и весь каталог
скопировать себе на флэшку. Даже если пользователь аккуратно удалял все
письма, то они всё равно остаются в базе, пока он не применит команду
«Сжать все базы». А кто это делает? Есть программы, которые
восстанавливают такие удаленные письма.
Далее уже коротко:
- Всеми любимый QIP хранит всю переписку в C:\Program Files\QIP\Users\номер\History;
- С какими документами и файлами работал пользователь, смотрите в C:\Documents and Settings\имя \Recent;
- Какие программы запускал и когда видно в C:\WINDOWS\Prefetch;
- В браузере (Internet Explorer, Opera и т.д.) можно посмотреть историю посещенных сайтов.
Есть простор, где поковыряться любопытному человеку. Как раз и поиск
удаленных файлов закончился, там тоже много интересного можно найти.
При большом желании это всё можно сделать и удаленно, даже не подходя к
компьютеру. Windows, установленная по умолчанию, довольно дырявая
система, и защитить её обычному пользователю практически нереально. Это
труд, который должны делать специалисты.
Так что анонимность, тайна переписки, приватные данные и пароли в век компьютеров – не более чем самообман, уверяю вас.