En primer lugar, un descargo de responsabilidad "legal": si su colega lo ha hecho, ¿cómo se relaciona esto con las políticas de seguridad de su empresa y quién está a cargo de este último? Dos soluciones posibles serían ir a su $ {BOFH} local y buscar ayuda, o dejarle pistas generales de que puede hacerlo (porque "su estación de trabajo se siente inactiva", por ejemplo) con la esperanza de que su colega luego proceda a deshacer El daño.
También deberías preguntarte cómo te enfrentas a este colega tuyo, es decir, ¿por qué hizo esto? ¿Es este tipo de comportamiento aceptable? ¿Cómo reaccionará él / ella a su investigación de la situación si se da cuenta de que está sucediendo? ¿Qué harás si descubres algo y qué pasa si no descubres nada?
Una respuesta completa no es factible por las razones ya indicadas por Scott Pack, por lo que este es mi intento muy limitado.
Si necesita / quiere hacer justicia en sus propias manos, por así decirlo, tenga cuidado de hacerlo de una manera que no sea incompatible con las políticas de seguridad de su empresa. Por ejemplo, un truco sucio que confieso haberle hecho a un colega mío hace tantos años que implicaba dejarlo disponible para "yo mismo" (y quien me pueda personificar, es decir, él) un ejecutable que pretende ser un juego divertido y de broma porno. En realidad, era una aplicación "screamer", que era solo en el límite aceptable porque fingía creer que había sido engañado por el mismo sitio web que me había engañado. Este tipo de esquema es una variante de la "olla de miel" y se usa a menudo con documentos; básicamente, usted difunde información (ejecutables, documentos, etc.) de tal manera que cualquier persona que tenga acceso indebido a ellos está obligado a modificar su comportamiento de una manera reconocible . Si el nuevo comportamiento implica una infracción de la ley, la información se denomina sting y la que la proporciona (es decir, usted) puede ser procesada en algunas legislaciones.
Una forma más directa de recopilar evidencia sería investigar la estructura y el comportamiento de la máquina. Los keyloggers de hardware son reemplazos de teclado o pequeños complementos que se encontrarán a lo largo del cable del teclado (en configuraciones más sofisticadas, dentro del propio teclado). Los keyloggers de software son en tiempo real (es decir, transmiten claves a través de IP, generalmente a través de UDP, y son visibles para los sniffers de LAN; o bien ve conexiones TCP ESTABLECIDAS inexplicadas en algún lugar extraño, como la estación de trabajo de su compañero de trabajo, o tráfico UDP igualmente inexplicable). retrasado. Estos últimos almacenan su botín en archivos ocultos continuamente, y verás procesos inexplicables que abren archivos usando, por ejemplo, Explorador de procesos, o al reiniciar o cerrar la sesión del usuario. En este último caso, los keyloggers descuidados pueden ser reconocidos al inspeccionar cualquier archivo que se haya cambiado desde el último reinicio / cierre de sesión. Usted podría por ejemplo reinicie dos veces, abriendo y cerrando el Bloc de notas, uno casi sin usar el teclado, el segundo después de escribir (y no guardar) algunos kilobytes de basura. La comprobación de los tiempos y tamaños de los archivos modificados debería ofrecer algunas sugerencias.
Otra técnica (que normalmente requiere comenzar a partir de un sistema limpio conocido, y la suya definitivamente no lo es) es calcular una firma de integridad de todos los archivos del sistema y no del sistema (por ejemplo, "TripWire"). Esto lo ayudará a determinar nuevas modificaciones (pero recuerde que Windows Update generalmente mantiene el sistema en un estado muy fluido :-)) y señala los archivos cuyas marcas de tiempo no cambiaron mientras que sus contenidos lo hicieron , que es típico de los keyloggers más avanzados (puede ocultarse de un control de marca de tiempo, pero no de un control MD5; este último es muy costoso y, por lo tanto, raro, tiene sentido tratar de frustrar el primero).
Finalmente, mantenga un registro de sus accesos a su estación de trabajo y verifique con los registros de acceso del sistema si hay discrepancias.