ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 29.04.2019, 18:42
BabaDook
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами: 5797046

Репутация: 40


По умолчанию

100% на PS есть такое. Типа bloodhound, PowerUp, итд, надо найти. Если будут идеии пишите. Можно будет программу антифонензики заебошить
 
Ответить с цитированием

  #12  
Старый 30.04.2019, 01:45
Игорь
Новичок
Регистрация: 05.09.2006
Сообщений: 10
С нами: 10358986

Репутация: 0
По умолчанию

Цитата:
Сообщение от BabaDook  

создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку.
Следить нужно за всем подряд без разбора? Мы делали немного другим образом.

Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши.

Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод.

Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc.

Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота.

Пример работы:

Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик)

Клик, создание файла, кейлогер название

Правый клик мыши, контекстное меню (скриншоты), переименовать

Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину)

Минусы данного подхода - это размер логов.
 
Ответить с цитированием

  #13  
Старый 30.04.2019, 01:55
BabaDook
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами: 5797046

Репутация: 40


По умолчанию

Цитата:
Сообщение от Игорь  

Следить нужно за всем подряд без разбора? Мы делали немного другим образом.
Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши.
Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод.
Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc.
Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота.
Пример работы:
Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик)
Клик, создание файла, кейлогер название
Правый клик мыши, контекстное меню (скриншоты), переименовать
Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину)
Минусы данного подхода - это размер логов.
нет, вы не поняли о чём я. Я про анализ системы в которой что-то произошло. Моя задачи узнать. Кто сделал, что сделал, когда и как.
 
Ответить с цитированием

  #14  
Старый 30.04.2019, 02:01
Игорь
Новичок
Регистрация: 05.09.2006
Сообщений: 10
С нами: 10358986

Репутация: 0
По умолчанию

Цитата:
Сообщение от BabaDook  

Кто сделал, что сделал, когда и как.
Тогда по пунктам, подходит или почему не подходит.

1) Обычный кейлогер с датой и временем

2) Файловый мониторинг папок

3) Ограничение записи во все папки кроме отслеживаемых

4) Слежение за сетевыми запросами браузера.

По стандартному журналу оценить сложно, как и по снимку до и после, если нужно что делал во время.
 
Ответить с цитированием

  #15  
Старый 30.04.2019, 02:04
erwerr2321
Флудер
Регистрация: 19.06.2015
Сообщений: 4,123
С нами: 5738006

Репутация: 147


По умолчанию

Цитата:
Сообщение от Игорь  

Тогда по пунктам, подходит или почему не подходит.
1) Обычный кейлогер с датой и временем
2) Файловый мониторинг папок
3) Ограничение записи во все папки кроме отслеживаемых
4) Слежение за сетевыми запросами браузера.
БабаДуку необходимо исследовать уже скомпрометированную систему.
 
Ответить с цитированием

  #16  
Старый 30.04.2019, 02:06
BabaDook
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами: 5797046

Репутация: 40


По умолчанию

Цитата:
Сообщение от Игорь  

Тогда по пунктам, подходит или почему не подходит.
1) Обычный кейлогер с датой и временем
2) Файловый мониторинг папок
3) Ограничение записи во все папки кроме отслеживаемых
4) Слежение за сетевыми запросами браузера.
По стандартному журналу оценить сложно, как и по снимку до и после, если нужно что делал во время.
ещё можно снифер на USB повесить, и организовать тотальную слежку.

можно по событиям, но это не точно, хотел бы более наглядное что-то. Так сказать DiGiTal Forensics
 
Ответить с цитированием

  #17  
Старый 30.04.2019, 02:07
BabaDook
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами: 5797046

Репутация: 40


По умолчанию

Цитата:
Сообщение от ms13  

БабаДуку необходимо исследовать уже скомпрометированную систему.
Вот, да. Я наверное плохо выражаю мысли
 
Ответить с цитированием

  #18  
Старый 30.04.2019, 02:17
erwerr2321
Флудер
Регистрация: 19.06.2015
Сообщений: 4,123
С нами: 5738006

Репутация: 147


По умолчанию

А Игорёк вообще молодец!

Молчал-молчал такой... 9 лет, а сегодня прям прорвало!
 
Ответить с цитированием

  #19  
Старый 30.04.2019, 02:20
Игорь
Новичок
Регистрация: 05.09.2006
Сообщений: 10
С нами: 10358986

Репутация: 0
По умолчанию

Цитата:
Сообщение от ms13  

уже скомпрометированную систему
Просмотрел документацию еще раз, если аудит не включен, то перемещение не знаю как отследить.

Даже теневые копии и то не всегда, помогут.

Цитата:
Сообщение от ms13  

9 лет, а сегодня прям прорвало!
Нужно наверстать упущенное ). Тем более опять в данную тематику вернулся.
 
Ответить с цитированием

  #20  
Старый 30.04.2019, 02:34
BabaDook
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами: 5797046

Репутация: 40


По умолчанию

Вообще, ещё нужен план.

1) глянуть ГПО

2) юзеров

3) сетевая активность

4) итд.....

Нигде не встречал норм мануалов.

По линуксу тоже кстати, только.

смотрите логи, логи лежат по умолчанию в /var/logs/

на этом всё.

Может человек из GIB чего-то подскажет.....
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.