|
Всем привет. Нужны советы, программы скрипты по аудиту инцидентов в виндус системх. Допустим,есть дамп или образ ФС\Системы. Нужны разобраться что происходило в ней, кто заходил, кто уходил, кто что ставил, удалял, менял, кто что запускал, когда и где был файл итд. В ручную я затрахаюсь искать все возможные логи, так же анализировать, нужны программы, или скрипты которые соберут для меня информацию. Вообщем делитесь кто что может подсказать.
|
Цитата:
Вот годная статья, на основе которой уже можно понять - куда и как копать https://habr.com/ru/company/group-ib/blog/449100/ |
Last Activity view:
небольшая бесплатная утилита, которая предназначена для сбора информации об активности пользователя ПК и отображения журнала событий. Программа позволяет узнать какие исполнительные файлы запускались, время данного события, сведения о времени включения и выключения компьютера, используемые сетевые подключения и устанавливаемые приложения, открываемые папки и файлы в Проводнике и многое другое. Полученную информацию можно легко экспортировать в CSV/XML/HTML файл или скопировать ее в буфер обмена. Программа не требует инсталляции. ____ https://www.nirsoft.net/utils/comput...vity_view.html |
Цитата:
|
Цитата:
|
Затестировал программу
https://www.nirsoft.net/utils/comput...vity_view.html Очень не информативная, нету кто открывал. А это почти одно из главных. нету изминений,что изменили,что на что, итд. |
Цитата:
Я вообще таких нормальных не видел. Можно вручную разве что сделать. Похукать CreateFile и сразу у тебя появляется возможность отслеживать (почти) все файловые операции. |
Цитата:
|
Цитата:
Перед этим создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку. по событиям отслеживать активность тоже не найс |
Цитата:
|
100% на PS есть такое. Типа bloodhound, PowerUp, итд, надо найти. Если будут идеии пишите. Можно будет программу антифонензики заебошить
|
Цитата:
Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши. Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод. Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc. Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота. Пример работы: Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик) Клик, создание файла, кейлогер название Правый клик мыши, контекстное меню (скриншоты), переименовать Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину) Минусы данного подхода - это размер логов. |
Цитата:
|
Цитата:
1) Обычный кейлогер с датой и временем 2) Файловый мониторинг папок 3) Ограничение записи во все папки кроме отслеживаемых 4) Слежение за сетевыми запросами браузера. По стандартному журналу оценить сложно, как и по снимку до и после, если нужно что делал во время. |
Цитата:
|
Цитата:
можно по событиям, но это не точно, хотел бы более наглядное что-то. Так сказать DiGiTal Forensics |
Цитата:
|
А Игорёк вообще молодец!
Молчал-молчал такой... 9 лет, а сегодня прям прорвало! |
Цитата:
Даже теневые копии и то не всегда, помогут. Цитата:
|
Вообще, ещё нужен план.
1) глянуть ГПО 2) юзеров 3) сетевая активность 4) итд..... Нигде не встречал норм мануалов. По линуксу тоже кстати, только. смотрите логи, логи лежат по умолчанию в /var/logs/ на этом всё. Может человек из GIB чего-то подскажет..... |
Цитата:
По виндовс, дату установки программ. По дате файлов не получится, по дате ярлыков и в реестре, узнаем. Сетевая активность, только то что в журнале и кеше браузера, остальное не сохраняется. Файлы дампов и файлы "сна" - может что то быть. Пользователей для большинства домашних систем можно не смотреть, там один будет. На серверах тоже редко настраивают нормальные права, даже сам, зная как настраивать не везде могу настроить, иначе программы не работают. |
Цитата:
|
Да Хороший дистрибутив, знаю его. Но это не отвечает на мой вопрос.
|
Немного поздновато, но всё-же... В принципе, если в GPO не настроены толком логи, то много чего важного не увидите, но всё-же. Есть возможность поднять эластиксёрч и туда загнать логи от винды. Есть свои плюсы и минусы, по сравнению с тем же журналом событий. В эластиксёрче видны события по времени и легко искать, к тому же можно с помощью фильтров сразу несколько событий по ID фильтровать. Но жрёт просто проц и наскоком в нём не разобраться. Да и тут вот чисто технически.
|
Цитата:
Мои ответы такие 1 это :«запись действий» -утилита дефолд 2 - фото что креплю должно подсказать тебе все https://encrypted-tbn0.gstatic.com/i...5gZE_QnsRvTpSD |
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
| Время: 21:12 |