Jak wykrywać ataki cyberprzestępców

Niekiedy oprogramowanie zabezpieczające przegapia włamanie do komputera. W razie uzasadnionych podejrzeń weź sprawę we własne ręce i niczym detektyw udaj się tropem cyberprzestępców.

Programom antywirusowym zdarza się przeoczyć ataki internetowych kryminalistów. Poniższe porady pomogą ci ustalać, co dzieje się w twoim komputerze.

Windows prowadzi swoisty protokół zdarzeń, w którym odnotowuje wszystko, co ma miejsce w systemie operacyjnym, a ma wpływ na jego działanie. To wyjątkowo cenny raport. Gdy do systemu dostanie się złośliwy kod, z bardzo dużym prawdopodobieństwem pozostawi ślady we wspomnianym protokole. Użytkownik, któremu uda się odnaleźć i zinterpretować te tropy, może zdemaskować szkodliwy kod nawet wtedy, gdy zawiedzie program antywirusowy i inne specjalistyczne narzędzia zabezpieczające.

Zobacz również:

W poniższym materiale opisujemy zasady działania programu systemowego Podgląd zdarzeń, który w Windows odpowiada za tworzenie wspomnianego protokołu. Wyjaśniamy, które wpisy powinieneś zbadać, gdy podejrzewasz, że twój system został zaatakowany przez internetowych kryminalistów. Niemniej jednak warto zachować ostrożność. Wprawdzie wpisy, które wzbudzą twój niepokój, mogą być oznaką włamania z użyciem złośliwego kodu, lecz równie dobrze mogą pojawić się wskutek działania nieszkodliwego oprogramowania. Analizowanie protokołu zdarzeń niekiedy do złudzenia przypomina pracę dedektywa.

Porady dla administratorów. Badanie protokołu zdarzeń może okazać się bardzo przydatną czynnością dla administratorów firmowej infrastruktury IT. Zwraca na to uwagę autor Russ Anthony w swoim artykule „Detecting Security Incidents Using Windows Workstation Event Logs” dla spółki SANS Institute. Angielskojęzyczny oryginał tego dokumentu jest dostępny bezpłatnie w postaci pliku PDF pod tym adresem.

Protokół zdarzeń w systemie Windows

Zarówno system operacyjny Windows, jak i zainstalowane w nim aplikacje, korzystają z protokołu zdarzeń, aby rejestrować określone zajścia i informacje o stanie systemu. Raport, o którym mowa, nosi w systemie Windows nazwę dziennika i figuruje w Podglądzie zdarzeń. Aby otworzyć ten element w Windows XP, kliknij menu Start | Panel sterowania. Następnie kliknij kategorię Wydajność i konserwacja, polecenie Narzędzia administracyjne. Teraz kliknij dwukrotnie ikonę Zarządzanie komputerem i rozwiń gałąź Podgląd zdarzeń (lokalnie).

Tabela - najważniejsze identyfikatory zdarzeńKliknij, aby powiększyćTabela - najważniejsze identyfikatory zdarzeń

W Viście i Windows 7 przywołaj menu Start | Panel sterowania. Otwórz kategorię System i zabezpieczenia. Następnie kliknij polecenie Wyświetl dzienniki zdarzeń, które znajduje się w sekcji Narzędzia administracyjne w dolnej części okna. W razie potrzeby potwierdź komunikat Ochrony konta użytkownika.

W Windows 8 przywołaj okno Eksploratora, klikając jego ikonę na paski zadań. Gdy klikniesz napis Komputer w pionowym panelu po lewej stronie, w górnej części okna pojawi się wstążka. Przy jej prawej krawędzi widnieje polecenie Zarządzaj. Po jego kliknięciu pojawi się okno Zarządzanie komputerem. W drzewie kategorii po lewej stronie rozwiń gałąź Zarządzanie komputerem (lokalne). W obrębie gałęzi podrzędnej Narzędzia systemowe znajduje się wpis Podgląd zdarzeń.

Alternatywnie możesz nacisnąć klawisze [Windows R] i wpisać polecenie eventvwr.msc w oknie Uruchamianie. Ta metoda działa we wszystkich wersjach systemu Windows. W nowszych można wpisać Podgląd zdarzeń w polu wyszukiwania menu Start, po czym kliknąć polecenie Wyświetl dzienniki zdarzeń. Przeglądarka zdarzeń zmieniła się pod względem obsługi i funkcjonalności wraz wprowadzeniem Visty. Poniższe rady demonstrujemy na przykładzie wersji dostępnej w edycjach Vista, 7 i 8.

Poszczególne listy zdarzeń. Główne okno narzędzia Podgląd zdarzeń jest podzielone na trzy części. W pionowym panelu po lewej stronie znajduje się drzewo kategorii. Gdy rozwiniesz gałąź Podgląd zdarzeń (Lokalny) | Dzienniki systemu Windows, ujrzysz poszczególne protokoły. Są to Aplikacja, Zabezpieczenia, Ustawienia i System. Gdy wskażesz jeden z nich, w środkowej części okna zostanie wyświetlona lista poszczególnych wpisów dziennika. Poszczególne wpisy są podzielone na trzy kategorie zależnie od wagi zdarzenia – Informacje, Ostrzeżenia, Błędy i Krytyczne. Stosowna wzmianka o ich zakwalifikowaniu widnieje przy każdym z nich w kolumnie Poziom.

Warto nadmienić, że w Windows 8 kolumna Poziom nie jest wyświetlana domyślnie. Trzeba ją włączyć za pośrednictwem menu Widok | Dodaj/Usuń kolumny.

Okno podglądu zdarzeń jest podzielone na trzy części. Lewa zawiera drzewo dzienników, środkowa ich zawartość (wraz z panelem szczegółów), lewa zaś przydatne polecenia.Kliknij, aby powiększyćOkno podglądu zdarzeń jest podzielone na trzy części. Lewa zawiera drzewo dzienników, środkowa ich zawartość (wraz z panelem szczegółów), lewa zaś przydatne polecenia.

Struktura wpisu dziennika. Kliknij żądany wpis na liście, aby ujrzeć szczegółowe informacje na jego temat w okienku podglądu, który znajduje się w dolnej części środkowej części okna. Jeśli jest niewidoczne, musisz je przywołać, klikając menu Widok | Okienko podglądu. Obok daty i dokładnej pory, w której miało miejsce dane zdarzenie, wpis gromadzi cały zestaw dodatkowych informacji. W kolumnie Źródło jest wyszczególniona nazwa składnika, który spowodował dane zdarzenie. Oprócz tego do każdego zdarzenia jest przypisany specjalny numer podany w kolumnie Identyfikator zdarzenia. Najbardziej ciekawe informacje są wyszczególnione w ramce na karcie Szczegóły (w Windows XP nosi nazwę Opis, w pozostałych edycjach systemu nie ma nazwy). Windows opisuje w niej z mniejszą lub większą dokładnością znaczenie bieżącego wpisu.