Так вышло что общение с WebWare Team меня с подвигло к написанию данной статьи.
Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.
Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.
Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.
Начал я из далека но разрешите Вам представить
AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.
AccessEnum - полный просмотр настроек файловой системы и реестра.
AdExplorer - средство просмотра и редактор Active Directory.
AdInsight - инструмент мониторинга в режиме реального времени LDAP, используемый для устранения неполадок приложений Active Directory.
AdRestore - Возможность восстановления удаленных объектов Active Directory.
Autologon - легко настраивать механизм автолога.
Autoruns - отображает программы, которые настроены для запуска при запуске.
BgInfo - отображает соответствующую информацию о компьютере на рабочем столе, такую как имя компьютера, IP-адрес и т. Д.
CacheSet - апплет для управления рабочими параметрами системного кеша.
ClockRes - показывает разрешение системных часов.
Contig - дефрагментирует указанный файл или файлы.
Coreinfo - показывает сопоставление между логическими процессорами и физическим процессором.
Ctrl2Cap - драйвер устройства в режиме ядра, который фильтрует драйвер класса клавиатуры.
DebugView - контролирует вывод отладки в вашей локальной системе.
Desktops - позволяет организовать до четырех виртуальных рабочих столов.
Disk2vhd - создает виртуальные жесткие диски версий физических дисков.
DiskExt - возвращает информацию о том, на каких дисках находится раздел тома.
DiskMon - регистрирует и отображает всю активность на жестком диске.
DiskView - графическая карта вашего жесткого диска.
DiskUsage (DU) - сообщает об использовании дискового пространства для указанного каталога.
EFSDump - позволяет узнать, кто имеет доступ к зашифрованным файлам.
FindLinks - сообщает индекс файла и жесткие ссылки, которые существуют для указанного файла.
Handle - отображает информацию об открытых ручках для любого процесса.
Hex2dec - конвертирует шестнадцатеричный в десятичный и наоборот.
Junction - создает соединения (символические ссылки, объединяющие каталоги из нескольких локаций).
LDMDump - Давайте посмотрим, что именно хранится в копии диска.
ListDLLs - сообщает DLL, загруженные в процессы.
LiveKd - Позволяет запускать отладчики ядра Kd и Windbg.
LoadOrder - показывает порядок загрузки драйверов устройств.
LogonSessions - списки активных сеансов входа в систему.
MoveFile - сбрасывает содержимое ожидающего значения переименования / удаления.
NTFSInfo - показывает информацию о томах NTFS.
PageDefrag - показывает, что вы фрагментировали свои файлы подкачки и кусты реестра.
PendMoves - Сбрасывает содержимое ожидающего значения переименования/удаления.
PipeList - список pipes.
PortMon - Мониторинг и отображение всех операций последовательного и параллельного портов.
ProcDump - отслеживает всплески процессора.
Process Explorer - показывает информацию о том, какие дескрипторы и процессы DLL загружены.
Process Monitor - показывает файловую систему реального времени, реестр и процесс/поток.
PsExec - Позволяет выполнять процессы на удаленных системах.
PsGetSid - Позволяет переводить SID на их отображаемое имя и наоборот.
PsInfo - собирает ключевую информацию о локальной или удаленной системе, включая сборку ядра и объем памяти.
PsPing - реализует функциональность ping.
PsKill - может убивать процессы на локальных и удаленных системах.
PsList - отображает информацию о процессах, памяти и потоках.
PsLoggedOn - показывает, кто использует ресурсы на локальном или удаленном компьютере.
PsLogList - позволяет войти в систему на удаленных компьютерах в ситуациях, когда учетные данные безопасности не позволяют.
PsPasswd - позволяет вам изменять пароль учетной записи на локальных или удаленных системах.
PsService - средство просмотра и диспетчера служб для Windows.
PsShutdown - позволяет вывести пользователя консоли или заблокировать консоль между прочим.
PsSuspend - позволяет приостановить процессы в локальной или удаленной системе.
RAMMap - инструмент анализа использования физической памяти, чтобы увидеть, как Windows назначает физическую память.
RegDelNull - позволяет вам искать и удалять ключи реестра.
Registry Usage (RU) - Использование реестра (RU) - Сообщает об использовании пространства реестра.
RegJump - Открывает Regedit непосредственно к указанному пути к реестру.
RootkitRevealer - обнаружение руткитов.
SDelete - позволяет удалить один или несколько файлов / каталогов или очистить свободное место на диске.
ShareEnum - позволяет блокировать общие файлы.
ShellRunas - позволяет запускать программы под разными учетными записями.
SigCheck - показывает номер версии файла, метку времени и данные цифровой подписи.
Streams - позволяет видеть, какие файлы NTFS имеют альтернативные потоки, связанные с ними.
Strings - поиск файлов для указанной строки.
Sync - Позволяет вам очистить все данные файловой системы на диск.
TCPView - показывает подробные списки всех конечных точек TCP и UDP в вашей системе.
VMMap - инструмент анализа виртуальной и физической памяти процесса.
VolumeID - позволяет вам изменять идентификаторы дисков FAT и NTFS.
WhoIs - выполняет регистрационную запись для указанного имени домена или IP-адреса.
WinObj - отображает информацию о пространстве имен диспетчера объектов NT.
ZoomIt - инструмент масштабирования и аннотации экрана для технических презентаций.
Обратите внимание, они все бесплатны, портабельны с сертификатами Microsoft т.е назначение и применение их может быть очень разностороннее ;-), а что они могут, вот пример Process Monitor, Process Explorer и уж как использовать - искать малварь, проверять поведение бекдора и.т.п
Наверно это не совсем похоже на статью, это больше напоминание что многое уже придумано и валидно, нужно просто использовать.
Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.
Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.
Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.
Начал я из далека но разрешите Вам представить
Ссылка скрыта от гостей
, а кому напомнить.AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.
AccessEnum - полный просмотр настроек файловой системы и реестра.
AdExplorer - средство просмотра и редактор Active Directory.
AdInsight - инструмент мониторинга в режиме реального времени LDAP, используемый для устранения неполадок приложений Active Directory.
AdRestore - Возможность восстановления удаленных объектов Active Directory.
Autologon - легко настраивать механизм автолога.
Autoruns - отображает программы, которые настроены для запуска при запуске.
BgInfo - отображает соответствующую информацию о компьютере на рабочем столе, такую как имя компьютера, IP-адрес и т. Д.
CacheSet - апплет для управления рабочими параметрами системного кеша.
ClockRes - показывает разрешение системных часов.
Contig - дефрагментирует указанный файл или файлы.
Coreinfo - показывает сопоставление между логическими процессорами и физическим процессором.
Ctrl2Cap - драйвер устройства в режиме ядра, который фильтрует драйвер класса клавиатуры.
DebugView - контролирует вывод отладки в вашей локальной системе.
Desktops - позволяет организовать до четырех виртуальных рабочих столов.
Disk2vhd - создает виртуальные жесткие диски версий физических дисков.
DiskExt - возвращает информацию о том, на каких дисках находится раздел тома.
DiskMon - регистрирует и отображает всю активность на жестком диске.
DiskView - графическая карта вашего жесткого диска.
DiskUsage (DU) - сообщает об использовании дискового пространства для указанного каталога.
EFSDump - позволяет узнать, кто имеет доступ к зашифрованным файлам.
FindLinks - сообщает индекс файла и жесткие ссылки, которые существуют для указанного файла.
Handle - отображает информацию об открытых ручках для любого процесса.
Hex2dec - конвертирует шестнадцатеричный в десятичный и наоборот.
Junction - создает соединения (символические ссылки, объединяющие каталоги из нескольких локаций).
LDMDump - Давайте посмотрим, что именно хранится в копии диска.
ListDLLs - сообщает DLL, загруженные в процессы.
LiveKd - Позволяет запускать отладчики ядра Kd и Windbg.
LoadOrder - показывает порядок загрузки драйверов устройств.
LogonSessions - списки активных сеансов входа в систему.
MoveFile - сбрасывает содержимое ожидающего значения переименования / удаления.
NTFSInfo - показывает информацию о томах NTFS.
PageDefrag - показывает, что вы фрагментировали свои файлы подкачки и кусты реестра.
PendMoves - Сбрасывает содержимое ожидающего значения переименования/удаления.
PipeList - список pipes.
PortMon - Мониторинг и отображение всех операций последовательного и параллельного портов.
ProcDump - отслеживает всплески процессора.
Process Explorer - показывает информацию о том, какие дескрипторы и процессы DLL загружены.
Process Monitor - показывает файловую систему реального времени, реестр и процесс/поток.
PsExec - Позволяет выполнять процессы на удаленных системах.
PsGetSid - Позволяет переводить SID на их отображаемое имя и наоборот.
PsInfo - собирает ключевую информацию о локальной или удаленной системе, включая сборку ядра и объем памяти.
PsPing - реализует функциональность ping.
PsKill - может убивать процессы на локальных и удаленных системах.
PsList - отображает информацию о процессах, памяти и потоках.
PsLoggedOn - показывает, кто использует ресурсы на локальном или удаленном компьютере.
PsLogList - позволяет войти в систему на удаленных компьютерах в ситуациях, когда учетные данные безопасности не позволяют.
PsPasswd - позволяет вам изменять пароль учетной записи на локальных или удаленных системах.
PsService - средство просмотра и диспетчера служб для Windows.
PsShutdown - позволяет вывести пользователя консоли или заблокировать консоль между прочим.
PsSuspend - позволяет приостановить процессы в локальной или удаленной системе.
RAMMap - инструмент анализа использования физической памяти, чтобы увидеть, как Windows назначает физическую память.
RegDelNull - позволяет вам искать и удалять ключи реестра.
Registry Usage (RU) - Использование реестра (RU) - Сообщает об использовании пространства реестра.
RegJump - Открывает Regedit непосредственно к указанному пути к реестру.
RootkitRevealer - обнаружение руткитов.
SDelete - позволяет удалить один или несколько файлов / каталогов или очистить свободное место на диске.
ShareEnum - позволяет блокировать общие файлы.
ShellRunas - позволяет запускать программы под разными учетными записями.
SigCheck - показывает номер версии файла, метку времени и данные цифровой подписи.
Streams - позволяет видеть, какие файлы NTFS имеют альтернативные потоки, связанные с ними.
Strings - поиск файлов для указанной строки.
Sync - Позволяет вам очистить все данные файловой системы на диск.
TCPView - показывает подробные списки всех конечных точек TCP и UDP в вашей системе.
VMMap - инструмент анализа виртуальной и физической памяти процесса.
VolumeID - позволяет вам изменять идентификаторы дисков FAT и NTFS.
WhoIs - выполняет регистрационную запись для указанного имени домена или IP-адреса.
WinObj - отображает информацию о пространстве имен диспетчера объектов NT.
ZoomIt - инструмент масштабирования и аннотации экрана для технических презентаций.
Обратите внимание, они все бесплатны, портабельны с сертификатами Microsoft т.е назначение и применение их может быть очень разностороннее ;-), а что они могут, вот пример Process Monitor, Process Explorer и уж как использовать - искать малварь, проверять поведение бекдора и.т.п
