Admin
Администратор
Взлом системы
Цели
• Получить доступ. Для сбора информации, для получения доступа к чему-то с помощью разного софта.
• Привилегии. Чтобы создать административную учетную запись пользователя
с помощью взлома паролей и подвигов.
• Запуск приложений. Для создания и поддержания бэкдора доступа, с помощью
троянских программ.
• Скрытие Файлов. Чтобы скрыть вредоносные файлы с помощью руткитов.
• Скрытие Треков. Чтобы скрыть присутствие, вытирая отпечатки пальцев.
Пароли могут содержать:
• Только буквы: KASGSDGA
• Только номера: 8168165
• Только специальные символы: ?#^#"
• буквенно-цифровой: h3ghwh43
• Буквы и специальные символы: SDGSD*&G#E((#
• специальные символы и цифры:&*	#&39(
• Буквы, специальные символы и цифры:iSO778&#*9
Методы взлома паролей
• Атаки по словарю: Словарь-файл загружается в приложение , работает против
учетных записей пользователей.
• Атаки Brute Force: Программа пытается все возможные комбинации символов, пока
пароль не будет обнаружен.
• Hybrid Атаки: Он работает аналогично словарной атаке, но добавляет некоторые цифры
и символы, чтобы попытаться найти пароль.
• Атака слога: Это сочетание грубой силы словаря.
• Правила на основе атаки: Он используется, когда злоумышленник получает некоторую
информацию о пароле.
Типы атак на пароли
Пассивные онлайн Атаки: “Нюхают”(SNIFFER). Злоумышленники сниффирят
инструменты, работающие в локальной сети.
Man-In-The-Middle в повторных атаках. Доступ злоумышленника на фоне связи между
жертвой и сервером для извлечения информации.
Это трудно осуществить.
Активная Интернет Атака: Попробуйте угадать пароль, используя словарь
слов и букв и попробовать все возможные комбинации. Это занимает много времени.
Вам нужно много трафика для легкого обнаружения.
• Другие троянские программы, шпионское ПО и кейлоггеры.
• Hash Injection Attack: Это позволяет злоумышленнику вскрыть хэш .это занимается в
локальной сессии и использование хэша для проверки сетевых ресурсов. Злоумышленник
находит и извлекает хэш администратора домена, вошедшего с него. Злоумышленник
использует Извлеченный хэш для входа в систему на контроллере домена.
Когда администратор устанавливает удаленное соединение ОС Microsoft, один маркер
создается в памяти, есть приложение под названием Pass Хэш и включает в себя две
программы.
Радуга атаки: хешей
• Превращает огромное количество слов, таких как файлы и грубой силы словарь
содержит список хэшей паролей, используя такие методы, как радуга таблицы
• Пример: 12345 - 827ccb0eea8a706c4c34a16891f84e7b
Распределенные атаки сети (DNA)
• Менеджер ДНК установлен в центре города, где клиенты могут получить доступ к ДНК
машин из сети.
• Менеджер DNA координирует атаку и присваивает небольшие порции ключевых
команд, которые распределены по сети.
• Клиенты ДНК работают в фоновом режиме, только время процессора не используется.
• Программа сочетает в себе мощность обработки сетевых клиентов и используется
вместе, чтобы расшифровать.
• Пример: Elcomsoft Distributed Password Recovery
Помните поиск паролей в Интернете по умолчанию на сайтах, как:
• www.defaultpassword.com
• cirt.net
• default-password.info
• defaultpassword.us
Кража паролей с помощью USB
1. нужен инструмент для взлома
2. Скопируйте файлы на USB
3. Создание autorun.inf
[Autorun]
en = launch.bat
4. Содержание launch.bat
pspv.exe старт / stext pspv.txt
5. Вставьте USB автозапуск и будет работать
6. password2 выполняется в фоновом режиме и пароли будут сохранены в текстовом
файле в USB
Проверка подлинности Microsoft
NTLM (NT LAN Manager) протокол проверки подлинности является Windows NT 4.0 / 2000.
Microsoft обновил этот протокол аутентификации Kerberos, который считается более
безопасным, чем NTLM.
LM хэш был отключен в Windows Vista.
Файл SAM находится по адресу: C: \ Windows \ system32 \ Config \ SAM
LM Hash
LM Hash очень небезопасен. Microsoft использует его для хранения пароля меньше, чем
15 символов. Когда передача шифруется этим алгоритмом, сначала все буквы
преобразуются в верхний регистр, например, 123456QWERTY. Тогда нуль в конце, чтобы
сделать это 14 символов символов добавляется. 123456QWERTY_. Шифрование перед
перевалом он делится на два 123456Q и индивидуально зашифрованном WERTY_ и.
123456Q = 6BF11 E04AFAB197F
WERTY_ = F1E9FFDCC75575B15
это будет проходить:
6BF11E04AFAB197FF1E9FFDCC75575B15
Первые 8 байт получены из первых 7 символов пароля и 8 секунд выводятся из символа 8
до 14.
Если пароль менее 7 символов, вторая половина всегда будет: 0XAAD3B435B51404EE
NTLMv2
Протокол проверки подлинности NTLMv2 является запрос / ответ на повышение
безопасности LM.
Проверка подлинности Kerberos
Пользователь и пароль никогда не покидает систему. Работает с билетами, если TGT
(Ticket Предоставление билетов) правильно расшифрованы, то мы докажем, что у нас есть
пароль.
Она работает следующим образом:
• LOphtCrack является первым в Windows, наиболее известный взломщик паролей.
• Ophcrack это загрузочный диск также взламывает пароли.
• Каин и Авель является отличным инструментом в том числе счета взлома паролей.
• RainbowCrack генерирует rainbowtables.
• KerbCrack пытается получить билеты Kerberos, захватив их.
Директива NoLMHash
LM Hash можно отключить с помощью директивы NoLMHash или регистрации или с
использованием паролей более 15 символов.
Предложение для паролей
Пароли позволяют предположить, что от 8 до 12 в сочетании с буквенно-цифровыми
символами. Не используйте одни и те же пароли для нескольких вещей. Измененяйте
пароли по крайней мере, каждые 30 дней. и т.п.
Привилегированный Escalation
Если злоумышленник получает доступ к сети с помощью неадминистративной учетной
записи, следующим шагом будет получить права администратора. A Это называется
повышения привилегий.
StickyKeys
Залипание - это функция доступности для Windows. Если нажать клавишу SHIFT 5 раз
появляется эта функция, найденная в C: \ Windows \ system32 \ sethc.exe Если заменить
этот файл CMD и переименовать sethc.exe снова и нажмите клавишу Shift 5 раз, консоль
появится с административными привилегиями.
Пользователь Admin
Если мы создадим пользователя: Пароль 123 регистрации пользователя, а
затем перейти к HEY_LOCAL_MAchinE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ W¡nlogon \ Accounts \ USERLIST
Мы создаем новое значение DWORD, напишите название значения "123" и закройте
редактор.
123 будет пользователем с правами администратора.
Домен пользователя
1. Злоумышленник инфицирует локальный компьютер жертвы с кейлоггера.
2. Входит жертва с их учетными данными домена.
3. кейлоггер отправляет учетные данные злоумышленнику.
4. злоумышленник получает доступ к домену.
Как защититься от эскалации привилегий?
Для защиты от эскалации привилегий мы можем использовать методы шифрования,
латать регулярные системы, запущенные службы со счетами без привилегий,
аутентификации mplementar и Milti-фактора, запуска приложений с минимальными
привилегиями, ограничивающих привилегии входа в систему.
Запущенные приложения
Злоумышленники запускают вредоносные приложения к "собственной" системе.
Alchey Remote Excecutor представляет собой систему управления, которая позволяет
запускать программы на удаленных компьютерах, работающих на нескольких
компьютерах одновременно.
Например: RemoteExec, Выполнить это!
Keylogger
Кейлоггер - программа или аппаратное устройство, которое следит за каждым нажатием
клавиши пользователя, которые он делает на клавиатуре; затем записывает активность в файлах или передается в удаленных местах.
Keyloggers Wi-Fi, Bluetooth, в пределах клавиатуры и т.д.
Шпионские программы
Происходит снижение производительности системы, подключения к удаленным сайтам , удаленным
доступам к вредоносным программам, кража пользовательской информации, следит за
действиями пользователя, перенаправляется на веб-сайты, изменяет пользователю сайта
по умолчанию и не позволяет пользователю восстановить, добавляет несколько закладок
браузера, делает снижение общей производительности системы.
Виды шпионского ПО:
мобильные телефоны, GPS, аудио, USB, заставки, рабочий стол, почта, мониторинг , видео.
Примером может служить рабочий стол Spyware: Activity Monitor
"Детский Мониторинг" Spyware
Органы управления отслеживают, как ваш ребенок использует компьютер и Интернет.
В видео шпионские программы записывают не только экран, но и веб-камеру.
Телефон и Мобильный телефон Spyware. злоумышленники установили на этих
устройствах и тайно отправляют данные злоумышленника как смс или письмо.
Spyware GPS определяет местоположение человека или транспортного средства.
Как защитить себя от программ-шпионов
Настройте параметры браузера для среды.
Повышение уровня компьютерной безопасности.
Подозревая почту и сайты.
Установить antispywares.
Сделать безопасную навигацию.
Обновление программного обеспечения на регулярной основе.
Обновление антивирусных определений.
Антишпионские инструменты
• Spyware Doctor
• CounterSpy
• SpyHunter
• Kaspersky Internet Security
• И т.д.
Руткиты
Они поддерживают доступ к атакующей системе .
Виды Rootkits
• гипервизор Level: изменяет последовательность загрузки, чтобы загрузить себя во
внимание виртуальной машины
• Ядро : Добавляет вредоносный код в ядро.
• Уровень применения: Заменяет приложение с трояномм или изменяет поведение
существующего приложения.
• Аппаратное обеспечение / прошивки: Оно скрывает в устройствах или прошивках, где
код не проверяется.
• Уровень загрузчика: Заменяет оригинальный загрузочный один контроллер удаленно
злоумышленником.
• Уровень Библиотеки: Заменяет исходную систему, чтобы скрыть информацию о нападающем.
Как защититься от руткитов?
• Переустановка приложения или ОС из безопасного источника.
• Были ли документированные процедуры автоматической установки.
• Установите межсетевые экраны.
• Используйте строгую аутентификацию.
• и т.д.
АнтиРуткиты
• RootkitRevealer
• McAfee Rootkit Detective
• Sophos Anti-Rootkit
• F-Secure BackLight
• И т.д.
NTFS альтернативный поток данных
Они являются скрытыми потоками, которые содержат метаданные.
Эти файлы распознаются антивирусами, но не человеческим глазом.
Обработка потока
данные NTFS
Содержимое можно манипулировать, например:
Тип C: \ trojan.exe> C: \ Readme.txt: trojan.exe
Для запуска: C: \ Start C: \ Readme.txt: trojan.exe
Для удаления: C: \ Readme.txt: trojan.exe> trojan.exe
Примечание: является ресурсом Windows Server 2003
Стеганография
Оно скрывает файл в другой, как правило, очень маленький в большой, а затем удаляет
его.
Типы: изображения, документы, папки, видео, аудио, веб, почта, DVD, TXT и т.д.
Примером Стеганографии является Invisible Secrets 4 инструмент для скрытия файлов
внутри образов.
Может быть использован для обнаружия стег детектов.
Хотя это и не сам алгоритм шифрования, стеганография является отличным способом для
отправки сообщений обратно Это дает и другие плюсы даже не осознавая этого. Это
практика сокрытия сообщения в другой среде (например, другой файл или изображение),
так что только отправитель и получатель даже не знать о его существовании.
Стенографические инструменты для обработки видео
Max File Encryption
• Сяо Стеганография
• И т.д.
Стенографические инструменты документов
wbStego
Слияние потоков
Office XML
И т.п.
Стенографические инструменты аудио
Mp3stegz
Инструменты MAXA безопасности
• Stealth Файлы
• Audiostegano
• И т.д.
Стенографические инструменты
• Invisible Secrets 4
• StegoStick
• QuickyCrypto
• Макс Папка Secure
• И т.д.Обнаружение стеганографии
• обнаружить STEG
• Xstegsecret
• Stego
• StegAlyzerAS
• И т.д.
Скрытие футпринтинга
Идея заключается в том, чтобы вернуться к системе. Вы должны манипулировать лог-
файлы (журналы)
1. SECEVENT.EVT (безопасность). Неудачные логины, доступ к непривилегированным файлам
2. SYSEVENT.EVT (система). Драйверы отказов, не могут правильно работать.
3. APPEVENT.EVT (приложения). Злоумышленник не хочет удалять весь журнал, только
манипулировать.
Очистите MRU (недавно использовавшихся). Удалите куки, кэш, автозаполнения
deshabllitar, удаление панелей инструментов из браузеров.
Отключение аудита
Нарушители удаляют аудит сразу после получения административного доступа. После их
пребывания, он снова включается.
auditpol.exe/enable | /disable
Инструменты, чтобы скрыть следы
• Window Washer
• Tracks Eraser Pro
• Доказательства Eliminator
• Armor Tools
• Clear My History
• И т.д.
Цели
• Получить доступ. Для сбора информации, для получения доступа к чему-то с помощью разного софта.
• Привилегии. Чтобы создать административную учетную запись пользователя
с помощью взлома паролей и подвигов.
• Запуск приложений. Для создания и поддержания бэкдора доступа, с помощью
троянских программ.
• Скрытие Файлов. Чтобы скрыть вредоносные файлы с помощью руткитов.
• Скрытие Треков. Чтобы скрыть присутствие, вытирая отпечатки пальцев.
Пароли могут содержать:
• Только буквы: KASGSDGA
• Только номера: 8168165
• Только специальные символы: ?#^#"
• буквенно-цифровой: h3ghwh43
• Буквы и специальные символы: SDGSD*&G#E((#
• специальные символы и цифры:&*	#&39(
• Буквы, специальные символы и цифры:iSO778&#*9
Методы взлома паролей
• Атаки по словарю: Словарь-файл загружается в приложение , работает против
учетных записей пользователей.
• Атаки Brute Force: Программа пытается все возможные комбинации символов, пока
пароль не будет обнаружен.
• Hybrid Атаки: Он работает аналогично словарной атаке, но добавляет некоторые цифры
и символы, чтобы попытаться найти пароль.
• Атака слога: Это сочетание грубой силы словаря.
• Правила на основе атаки: Он используется, когда злоумышленник получает некоторую
информацию о пароле.
Типы атак на пароли
Пассивные онлайн Атаки: “Нюхают”(SNIFFER). Злоумышленники сниффирят
инструменты, работающие в локальной сети.
Man-In-The-Middle в повторных атаках. Доступ злоумышленника на фоне связи между
жертвой и сервером для извлечения информации.
Это трудно осуществить.
Активная Интернет Атака: Попробуйте угадать пароль, используя словарь
слов и букв и попробовать все возможные комбинации. Это занимает много времени.
Вам нужно много трафика для легкого обнаружения.
• Другие троянские программы, шпионское ПО и кейлоггеры.
• Hash Injection Attack: Это позволяет злоумышленнику вскрыть хэш .это занимается в
локальной сессии и использование хэша для проверки сетевых ресурсов. Злоумышленник
находит и извлекает хэш администратора домена, вошедшего с него. Злоумышленник
использует Извлеченный хэш для входа в систему на контроллере домена.
Когда администратор устанавливает удаленное соединение ОС Microsoft, один маркер
создается в памяти, есть приложение под названием Pass Хэш и включает в себя две
программы.
Радуга атаки: хешей
• Превращает огромное количество слов, таких как файлы и грубой силы словарь
содержит список хэшей паролей, используя такие методы, как радуга таблицы
• Пример: 12345 - 827ccb0eea8a706c4c34a16891f84e7b
Распределенные атаки сети (DNA)
• Менеджер ДНК установлен в центре города, где клиенты могут получить доступ к ДНК
машин из сети.
• Менеджер DNA координирует атаку и присваивает небольшие порции ключевых
команд, которые распределены по сети.
• Клиенты ДНК работают в фоновом режиме, только время процессора не используется.
• Программа сочетает в себе мощность обработки сетевых клиентов и используется
вместе, чтобы расшифровать.
• Пример: Elcomsoft Distributed Password Recovery
Помните поиск паролей в Интернете по умолчанию на сайтах, как:
• www.defaultpassword.com
• cirt.net
• default-password.info
• defaultpassword.us
Кража паролей с помощью USB
1. нужен инструмент для взлома
2. Скопируйте файлы на USB
3. Создание autorun.inf
[Autorun]
en = launch.bat
4. Содержание launch.bat
pspv.exe старт / stext pspv.txt
5. Вставьте USB автозапуск и будет работать
6. password2 выполняется в фоновом режиме и пароли будут сохранены в текстовом
файле в USB
Проверка подлинности Microsoft
NTLM (NT LAN Manager) протокол проверки подлинности является Windows NT 4.0 / 2000.
Microsoft обновил этот протокол аутентификации Kerberos, который считается более
безопасным, чем NTLM.
LM хэш был отключен в Windows Vista.
Файл SAM находится по адресу: C: \ Windows \ system32 \ Config \ SAM
LM Hash
LM Hash очень небезопасен. Microsoft использует его для хранения пароля меньше, чем
15 символов. Когда передача шифруется этим алгоритмом, сначала все буквы
преобразуются в верхний регистр, например, 123456QWERTY. Тогда нуль в конце, чтобы
сделать это 14 символов символов добавляется. 123456QWERTY_. Шифрование перед
перевалом он делится на два 123456Q и индивидуально зашифрованном WERTY_ и.
123456Q = 6BF11 E04AFAB197F
WERTY_ = F1E9FFDCC75575B15
это будет проходить:
6BF11E04AFAB197FF1E9FFDCC75575B15
Первые 8 байт получены из первых 7 символов пароля и 8 секунд выводятся из символа 8
до 14.
Если пароль менее 7 символов, вторая половина всегда будет: 0XAAD3B435B51404EE
NTLMv2
Протокол проверки подлинности NTLMv2 является запрос / ответ на повышение
безопасности LM.
Проверка подлинности Kerberos
Пользователь и пароль никогда не покидает систему. Работает с билетами, если TGT
(Ticket Предоставление билетов) правильно расшифрованы, то мы докажем, что у нас есть
пароль.
Она работает следующим образом:
• LOphtCrack является первым в Windows, наиболее известный взломщик паролей.
• Ophcrack это загрузочный диск также взламывает пароли.
• Каин и Авель является отличным инструментом в том числе счета взлома паролей.
• RainbowCrack генерирует rainbowtables.
• KerbCrack пытается получить билеты Kerberos, захватив их.
Директива NoLMHash
LM Hash можно отключить с помощью директивы NoLMHash или регистрации или с
использованием паролей более 15 символов.
Предложение для паролей
Пароли позволяют предположить, что от 8 до 12 в сочетании с буквенно-цифровыми
символами. Не используйте одни и те же пароли для нескольких вещей. Измененяйте
пароли по крайней мере, каждые 30 дней. и т.п.
Привилегированный Escalation
Если злоумышленник получает доступ к сети с помощью неадминистративной учетной
записи, следующим шагом будет получить права администратора. A Это называется
повышения привилегий.
StickyKeys
Залипание - это функция доступности для Windows. Если нажать клавишу SHIFT 5 раз
появляется эта функция, найденная в C: \ Windows \ system32 \ sethc.exe Если заменить
этот файл CMD и переименовать sethc.exe снова и нажмите клавишу Shift 5 раз, консоль
появится с административными привилегиями.
Пользователь Admin
Если мы создадим пользователя: Пароль 123 регистрации пользователя, а
затем перейти к HEY_LOCAL_MAchinE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ W¡nlogon \ Accounts \ USERLIST
Мы создаем новое значение DWORD, напишите название значения "123" и закройте
редактор.
123 будет пользователем с правами администратора.
Домен пользователя
1. Злоумышленник инфицирует локальный компьютер жертвы с кейлоггера.
2. Входит жертва с их учетными данными домена.
3. кейлоггер отправляет учетные данные злоумышленнику.
4. злоумышленник получает доступ к домену.
Как защититься от эскалации привилегий?
Для защиты от эскалации привилегий мы можем использовать методы шифрования,
латать регулярные системы, запущенные службы со счетами без привилегий,
аутентификации mplementar и Milti-фактора, запуска приложений с минимальными
привилегиями, ограничивающих привилегии входа в систему.
Запущенные приложения
Злоумышленники запускают вредоносные приложения к "собственной" системе.
Alchey Remote Excecutor представляет собой систему управления, которая позволяет
запускать программы на удаленных компьютерах, работающих на нескольких
компьютерах одновременно.
Например: RemoteExec, Выполнить это!
Keylogger
Кейлоггер - программа или аппаратное устройство, которое следит за каждым нажатием
клавиши пользователя, которые он делает на клавиатуре; затем записывает активность в файлах или передается в удаленных местах.
Keyloggers Wi-Fi, Bluetooth, в пределах клавиатуры и т.д.
Шпионские программы
Происходит снижение производительности системы, подключения к удаленным сайтам , удаленным
доступам к вредоносным программам, кража пользовательской информации, следит за
действиями пользователя, перенаправляется на веб-сайты, изменяет пользователю сайта
по умолчанию и не позволяет пользователю восстановить, добавляет несколько закладок
браузера, делает снижение общей производительности системы.
Виды шпионского ПО:
мобильные телефоны, GPS, аудио, USB, заставки, рабочий стол, почта, мониторинг , видео.
Примером может служить рабочий стол Spyware: Activity Monitor
"Детский Мониторинг" Spyware
Органы управления отслеживают, как ваш ребенок использует компьютер и Интернет.
В видео шпионские программы записывают не только экран, но и веб-камеру.
Телефон и Мобильный телефон Spyware. злоумышленники установили на этих
устройствах и тайно отправляют данные злоумышленника как смс или письмо.
Spyware GPS определяет местоположение человека или транспортного средства.
Как защитить себя от программ-шпионов
Настройте параметры браузера для среды.
Повышение уровня компьютерной безопасности.
Подозревая почту и сайты.
Установить antispywares.
Сделать безопасную навигацию.
Обновление программного обеспечения на регулярной основе.
Обновление антивирусных определений.
Антишпионские инструменты
• Spyware Doctor
• CounterSpy
• SpyHunter
• Kaspersky Internet Security
• И т.д.
Руткиты
Они поддерживают доступ к атакующей системе .
Виды Rootkits
• гипервизор Level: изменяет последовательность загрузки, чтобы загрузить себя во
внимание виртуальной машины
• Ядро : Добавляет вредоносный код в ядро.
• Уровень применения: Заменяет приложение с трояномм или изменяет поведение
существующего приложения.
• Аппаратное обеспечение / прошивки: Оно скрывает в устройствах или прошивках, где
код не проверяется.
• Уровень загрузчика: Заменяет оригинальный загрузочный один контроллер удаленно
злоумышленником.
• Уровень Библиотеки: Заменяет исходную систему, чтобы скрыть информацию о нападающем.
Как защититься от руткитов?
• Переустановка приложения или ОС из безопасного источника.
• Были ли документированные процедуры автоматической установки.
• Установите межсетевые экраны.
• Используйте строгую аутентификацию.
• и т.д.
АнтиРуткиты
• RootkitRevealer
• McAfee Rootkit Detective
• Sophos Anti-Rootkit
• F-Secure BackLight
• И т.д.
NTFS альтернативный поток данных
Они являются скрытыми потоками, которые содержат метаданные.
Эти файлы распознаются антивирусами, но не человеческим глазом.
Обработка потока
данные NTFS
Содержимое можно манипулировать, например:
Тип C: \ trojan.exe> C: \ Readme.txt: trojan.exe
Для запуска: C: \ Start C: \ Readme.txt: trojan.exe
Для удаления: C: \ Readme.txt: trojan.exe> trojan.exe
Примечание: является ресурсом Windows Server 2003
Стеганография
Оно скрывает файл в другой, как правило, очень маленький в большой, а затем удаляет
его.
Типы: изображения, документы, папки, видео, аудио, веб, почта, DVD, TXT и т.д.
Примером Стеганографии является Invisible Secrets 4 инструмент для скрытия файлов
внутри образов.
Может быть использован для обнаружия стег детектов.
Хотя это и не сам алгоритм шифрования, стеганография является отличным способом для
отправки сообщений обратно Это дает и другие плюсы даже не осознавая этого. Это
практика сокрытия сообщения в другой среде (например, другой файл или изображение),
так что только отправитель и получатель даже не знать о его существовании.
Стенографические инструменты для обработки видео
Max File Encryption
• Сяо Стеганография
• И т.д.
Стенографические инструменты документов
wbStego
Слияние потоков
Office XML
И т.п.
Стенографические инструменты аудио
Mp3stegz
Инструменты MAXA безопасности
• Stealth Файлы
• Audiostegano
• И т.д.
Стенографические инструменты
• Invisible Secrets 4
• StegoStick
• QuickyCrypto
• Макс Папка Secure
• И т.д.Обнаружение стеганографии
• обнаружить STEG
• Xstegsecret
• Stego
• StegAlyzerAS
• И т.д.
Скрытие футпринтинга
Идея заключается в том, чтобы вернуться к системе. Вы должны манипулировать лог-
файлы (журналы)
1. SECEVENT.EVT (безопасность). Неудачные логины, доступ к непривилегированным файлам
2. SYSEVENT.EVT (система). Драйверы отказов, не могут правильно работать.
3. APPEVENT.EVT (приложения). Злоумышленник не хочет удалять весь журнал, только
манипулировать.
Очистите MRU (недавно использовавшихся). Удалите куки, кэш, автозаполнения
deshabllitar, удаление панелей инструментов из браузеров.
Отключение аудита
Нарушители удаляют аудит сразу после получения административного доступа. После их
пребывания, он снова включается.
auditpol.exe/enable | /disable
Инструменты, чтобы скрыть следы
• Window Washer
• Tracks Eraser Pro
• Доказательства Eliminator
• Armor Tools
• Clear My History
• И т.д.
