Surveiller son ordinateur de façon efficace
Que ce soit pour les parents qui souhaitent protéger leurs fils, ou pour le chef d’entreprise qui souhaite surveiller son employé (attention à la légalité dans ce cas), il est toujours utile de surveiller son ordinateur pendant qu’on a le dos tourné pour y voir ce qui s’y passe quand on est pas là.
Je dis « attention à la légalité », car oui la surveillance est tolérée sous conditions, notamment d’information préalable.
Alors par surveillance on pense naturellement aux « logiciels de surveillance » type contrôle parental ou keyloggers. Et cela fonctionne effectivement.
Mais nous allons ici utiliser des outils plus simples, plus précis, et très adaptés pour surveiller son ordinateur.
Nous allons commencer par un programme appelé LastActivityView (Vue sur les dernières activités). Ce programme est développé par Nir Sofer, un programmeur C++ et .NET très expérimenté en programmation système.
L’outil est téléchargeable gratuitement ici : http://www.nirsoft.net/utils/computer_activity_view.html
Il est très facile d’utilisation, il suffit de le lancer et d’observer l’historique complet des activités s’afficher.
Sauf effacement volontaire, les actions effectuées sur votre ordinateur depuis qu’il a été acheté s’affichent :
- Les programmes installés et lancés
- Les ouvertures de dossiers
- Les heures de connexion et déconnexion
- Les connexions ou déconnexions au réseau
- etc…
Comment cela fonctionne-il ?
Ce programme récupère les informations à partir de divers endroit dont les events logs de Windows (logs d’évènements).
Car oui, finalement il n’y a pas de miracle, c’est Windows qui à la base a stocké bien au chaud toutes ces données !
Certaines structures sont non documentées, mais analysées par des chercheurs en forensiques. Je pense notamment aux Shellbags qui permettent de retrouver des noms de dossiers complètements supprimés il y a des années…
Je vous ai fait une vidéo dédiée à ce sujet que vous retrouverez ci-dessous :
Surveiller son ordinateur en temps réel
D’autres programmes permettent de surveiller son ordinateur en temps réel.
Ils peuvent être utiles pour par exemple vérifier les éventuels programmes malveillants qui se lancés sur l’ordinateur ou qui échangent des données sur le réseau.
Ces programmes sont à l’origine développés par Sysinternals, entreprise rachetée en 2006 par Microsoft.
Il y a d’abord ProcessExplorer (à télécharger ici : http://technet.microsoft.com/fr-fr/sysinternals/hh206031) qui permet de faire bien plus que le gestionnaire des tâches classique de Windows.
Il permet en particulier de savoir quels fichiers ou répertoires sont utilisés par un programme. Il affiche bien plus de détails que les informations classiques du gestionnaire des tâches de base.
Ensuite, et concernant le réseau, certains keyloggers envoient par exemple les logs par FTP, il est possible de voir l’IP du serveur distant via l’onglet « Remote Address » de l’outil TcpView : http://technet.microsoft.com/fr-fr/sysinternals/hh205947.
Toujours développé par Sysinternals, TcpView permet d’afficher les connexions TCP et UDP établies ou fermées.
Ces outils ne sont que la partie émergée de l’iceberg. Si l’analyse forensique et l’étude approfondie des systèmes à la recherche de traces vous intéressent, je vous propose les cours dédiés sur Cyberini :
Hacking éthique – Étude des logiciels malveillants où nous traitons également l’analyse des processus à lancement automatique (caractéristiques adorées par les virus). Ainsi que l’analyse des données dans la mémoire RAM. Vous apprendrez également les détails sur le fonctionnement des logiciels malveillants.
Nettoyage PC Désinfection et Sécurisation où nous allons décortiquer les extensions de navigateur malveillantes et voir comment nettoyer son pc de fond en comble avec divers outils, mais aussi diverses techniques utilisées par les pirates.
7 Commentaires
Cliquez ici pour ajouter un commentaire
Suite de logiciel trés interessante merci de la decouverte 😉
Bonjour 🙂 Selon toi, lequel serait mieux entre Process explorer et TCPView ? (au niveaux de la performance)
Salut, je les vois plutôt comme complémentaires l’un de l’autre, TCPView et certainement plus rapide car moins « lourd » 😉
merci pour cette nouvelle decouverte je vais pouvoir voir si des personnes se connecte en mon absence :p
tres bon tuto =) continu
En apprenant a lire les conditions et surtout en apprenant a écrire 😉
Bonjour Michel,
Je voudrais signalez le lien https://www.nirsoft.net/utils/computer_activity_view.html, quand on clique pour télécharger la version française de Mickael S, on est redirigé vers un site potentiellement malveillant.
Cdt,
Valentin
Cordialement
Bonjour Valentin,
Merci de l’avoir indiqué, même si techniquement je ne peux pas faire grand-chose pour cela, il faudrait demander directement à Nir Sofer le responsable du site nirsoft :). Amicalement, Michel.