Soft UsbKill. Anti-Forensic

Доброго времени суток товарищи, братья и сестры, коллеги)))
Хочу вас познакомить с такой штучкой как usbkill.

​

Програмка написана на python, код есть на гитхабе. Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Возможности программы таковы:
poweroff пк , удаление файлов и папок, чистка ram и swap, при подключении usb устройств
Установка до невозможности проста

git clone https://github.com/hephaest0s/usbkill.git
cd usbkill/
#устанавливаем
python setup.py install
cd install
#копируем файл настроек
cp usbkill.ini /etc/

Тааак, теперь по настройкам, откроем любым текстовым редактором файл usbkill.ini который мы скопировали в директорию /etc/
Функция whitelist , как мы понимаем отвечает за белый список устройств которым разрешено подключение отключение к нашему пк

remove_file_cmd это интеграция с утилитой srm которая входит в набор

Ссылка скрыта от гостей

Далее идут функции files_to_remove и folders_to_remove , думаю что они означают не стоит, пример заполнения ниже)

melt_usbkill = False отвечает за журнал логов, true=удалять, false=не удалять

kill_commands = ["bash ~ / scripts / destroy.sh", "sync"] это последние команды перед отключением пк

do_sync = True синхронизация

do_wipe_ram = False Очистка RAM, False=Выключено, True=Включено , для работоспособности функции должно быть настроена sdmem

wipe_ram_cmd = sdmem -fll

Интеграция с sdmem из secure-delete

do_wipe_swap = False Очистка SWAP, False=Выключено, True=Включено, для работоспособности функции должно быть настроена sswap

wipe_swap_cmd = sswap -l Интеграция с sswap из secure-delete

Ну вот в принципе и все)) теперь если кто вдруг захочет что то скинуть на флешку с вашего пк, то сильно обломатся. Спасибо за внимание)
Аааа, нет, не все)) есть такой момент, баг или фича не знаю, если usb устройство было подключено до запуска usbkill, то при его изьятии пк выключится

 

[nekto]

Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.

Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...

 

[n01n02h]

Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...

А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?

 

[Злой Дядька]

А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?

Плохой вы человек ))) Только хотел подробно описать , так вы меня опередили . c ув )
Блокировку Bios осталось и загрузку со сторонних Usb отключить . И еще чтобы через DMA не попытались память прочитать .

 

[nekto]

Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов

 

[Злой Дядька]

Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов

В нашем деле , только комплекс мер может защитить систему . В свое время также разрабатывал различные комплексы . В то время когда о атаке cool boot еще никто не слышал , ее уже вовсю применяли в своей практике некоторые отделы . Так вот разрабатываемые комплексы тоже , позволяли предотвращать попытки проникновения в корпус ноутбука или системного блока . Только начали защищаться от холодной перезагрузки . Как стали применяться атаки DMA , чтение памяти напрямую в частности через firewire IEEE 1394

 

[beregok]

Также интересующейся файлами может узнать список ваших устройст зарание, "попросить" вашу флешку и подменить pid:vid

 

[Celestial]

Лол.

 

[woolf1514]

Как его добавить в автозагрузку?
Или может есть альтернатива, работающая как служба? silk у меня тоже отказывается работать(

 

[igorgabarov]

Ребят, подскажите по очистке памяти.
Написано, что интеграция с sdmem. А найти его в репозиториях (манжаро, аур) не могу. Где достать, как поставить?

 

[hamerik]

Ребят, подскажите по очистке памяти.
Написано, что интеграция с sdmem. А найти его в репозиториях (манжаро, аур) не могу. Где достать, как поставить?

sdmem находится в пакете secure-delete

 

[igorgabarov]

sdmem находится в пакете secure-delete

Спасибо за подсказку!

Установил пакет. утилита srm появилась, запускается, а вот sdmem почему-то нету. Неуверен, что очистка памяти отработает...

sdmem --help
bash: sdmem: command not found

Как убедиться, что все отработает?

 

[hamerik]

Спасибо за подсказку!

Установил пакет. утилита srm появилась, запускается, а вот sdmem почему-то нету. Неуверен, что очистка памяти отработает...

sdmem --help
bash: sdmem: command not found

Как убедиться, что все отработает?

Может от рута всё таки попробуешь, он только через рут работает.

 

[DrLekter]

При закрытии терминала, программа тоже закрывалась. Нашел, что можно ее в фоновый режим перевести, добавив & в конце команды запуска программы. Может кто не знает )