ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
29.04.2019, 05:02
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Всем привет. Нужны советы, программы скрипты по аудиту инцидентов в виндус системх. Допустим,есть дамп или образ ФС\Системы. Нужны разобраться что происходило в ней, кто заходил, кто уходил, кто что ставил, удалял, менял, кто что запускал, когда и где был файл итд. В ручную я затрахаюсь искать все возможные логи, так же анализировать, нужны программы, или скрипты которые соберут для меня информацию. Вообщем делитесь кто что может подсказать.
|
|
|
|
29.04.2019, 11:28
|
|
Guest
Сообщений: n/a
Провел на форуме:
12820
Репутация:
3
|
|
Сообщение от BabaDook
BabaDook said:
↑
Всем привет. Нужны советы, программы скрипты по аудиту инцидентов в виндус системх. Допустим,есть дамп или образ ФС\Системы. Нужны разобраться что происходило в ней, кто заходил, кто уходил, кто что ставил, удалял, менял, кто что запускал, когда и где был файл итд. В ручную я затрахаюсь искать все возможные логи, так же анализировать, нужны программы, или скрипты которые соберут для меня информацию. Вообщем делитесь кто что может подсказать. Полной автоматизации не получишь, т.к. хотелок много, а на каждой винде свои пути и нычки, так что только в ручную.
Вот годная статья, на основе которой уже можно понять - куда и как копать
https://habr.com/ru/company/group-ib/blog/449100/
|
|
|
|
29.04.2019, 13:04
|
|
Guest
Сообщений: n/a
Провел на форуме:
884729
Репутация:
373
|
|
Last Activity view:
небольшая бесплатная утилита, которая предназначена для сбора информации об активности пользователя ПК и отображения журнала событий. Программа позволяет узнать какие исполнительные файлы запускались, время данного события, сведения о времени включения и выключения компьютера, используемые сетевые подключения и устанавливаемые приложения, открываемые папки и файлы в Проводнике и многое другое. Полученную информацию можно легко экспортировать в CSV/XML/HTML файл или скопировать ее в буфер обмена. Программа не требует инсталляции.
____
https://www.nirsoft.net/utils/comput...vity_view.html |
|
|
|
29.04.2019, 14:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от user100
user100 said:
↑
Last Activity view:
небольшая бесплатная утилита, которая предназначена для сбора информации об активности пользователя ПК и отображения журнала событий. Программа позволяет узнать какие исполнительные файлы запускались, время данного события, сведения о времени включения и выключения компьютера, используемые сетевые подключения и устанавливаемые приложения, открываемые папки и файлы в Проводнике и многое другое. Полученную информацию можно легко экспортировать в CSV/XML/HTML файл или скопировать ее в буфер обмена. Программа не требует инсталляции.
____
https://www.nirsoft.net/utils/comput...vity_view.htmlКруто, почти то что надо. Спасибо.
|
|
|
|
29.04.2019, 14:41
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от Mumu
Mumu said:
↑
Полной автоматизации не получишь, т.к. хотелок много, а на каждой винде свои пути и нычки, так что только в ручную.
Вот годная статья, на основе которой уже можно понять - куда и как копать
https://habr.com/ru/company/group-ib/blog/449100/Спасибо.
|
|
|
|
29.04.2019, 17:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
|
|
|
|
29.04.2019, 17:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
295690
Репутация:
24
|
|
Это ж Венда
Я вообще таких нормальных не видел.
Можно вручную разве что сделать. Похукать CreateFile и сразу у тебя появляется возможность отслеживать (почти) все файловые операции.
|
|
|
|
29.04.2019, 17:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
884729
Репутация:
373
|
|
У меня показывает каким юзером что открывалось и запускалось
|
|
|
|
29.04.2019, 18:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от user100
user100 said:
↑
У меня показывает каким юзером что открывалось и запускалось сделай скрин.
Перед этим создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку.
по событиям отслеживать активность тоже не найс
|
|
|
|
29.04.2019, 18:10
|
|
Guest
Сообщений: n/a
Провел на форуме:
884729
Репутация:
373
|
|
Сообщение от BabaDook
BabaDook said:
↑
сделай скрин.
Перед этим создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку.
по событиям отслеживать активность тоже не найс Хотя наврал....только логон юзера ввсистему показывае и выход...Подзабылось.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
