Чаще всего, у обычных пользователей персональных компьютеров (ПК) возникают два вопроса, с которым не стыдно обратиться к специалисту. Первый из них связан с контекстной рекламой в браузерах и обычно формулируется как «Откуда компьютер знает, что недавно я искал что-то (например, пылесос), и подсовывает мне рекламу о нем?». На этот вопрос можно быстро и легко ответить, объяснив, что данные о поисковых запросах записываются в локальных файлах cookie (дословный перевод: печенюшки) и доступы поисковой системе, которая учитывает содержимое этих файлов при выводе персонифицированной рекламы – чтобы избавится от этого, сделайте полную очистку кэша и других локальных данных браузера или воспользуйтесь режимом анонимного просмотра (Tools > InPrivate Browsing в браузере IE или Настройки > Дополнительные настройки > Отправлять с исходящим трафиком запрос «Не отслеживать» в браузере Google Chrome).
Второй вопрос вынесен в заголовок этой статьи и ответ на него будет гораздо длиннее, однако мы предложим сразу три решения: одно простое и не очень надежное, второе – более сложное, но позволяющее бороться с квалифицированными сторонними пользователями, а третье – весьма сложное (потребуется написать сценарий/скрипт командной строки, поэтому такое решение подойдет только специалистам, зато оно позволит обнаружить даже действия системного администратора вашей корпоративной сети).
Итак, можно ненадолго отойти от оставленного без присмотра работающего компьютера или уехать в отпуск от правильно закрытого и выключенного ПК, но иногда (или достаточно часто, в зависимости от уровня оптимизма/пессимизма его владельца) возникает навязчивое подозрение, что ваш домашний или рабочий компьютер использовался другим человеком во время вашего отсутствия. В операционной системе всё может остаться как прежде, ведь незаконный пользователь не обязательно является злоумышленником, единственной целью, которого было нанесение наибольшего вреда – вполне возможно просто желание побыстрее выйти в Интернет по своим делам или необходимость копирования каких-либо файлов, срочно потребовавшихся на работе. Однако владелец ПК должен знать об этом и может проверить несанкционированное использование несколькими способами.
Первый способ: простой и ненадежный
1.1. Для операционной системы (ОС) Windows XP
По умолчанию, папка «Недавние документы» присутствует в меню Пуск и содержит список последних из использовавшиеся файлов:
Если эта папка отсутствует, можно разрешить ее вывод на экран. Для этого щелкните правой кнопкой мыши меню Пуск, выберите в контекстном меню пункт Свойства, установите флажок «Меню Пуск» (верхний, а не «Классическое меню Пуск«), щелкните Настроить, откройте вкладку Дополнительно и установите флажок «Отображать список недавно использовавшихся документов».
Кстати, рядом находится кнопка «Очистить список», позволяющая удалить все записи в списке (файлы и документы останутся на ПК). Поэтому пустой список «Недавние документы» должен вызвать больше подозрения, чем какие-то непонятные файлы-следы в этом списке, поскольку злоумышленник не только использовал ПК, но и попробовал скрыть свои следы.
Более профессиональный злоумышленник может индивидуально удалить любые файлы, которые зарегистрированы в списке. Для этого достаточно щелкнуть правой кнопкой мыши нужный пункт в списке «Недавние документы» и выбрать в контекстном меню команду Удалить.
Операционная система выведет окно «Подтверждение удаления файла«, но файл сохранится, а удален будет только пункт в списке «Недавние документы«. Однако именно возможность индивидуального удаления файлов-следов позволяет считать данный способ весьма ненадежным.
1.2. Для Windows 7
В этой версии ОС Windows пункт «Недавние документы» не отображается в меню Пуск по умолчанию, поэтому для регистрации в нем файлов придется предварительно добавить этот список.
Щелкните правой кнопкой мыши меню Пуск или панель задач, затем в соответствующем контекстном меню выберите вкладку для меню Пуск и установите два флажка в разделе Конфиденциальность.
Щелкните кнопку «Настроить…«. В диалоговом окне настройки меню Пуск прокрутите список вниз и установите флажок «Недавние документы», затем щелкните кнопку ОК в обоих диалоговых окнах.
Теперь в меню Пуск будет доступ к списку недавно открывавшихся файлов, работа с которым аналогична предыдущим версиям Windows, включая индивидуальное удаление пунктов в списке командой удаления из контекстного меню правого щелчка мыши на нужном нам документе.
Списки недавно открывавшихся файлов есть практически во всех приложениях, но список Windows является единым для всех программ. Однако злоумышленника могут интересовать не только файлы, но и доступ в Интернет без разрешения владельца ПК. Списки недавно использовавшихся адресов в браузерах помогут узнать о таких действиях.
В браузере Internet Explorer доступен не только список адресов, но и список недавних документов, причем поддерживается типовой способ индивидуальной очистки списка командой удаления из контекстного меню (рисунок показан для IE 8).
В браузере Google Chrome для доступа к списку адресов (ссылки на локальные файлы по понятным причинам уже не поддерживаются) выберите в главном меню пункт История. Этот список также поддерживает индивидуальное удаление записей через меню стрелки вниз для открытия меню свойств.
[…] В первой части этой статьи мы рассмотрели списки недавно открывавшихся файлов и веб-адресов в операционной системе и браузерах. Теперь можно обсудить второй способ: журнал (log) операционной системы Windows. […]