|
Всем привет. Нужны советы, программы скрипты по аудиту инцидентов в виндус системх. Допустим,есть дамп или образ ФС\Системы. Нужны разобраться что происходило в ней, кто заходил, кто уходил, кто что ставил, удалял, менял, кто что запускал, когда и где был файл итд. В ручную я затрахаюсь искать все возможные логи, так же анализировать, нужны программы, или скрипты которые соберут для меня информацию. Вообщем делитесь кто что может подсказать.
|
Цитата:
Вот годная статья, на основе которой уже можно понять - куда и как копать https://habr.com/ru/company/group-ib/blog/449100/ |
Last Activity view:
небольшая бесплатная утилита, которая предназначена для сбора информации об активности пользователя ПК и отображения журнала событий. Программа позволяет узнать какие исполнительные файлы запускались, время данного события, сведения о времени включения и выключения компьютера, используемые сетевые подключения и устанавливаемые приложения, открываемые папки и файлы в Проводнике и многое другое. Полученную информацию можно легко экспортировать в CSV/XML/HTML файл или скопировать ее в буфер обмена. Программа не требует инсталляции. ____ https://www.nirsoft.net/utils/comput...vity_view.html |
Цитата:
|
Цитата:
|
Затестировал программу
https://www.nirsoft.net/utils/comput...vity_view.html Очень не информативная, нету кто открывал. А это почти одно из главных. нету изминений,что изменили,что на что, итд. |
Цитата:
Я вообще таких нормальных не видел. Можно вручную разве что сделать. Похукать CreateFile и сразу у тебя появляется возможность отслеживать (почти) все файловые операции. |
Цитата:
|
Цитата:
Перед этим создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку. по событиям отслеживать активность тоже не найс |
Цитата:
|
| Время: 06:36 |