ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
29.04.2019, 18:42
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
100% на PS есть такое. Типа bloodhound, PowerUp, итд, надо найти. Если будут идеии пишите. Можно будет программу антифонензики заебошить
|
|
|
|
30.04.2019, 01:45
|
|
Новичок
Регистрация: 05.09.2006
Сообщений: 10
Провел на форуме:
8325
Репутация:
0
|
|
Сообщение от BabaDook
BabaDook said:
↑
создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку. Следить нужно за всем подряд без разбора? Мы делали немного другим образом.
Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши.
Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод.
Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc.
Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота.
Пример работы:
Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик)
Клик, создание файла, кейлогер название
Правый клик мыши, контекстное меню (скриншоты), переименовать
Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину)
Минусы данного подхода - это размер логов.
|
|
|
30.04.2019, 01:55
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от Игорь
Игорь said:
↑
Следить нужно за всем подряд без разбора? Мы делали немного другим образом.
Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши.
Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод.
Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc.
Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота.
Пример работы:
Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик)
Клик, создание файла, кейлогер название
Правый клик мыши, контекстное меню (скриншоты), переименовать
Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину)
Минусы данного подхода - это размер логов. нет, вы не поняли о чём я. Я про анализ системы в которой что-то произошло. Моя задачи узнать. Кто сделал, что сделал, когда и как.
|
|
|
|
30.04.2019, 02:01
|
|
Новичок
Регистрация: 05.09.2006
Сообщений: 10
Провел на форуме:
8325
Репутация:
0
|
|
Сообщение от BabaDook
BabaDook said:
↑
Кто сделал, что сделал, когда и как. Тогда по пунктам, подходит или почему не подходит.
1) Обычный кейлогер с датой и временем
2) Файловый мониторинг папок
3) Ограничение записи во все папки кроме отслеживаемых
4) Слежение за сетевыми запросами браузера.
По стандартному журналу оценить сложно, как и по снимку до и после, если нужно что делал во время.
|
|
|
|
30.04.2019, 02:04
|
|
Guest
Сообщений: n/a
Провел на форуме:
759330
Репутация:
147
|
|
Сообщение от Игорь
Игорь said:
↑
Тогда по пунктам, подходит или почему не подходит.
1) Обычный кейлогер с датой и временем
2) Файловый мониторинг папок
3) Ограничение записи во все папки кроме отслеживаемых
4) Слежение за сетевыми запросами браузера. БабаДуку необходимо исследовать уже скомпрометированную систему.
|
|
|
|
30.04.2019, 02:06
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от Игорь
Игорь said:
↑
Тогда по пунктам, подходит или почему не подходит.
1) Обычный кейлогер с датой и временем
2) Файловый мониторинг папок
3) Ограничение записи во все папки кроме отслеживаемых
4) Слежение за сетевыми запросами браузера.
По стандартному журналу оценить сложно, как и по снимку до и после, если нужно что делал во время. ещё можно снифер на USB повесить, и организовать тотальную слежку.
можно по событиям, но это не точно, хотел бы более наглядное что-то. Так сказать DiGiTal Forensics
|
|
|
|
30.04.2019, 02:07
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от ms13
ms13 said:
↑
БабаДуку необходимо исследовать уже скомпрометированную систему. Вот, да. Я наверное плохо выражаю мысли
|
|
|
|
30.04.2019, 02:17
|
|
Guest
Сообщений: n/a
Провел на форуме:
759330
Репутация:
147
|
|
А Игорёк вообще молодец!
Молчал-молчал такой... 9 лет, а сегодня прям прорвало!
|
|
|
|
30.04.2019, 02:20
|
|
Новичок
Регистрация: 05.09.2006
Сообщений: 10
Провел на форуме:
8325
Репутация:
0
|
|
Сообщение от ms13
ms13 said:
↑
уже скомпрометированную систему Просмотрел документацию еще раз, если аудит не включен, то перемещение не знаю как отследить.
Даже теневые копии и то не всегда, помогут.
Сообщение от ms13
ms13 said:
↑
9 лет, а сегодня прям прорвало! Нужно наверстать упущенное ). Тем более опять в данную тематику вернулся.
|
|
|
|
30.04.2019, 02:34
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Вообще, ещё нужен план.
1) глянуть ГПО
2) юзеров
3) сетевая активность
4) итд.....
Нигде не встречал норм мануалов.
По линуксу тоже кстати, только.
смотрите логи, логи лежат по умолчанию в /var/logs/
на этом всё.
Может человек из GIB чего-то подскажет.....
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
