Prima di tutto, un disclaimer "legale": se il tuo collega lo ha fatto, in che modo ciò si riferisce alle politiche di sicurezza della tua azienda e chi è responsabile di quest'ultimo? Due possibili soluzioni potrebbero essere quelle di andare al tuo $ {BOFH} locale e cercare assistenza, o lasciare un ampio suggerimento per farlo (perché "la tua workstation si sente pigra" per esempio) nella speranza che il tuo collega proceda quindi a annullare il danno.
Inoltre dovresti chiederti come stai contro questo tuo collega - cioè, perché lo ha fatto? Questo tipo di comportamento è accettabile? Come reagirà alla tua inchiesta sulla situazione se si renderà conto che sta accadendo? Cosa farai se scoprirai qualcosa e cosa succederebbe se non scoprissi nulla?
Una risposta esauriente non è fattibile per i motivi già indicati da Scott Pack, quindi questo è il mio tentativo molto stretto.
Se hai bisogno / vuoi prendere giustizia nelle tue mani, per così dire, fai attenzione a farlo in un modo che non sia incompatibile con le politiche di sicurezza della tua azienda. Per esempio, un trucco sporco che confesso di aver interpretato un mio collega oh tanti anni fa ha implicato la possibilità di lasciare a "me stesso" (e chiunque potrebbe impersonare me, cioè lui) un eseguibile che pretende di essere un gioco scherzoso. In realtà era un'applicazione "screamer", che era just borderline accettabile perché fingevo di credere che fosse stato ingannato dallo stesso sito web che mi aveva ingannato. Questo tipo di schema è una variante del "vaso del miele" ed è spesso usato con i documenti; fondamentalmente diffondi informazioni (eseguibili, documenti, ecc.) in modo tale che chiunque abbia accesso improprio a loro è destinato a modificare il suo comportamento in modo riconoscibile . Se il nuovo comportamento comporta la violazione della legge, l'informazione è chiamata sting e quella che la fornisce (cioè tu) potrebbe essere perseguita in alcune legislazioni.
Un modo più diretto di raccogliere prove sarebbe quello di investigare la struttura e il comportamento della macchina stessa. I keylogger hardware sono sostituzioni di tastiera o piccoli plug-in che si trovano lungo il cavo della tastiera (in configurazioni più sofisticate, all'interno della tastiera stessa). I keylogger del software sono in tempo reale (cioè trasmettono le chiavi via IP, solitamente tramite UDP, e sono visibili agli sniffer della LAN - o vedi connessioni TCP ESTABLICATE inspiegabili in qualche posto strano come la workstation del tuo collega, o il traffico UDP ugualmente inspiegabile) o ritardato. Questi ultimi memorizzano continuamente il loro bottino in file nascosti e vedrai processi non spiegati che aprono i file usando, ad es. Process Explorer, o al riavvio o al logout utente. In quest'ultimo caso, è possibile riconoscere i keylogger incuranti controllando qualsiasi file che risulta essere stato modificato dall'ultimo riavvio / disconnessione. Potresti ad es. riavvia due volte, aprendo e chiudendo il blocco note, uno quasi senza usare la tastiera, il secondo dopo aver scritto (e non salvato) alcuni kilobyte di spazzatura. Controllare i tempi e le dimensioni dei file modificati dovrebbe offrire alcuni suggerimenti.
Un'altra tecnica (che normalmente richiede di partire da un sistema pulito conosciuto, che sicuramente non è il tuo) è calcolare una firma di integrità da tutti i file di sistema e non di sistema (google, ad esempio "TripWire"). Questo aiuterà sia ad accertare ulteriori modifiche (ma ricorda che Windows Update di solito mantiene il sistema in uno stato molto fluido :-)) e individua quei file i cui timestamp non hanno cambiato mentre il loro contenuto , che è tipico dei keylogger più avanzati (è possibile nasconderlo da un controllo data / ora, ma non da un controllo MD5, essendo quest'ultimo molto costoso e quindi raro, ha senso cercare di contrastare il primo).
Infine, tieni un registro dei tuoi accessi alla tua stazione di lavoro e verifica con i registri di accesso del sistema se ci sono discrepanze.