• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Софт UsbKill. Anti-Forensic

HtOnion

Red Team
06.11.2017
582
935
#1
Доброго времени суток товарищи, братья и сестры, коллеги)))
Хочу вас познакомить с такой штучкой как usbkill.
Выделение_006.png
Програмка написана на python, код есть на гитхабе. Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Возможности программы таковы:
poweroff пк , удаление файлов и папок, чистка ram и swap, при подключении usb устройств
Установка до невозможности проста
Код:
git clone https://github.com/hephaest0s/usbkill.git
cd usbkill/
#устанавливаем
python setup.py install
cd install
#копируем файл настроек
cp usbkill.ini /etc/
Тааак, теперь по настройкам, откроем любым текстовым редактором файл usbkill.ini который мы скопировали в директорию /etc/
Функция whitelist , как мы понимаем отвечает за белый список устройств которым разрешено подключение отключение к нашему пк

Выделение_007.png

remove_file_cmd это интеграция с утилитой srm которая входит в набор
Для просмотра контента необходимо: Войти или зарегистрироваться


Далее идут функции files_to_remove и folders_to_remove , думаю что они означают не стоит, пример заполнения ниже)
Выделение_008.png

melt_usbkill = False отвечает за журнал логов, true=удалять, false=не удалять

kill_commands = ["bash ~ / scripts / destroy.sh", "sync"] это последние команды перед отключением пк

do_sync = True синхронизация

do_wipe_ram = False Очистка RAM, False=Выключено, True=Включено , для работоспособности функции должно быть настроена sdmem

Код:
wipe_ram_cmd = sdmem -fll
Интеграция с sdmem из secure-delete

do_wipe_swap = False Очистка SWAP, False=Выключено, True=Включено, для работоспособности функции должно быть настроена sswap

wipe_swap_cmd = sswap -l Интеграция с sswap из secure-delete

Ну вот в принципе и все)) теперь если кто вдруг захочет что то скинуть на флешку с вашего пк, то сильно обломатся. Спасибо за внимание)
Аааа, нет, не все)) есть такой момент, баг или фича не знаю, если usb устройство было подключено до запуска usbkill, то при его изьятии пк выключится
 
Последнее редактирование:

nekto

Member
02.11.2017
17
48
#2
Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...
 

HtOnion

Red Team
06.11.2017
582
935
#3
Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...
А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?
 
30.12.2017
385
720
#4
А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?
Плохой вы человек ))) Только хотел подробно описать , так вы меня опередили . c ув )
Блокировку Bios осталось и загрузку со сторонних Usb отключить . И еще чтобы через DMA не попытались память прочитать .
 

nekto

Member
02.11.2017
17
48
#5
Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов :)
 
30.12.2017
385
720
#6
Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов :)
В нашем деле , только комплекс мер может защитить систему . В свое время также разрабатывал различные комплексы . В то время когда о атаке cool boot еще никто не слышал , ее уже вовсю применяли в своей практике некоторые отделы . Так вот разрабатываемые комплексы тоже , позволяли предотвращать попытки проникновения в корпус ноутбука или системного блока . Только начали защищаться от холодной перезагрузки . Как стали применяться атаки DMA , чтение памяти напрямую в частности через firewire IEEE 1394
 
07.09.2016
8
2
#7
Также интересующейся файлами может узнать список ваших устройст зарание, "попросить" вашу флешку и подменить pid:vid
 
Вверх Снизу