Những "mẹo" "truy tìm dấu vết" hiệu quả trên Internet

Hầu hết những file có chứa nội dung, lệnh để chúng ta truy vết thường có dung lượng rất nhỏ và có thể mở bằng Notepad (file .txt hoặc .log …).

1. Windows Log

Thường thì các file log này sẽ nằm trong thư mục: C:\WINDOWS và thư mục C:\WINDOWS\system32\LogFiles\

setupact.log: Danh sách các tiến trình của quá trình cài đặt như những file nào được copy vào đâu.

setuperr.log: Các lỗi xảy ra trong quá trình cài đặt.

setupapi.log: Windows sẽ ghi mọi thông tin nào vào file này khi có 1 file .inf được thực thi.

netsetup.log, netlogon.log: Thông tin về mạng, Workgroup và Domain (Các file này năm trong thư mục C:\WINDOWS\Debug).

C:\spoolerlogs\spooler.xml: Có những nội dung giới thiệu cho bạn biết những lệnh chờ in đã được thực hiện từ PC đó. Với những thông tin từ đây chúng ta có thể phân tích trong mạng có những máy in nào, thể loại, IP là gì.

WindowsUpdate.log: Những thông tin về ngày tháng, thể loại, nội dung các Update đã được thực hiện.

2. Temporary Internet Files

Nơi ghi tạm thời các trang web mà chúng ta đã dùng Internet Explorer để duyệt. Chính từ đây các bạn có thể xem những trang web nào mà người dùng đã vào, những file gì đã được lưu tạm …

Cách xem, xóa, thiết lập với thư mục trên được hiển thị chi tiết ở Hình 1

Xóa vết: Mở IE lên > Tools > Internet Options > Advanced > Settings > Security > Tích chọn vào “Empty temporary Internet folder when browser is closed”.

<!--[if !vml]-->

Hình 1: Xóa vết trong IE

3. Các trình duyệt

Mỗi trình duyệt có những thiết lập log riêng biệt. Chủ yếu các trình duyệt ghi lại những trang đã vào, các cookie, các file đã download, những cụm từ đã nhập để tìm kiếm …

Riêng với Mozilla Firefox:

• Các file đã download: Tools > Downloads (Ctrl+J)
• History và Recently closed tabs: Những trang web vừa vào và những TAB vừa đóng.

Xóa vết: Mở Firefox > Tools > Options > Privacy > Click chọn “Always clear …” và click chọn hết vào các lựa chọn có trong phần Settings (Hình 2).

<!--[if !vml]-->

Hình 2: Xóa vết trong Firefox

4. Recent documents

Những tài liệu đã được mở ở thời điểm trước đó.

<!--[if !vml]-->

Hình 3: Taskbar and Start menu

Xóa vết:

Start > Settings > Taskbar and Start Menu (Hình 3) > Start menu > Customize > Clear > OK (Hình 4).

<!--[if !vml]-->

Hình 4: Clear Recent Documents

MẸO: Để xóa hẳn liên kết Documents từ Start, chúng ta vào Start > Run > Gõ GPEDIT.MSC rồi cấu hình như ở Hình 5. Hoặc bạn để Windows tự động thực hiện công việc ở Hình 4 một cách tự động mỗi khi khởi động lại bằng cách Enable “Clear history of recently opened documents on exit”.

<!--[if !vml]-->

Hình 5: Xóa liên kết Documents

5. Run

Những câu lệnh đã chạy, những file được mở từ Start > Run.

Xóa vết: Các thiết lập tương tự Hình 5 nhưng ở đây chúng ta enable thành phần “Remove Run menu from Start Menu”.

6. Search

Những gì đã tìm kiếm từ Start > Search.

Xóa vết: Tương tự Hình 5 nhưng ở đây chúng ta Enable thành phần “Remove Search menu from Start menu”.

7. Start up

Những gì được tự động chạy mỗi khi Windows khởi động lên cũng có thể là nơi mà chúng ta cần nghiên cứu trong công việc này.

Xóa vết: Start > Run > Gõ MSCONFIG > chuyển tới TAB Start up rồi click bỏ chọn lựa chọn nào bạn không muốn tự động.

8. Recycle bin

Chính thùng rác cũng là nơi mà chúng ta có thể phát hiện được những gì người dùng mới chỉ xóa vào đó.

Xóa vết: Phải chuột vào biểu tượng thùng rác ở ngoài Desktop (màn hình nền) > Empty Recycle bin.

9. WMP (Windows Media Player)

Nếu người dùng không xóa bỏ một số lựa chọn thì chính từ WMP chúng ta cũng có thể phát hiện được những gì họ đã mở trước đó.

Xóa vết: Tools > Options > Privacy > Click bỏ lựa chọn mặc định “Save file and URL history in the Player”.

<!--[if !vml]-->

Hình 6: Xóa vết trong WMP

10. Microsoft Word

Khi phải chuột vào một số file nào đó chúng ta có thể phát hiện được một số thông tin bí mật. Ví dụ như Title (tiêu đề) của file.

Xóa vết: Xóa hoặc chỉnh sửa Title (tiêu đề) đó thành nội dung khác.

<!--[if !vml]-->

Hình 7: Tiêu đề file có thể hiển thị một số thông tin

Hầu hết các phần mềm đều có liên kết “Recent open” để hiển thị những file đã được mở gần nhất. Ví dụ với Microsoft Word chúng ta thấy mặc định là liệt kê 4 file.

<!--[if !vml]-->

Hình 8: Các file đã được mở gần nhất trước đó

Xóa vết: Tools > Options > General > Click bỏ lựa chọn mặc định “Recently used file list” hoặc đưa số 4 mặc định đó về 0.

11. Winrar

<!--[if !vml]-->

Hình 9: Log của Winrar

Tương tự như các sản phẩm của bộ Microsoft Office, Winrar cũng để lại các file đã mở, xử lý (Hình 9). Các bạn có thể bấm tổ hợp phím Ctrl+L để xem.

Xóa vết: Options > Clear log.

12. Ctrl+V, Ctrl+Z

Nhiều lúc rất bất ngờ mà bạn lại có được những thông tin rất hữu ích để truy vết. Thật đơn giản bạn chỉ cần bấm những tổ hợp phím Ctrl+V để paste những gì đã được copy trước đó (paste vào word hoặc paint…). Cũng tương tự, nhiều lúc bạn bấm tổ hợp phím Ctrl+Z cũng có thể có những thông tin log thật hữu ích.

13. Log từ các phần mềm

Rất nhiều phần mềm tự động ghi vết khi làm việc. Phân tích các log đó các bạn có thể biết thêm người dùng đã làm gì trước đó, những phần mềm đã tự phát sinh những gì trong quá trình xử lý.

<!--[if !supportLists]-->·<!--[endif]-->C:\Documents and Settings\Administrator\Local Settings: Những thiết lập riêng cho từng phần mềm đã được cài đặt trên PC của bạn.

<!--[if !supportLists]-->·<!--[endif]-->C:\Documents and Settings\Administrator\Application Data: Log của hầu hết các phần mềm đã cài đặt trên PC của bạn (Mỗi phần mềm là một thư mục riêng).

<!--[if !supportLists]-->·<!--[endif]-->C:\Program Files\Internet Download Manager\ IDMSetup.log: Xem những file nào đã được IDM cài đặt vào đâu trên PC của bạn.

<!--[if !supportLists]-->·<!--[endif]-->C:\Documents and Settings\Administrator\Application Data\IDM\UrlHistory.txt: Những file mà IDM đã download.

<!--[if !supportLists]-->·<!--[endif]-->C:\Documents and Settings\Administrator\Application Data\IDM\DwnlData\Administrator: Ghi lại chi tiết các tiến trình download của từng file.

(Trên PC của bạn Administrator có thể là ký tự khác)

<!--[if !supportLists]-->·<!--[endif]-->C:\Program Files\Mozilla Firefox\ install.log: Những gì đã được xử lý khi cài đặt Mozilla Firefox.

14. Event View

Từ Event View chúng ta có thể phát hiện phiên đăng nhập nào, từ máy nào đã thành công, thất bại; Những công cụ nào đã chạy lỗi …

Xóa vết: Start > Settings > Control panel > Administrative Tools > Event view > Action > Clear all Events.

Còn rất nhiều nơi mà chúng ta có thể lục tìm để truy vết người dùng. Trong khuôn khổ của bài viết, tác giả chỉ giới thiệu tới các bạn những nơi có thể truy vết hiệu quả nhất. Cách “xóa vết” một cách tổng thể thì các bạn có thể dùng phần mềm Ccleaner.