Zo ontdek je of een hacker (of een ander) in je pc is geweest

© PXimport

Zo ontdek je of een hacker (of een ander) in je pc is geweest

Geplaatst: 2 oktober 2019 - 09:07

Aangepast: 14 december 2022 - 13:27

Dirk Schoofs

Komt het omdat je werktafel er plots anders bijligt? Of omdat het bureaublad van je computer open en bloot staat, terwijl de schermbeveiliging nog aan stond toen je daarnet naar het toilet ging? Plots besluipt je het ongemakkelijke gevoel dat iemand heeft zitten neuzen in je computer. Word je paranoïde, ben je té achterdochtig? Volg deze stappen om na te gaan of iemand in je pc heeft gesnuffeld.

Tip 01: Recente bestanden

De eenvoudigste manier om te controleren of er iemand in ‘t geniep op je computer heeft gewerkt, is even snel de recente bestanden checken. Windows heeft de functie Snelle toegang toegevoegd om vlot terug te gaan naar de bestanden waaraan je recent hebt gewerkt. Daarom open je een nieuw venster in Windows Verkenner of je gebruikt de toetsencombinatie Ctrl+E. In de linkerkolom vind je bovenaan het item Snelle toegang. Hiermee krijg je rechts een lijst van recente bestanden te zien. Als er in deze lijst bestanden voorkomen waarvan je je niet herinnert dat je ze onlangs hebt bewerkt, weet je meteen dat iemand zich toegang heeft verschaft tot jouw account. Bovendien lees je welke bestanden deze toch wel onhandige insluiper heeft gewijzigd.

 

© PXimport

Tip 02: Leeg is verdacht

Het is niet moeilijk om de geschiedenis van Verkenner te wissen. Via de rechtermuisknop open je in Snelle toegang de Opties en in het tabblad Algemeen gebruik je de opdracht Geschiedenis van Verkenner wissen. Je kunt dan niet meer zien welke bestanden onlangs zijn bewerkt. Aan de andere kant zou een indringer die op deze manier zijn spoor wil verwijderen zich pas echt verraden. Hoe kan de lijst met recente bestanden anders leeggemaakt zijn?

 

© PXimport

Tip 03: Gewijzigde bestanden

In Windows Verkenner kun je ook meer gericht zoeken naar gewijzigde bestanden. Maximaliseer het lint van Verkenner, klik in het zoekvak en kies in het lint de optie Gewijzigd op. Je hebt de keuze uit: Vandaag, Gisteren, Deze week enzovoort. Het is mogelijk de zoekopdracht te verfijnen door middel van een datumbereik, maar waarschijnlijk is de optie Vandaag de meest nuttige. Het resultaat is weerom een lijst met bestanden waaraan iets gewijzigd is. Controleer de tijdstippen van deze lijst. Wanneer je systeem het bestand automatisch heeft opgeslagen terwijl de indringer aan het werk was, zul je dit via deze weg ontdekken.

 

© PXimport

Vergrendelen

 

© PXimport

Zelfs iemand die via de incognito-modus op jouw computer heeft gesurft laat sporen na

-

Tip 04: Browsergeschiedenis

Misschien heeft een collega stiekem de internetbrowser op jouw machine gebruikt om bijvoorbeeld je bookmarks te bekijken? Hoewel een slimme gebruiker de incognito- of privémodus van je webbrowser zal gebruiken, kan het zeker geen kwaad om even de browsergeschiedenis te checken. Het is natuurlijk kinderspel om die geschiedenis te wissen, maar daarmee verraadt de indringer alweer zijn aanwezigheid. Zowel in Chrome als in Firefox of Microsoft Edge is de snelste weg naar de Geschiedenis de toetsencombinatie Ctrl+H (van History). De kans bestaat echter dat iemand jouw surfgeschiedenis heeft doorzocht. Dat merk je omdat de website die als laatste vanuit jouw geschiedenislijst is doorzocht plots bovenaan staat. In Edge en Chrome lees je in de geschiedenis zelfs het tijdstip waarop de website is bezocht en dat kan veel verduidelijken.

 

© PXimport

Tip 05: Toch niet zo incognito

Zelfs iemand die via de incognito-modus op jouw computer heeft gesurft laat sporen na. In deze modus zal de browser niets lokaal op je computer bewaren, zelfs cookies worden na de sessie verwijderd. Toch worden deze gegevens wel in het dns-cachegeheugen van de computer opgeslagen. Deze informatie blijft beschikbaar tot je de computer uitschakelt. Om alle url’s te zien die in de incognito-modus zijn bezocht, druk je op Windows-toets+R. In het venster Uitvoeren typ je cmd en je bevestigt met Enter. De dos-prompt verschijnt en daarin typ je ipconfig /displaydns. Dit levert een lijst op van alle bezochte internetadressen, ook van degene die je incognito bezocht. Is de lijst te lang, dan kun je die exporteren in een tekstbestand met ipconfig /displaydns > dns.txt. Dit bestand wordt meestal opgeslagen in de gebruikersmap op de C-schijf.

 

© PXimport

Tip 06: Logboeken

Hebben de vorige methoden niets opgeleverd, dan kun je naar sporen van inbraak zoeken in de logboeken. De meeste events die Windows hier registreert, zijn hooguit interessant voor statistische doeleinden, maar als je de juiste meldingen eruit pikt, kun je zien wie wanneer heeft ingelogd. Zoek Logboeken en open de app. Vervolgens ga je naar Windows-logboeken en vandaar naar Beveiliging. Je krijgt een lage lijst met activiteiten waarvan de meeste je waarschijnlijk niets zullen zeggen, tenzij je de Windows-codes goed kent. Let op Gebeurtenis-id 4624 voor standaardaanmeldingen, en 4634 voor afmeldingen. Klik op een item als je meer informatie wilt en controleer of een gebruiker is ingelogd op het systeem terwijl je weg was. De meeste aanmeldingen zullen van het account System komen. Dit systeemaccount wordt gebruikt om taken uit te voeren en deze aanmeldingen kun je negeren. Bij Trefwoorden lees je Controle mislukt (met hangslot) of Controle geslaagd (met sleutel), afhankelijk of het om een mislukte of een geslaagde poging gaat.

 

© PXimport

Tip 07: Logboek filteren

Lastig met logboeken is dat ze meestal een onoverzichtelijke lijst items bevatten. Gelukkig is er een zoekfunctie in het menu Acties. Via deze zoekfunctie kun je op een periode zoeken (afgelopen uur, afgelopen 12 uur, afgelopen 24 uur, afgelopen 7 dagen enzovoort). Bovendien kun je het logboek filteren. Klik in het menu Acties op Huidig logboek filteren. Als je alle gebeurtenissen tussen 4624 en 4634 wilt zien (de aanmeldingen en afmeldingen), dan typ je in het filtervenster 4624-4634. Typ bij Gebruiker de naam van de gebruikersaccounts waarop je wilt filteren. Eventueel kun je meerdere gebruikersaccounts opgeven door deze met een komma van elkaar te scheiden. Klik op OK om het filter toe te passen.

 

© PXimport

Tip 08: Controle activeren

De aanmeldingscontrole die bijhoudt wie er wanneer op je computer inlogt, werkt alleen op de professionele editie van Windows. Je kunt dit dus niet gebruiken als je een Home-editie hebt. Je gaat na of deze vorm van auditing is ingeschakeld via de Editor voor lokaal groepsbeleid. Druk Windows-toets+R in en in het venster Uitvoeren typ je gpedit.msc en je klikt op OK. Dan klik je in de linkerkolom op Windows-instellingen / Beveiligingsinstellingen / Lokaal beleid / Controlebeleid / Accountaanmeldingsgebeurtenissen controleren. Hier kun je de controle van Geslaagde pogingen en Mislukte pogingen activeren. Nadat je dit hebt gedaan, volg je via bovengenoemde methode de inlogpogingen in de logboeken.

 

© PXimport

Iemand die zich toegang verschaft tot je systeem kan makkelijk een keylogger plaatsen

-

Beleid

 

© PXimport

Tip 09: Keyloggers

Iemand die zich toegang verschaft tot je systeem kan makkelijk een keylogger plaatsen. Een keylogger is een programmaatje dat iedere toets registreert die je indrukt. Dat is dus iedere zin, iedere spatie, maar ook je wachtwoorden, banklogins, wachtwoorden voor sociale media en creditcardgegevens. Deze informatie stuurt de keylogger door naar de ontvanger. In de VS vallen keyloggers nog steeds onder de noemer ‘parental software’, omdat deze software ook gebruikt wordt om het computergedrag van eigen kinderen te bespioneren. Keyloggers opsporen is lastig omdat ze zijn ontworpen om verborgen te blijven. Recente anti-malwareprogramma’s zullen keyloggers traceren en verwijderen. Programma’s die korte metten zullen maken met deze malware zijn bijvoorbeeld MacAfee Rootkit Remover, een gratis dos-gebaseerde anti-keylogger-tool en AVG Antivirus.

 

© PXimport

Deel dit artikel
Voeg toe aan favorieten