kako uloviti vdiralca

Kolegu je nekdo vdrl v racunalnik. Pravi, da je imel vpogled v njegov PC in je lahko uporabljaj njegov MSN account, na katerem mu je spremenil geslo. Podatki in programi so ok, edino pc mu lahko ugasa. Nalozene ima XP, za varnost pa nalozen nenastavljen firewall Comodo, ki je pokazal napad iz IPja, ki si ga ni zapisal. Program je nato zamenjal za ZoneAlarm in ugasnil pc. Vdiralec je kak znanec, ki bi se rad malo dokazal, saj je drugim preko MSNja razlagal kaj trenutno pocne kolega na racunalniku.

Pri kolegu se nisem bil, tako da ne vem tocno kaj vse je vdiralec spreminjal. Kolega pc-ja od takrat ne uporablja in ga je seveda izkljucil.

Predlagal sem mu naj poklice svojega ISP ponudnika(T2) mu razlozi in prosi naj mu omogocijo najvisjo varnost prikljucka in naredijo, kar se pac da narest. Predlagal sem mu naj uporablja Ubuntu z LiveCDja, ce rabi kaj nujno pogledat na netu.

Kako sedaj ugotovit kdo je?

Kakšnega preprostega recepta kako ga uloviti ni. Treba je pač pogledati loge, narediti forenzično analizo diska, itd. Precej dolgotrajno delo je to lahko - pa še kar nekaj izkušenj rabiš.

stop looking at porn and clicking "yes". =)

MSN gesla ne more spremeniti, ker mu ga je ze ta ki mu je vdrl, tako da nima dostopa.

Rad bi izvedel kdo je, ker zanima mene in kolega, ki sumi da je nekdo ki ga pozna.


Ideja je ta, da grem do kolega in izklopim firewall in spremenim comp v honeypot. Sabo bom vzel swich in vtaknil ethernet kabel v laptopa z BackTrack 3. S programom Wireshark bi prestrezal pakete, da vidim podatke z zice.
Saj obstaja velika verjetnost da se bo vrnl na kraj zlocina in se malo nagajal.

Mi lahko kdo malo svetuje kako narest honeypot in predlaga se kaksna orodja in njihovo uporabo.

Se pravi loge od firewalla nima vec, ker ga je zamenjal za Zone alarm, edino ce so se kje ostali.

Kje bi se se kaj naslo? In pa kako, s katerim orodjem narediti forenzicno analizo diskov?