• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Soft UsbKill. Anti-Forensic

n01n02h

n01n02h

ghostbuster
Happy New Year
06.11.2017
648
1 075
Доброго времени суток товарищи, братья и сестры, коллеги)))
Хочу вас познакомить с такой штучкой как usbkill.
UsbKill. Anti-Forensic
Програмка написана на python, код есть на гитхабе. Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Возможности программы таковы:
poweroff пк , удаление файлов и папок, чистка ram и swap, при подключении usb устройств
Установка до невозможности проста
Код:
git clone https://github.com/hephaest0s/usbkill.git
cd usbkill/
#устанавливаем
python setup.py install
cd install
#копируем файл настроек
cp usbkill.ini /etc/
Тааак, теперь по настройкам, откроем любым текстовым редактором файл usbkill.ini который мы скопировали в директорию /etc/
Функция whitelist , как мы понимаем отвечает за белый список устройств которым разрешено подключение отключение к нашему пк

UsbKill. Anti-Forensic


remove_file_cmd это интеграция с утилитой srm которая входит в набор

Далее идут функции files_to_remove и folders_to_remove , думаю что они означают не стоит, пример заполнения ниже)
UsbKill. Anti-Forensic


melt_usbkill = False отвечает за журнал логов, true=удалять, false=не удалять

kill_commands = ["bash ~ / scripts / destroy.sh", "sync"] это последние команды перед отключением пк

do_sync = True синхронизация

do_wipe_ram = False Очистка RAM, False=Выключено, True=Включено , для работоспособности функции должно быть настроена sdmem

Код:
wipe_ram_cmd = sdmem -fll
Интеграция с sdmem из secure-delete

do_wipe_swap = False Очистка SWAP, False=Выключено, True=Включено, для работоспособности функции должно быть настроена sswap

wipe_swap_cmd = sswap -l Интеграция с sswap из secure-delete

Ну вот в принципе и все)) теперь если кто вдруг захочет что то скинуть на флешку с вашего пк, то сильно обломатся. Спасибо за внимание)
Аааа, нет, не все)) есть такой момент, баг или фича не знаю, если usb устройство было подключено до запуска usbkill, то при его изьятии пк выключится
 
Последнее редактирование модератором:
N

nekto

Happy New Year
02.11.2017
18
51
Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...
 
  • Нравится
Реакции: DefWolf и ghostphisher
n01n02h

n01n02h

ghostbuster
Happy New Year
06.11.2017
648
1 075
Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...
А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?
 
Злой Дядька

Злой Дядька

Red Team
30.12.2017
425
861
А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?
Плохой вы человек ))) Только хотел подробно описать , так вы меня опередили . c ув )
Блокировку Bios осталось и загрузку со сторонних Usb отключить . И еще чтобы через DMA не попытались память прочитать .
 
N

nekto

Happy New Year
02.11.2017
18
51
Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов :)
 
Злой Дядька

Злой Дядька

Red Team
30.12.2017
425
861
Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов :)
В нашем деле , только комплекс мер может защитить систему . В свое время также разрабатывал различные комплексы . В то время когда о атаке cool boot еще никто не слышал , ее уже вовсю применяли в своей практике некоторые отделы . Так вот разрабатываемые комплексы тоже , позволяли предотвращать попытки проникновения в корпус ноутбука или системного блока . Только начали защищаться от холодной перезагрузки . Как стали применяться атаки DMA , чтение памяти напрямую в частности через firewire IEEE 1394
 
beregok

beregok

Member
07.09.2016
13
3
Также интересующейся файлами может узнать список ваших устройст зарание, "попросить" вашу флешку и подменить pid:vid
 
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Как его добавить в автозагрузку?
Или может есть альтернатива, работающая как служба? silk у меня тоже отказывается работать(
 
I

igorgabarov

Member
07.06.2019
11
0
Ребят, подскажите по очистке памяти.
Написано, что интеграция с sdmem. А найти его в репозиториях (манжаро, аур) не могу. Где достать, как поставить?
 
I

igorgabarov

Member
07.06.2019
11
0
sdmem находится в пакете secure-delete
Спасибо за подсказку!

Установил пакет. утилита srm появилась, запускается, а вот sdmem почему-то нету. Неуверен, что очистка памяти отработает...

Код:
sdmem --help
bash: sdmem: command not found
Как убедиться, что все отработает?
 
H

hamerik

Active member
26.06.2019
35
3
Спасибо за подсказку!

Установил пакет. утилита srm появилась, запускается, а вот sdmem почему-то нету. Неуверен, что очистка памяти отработает...

Код:
sdmem --help
bash: sdmem: command not found
Как убедиться, что все отработает?
Может от рута всё таки попробуешь, он только через рут работает.
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб