Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Прибираем за собой!

Владимир Балагутдинов

Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
11.08.2019
Beiträge
55
Punkte für Reaktionen
98
Punkte
18
Alter
50
Ort
Свердловская обл.г.Кировград
🔎Основы форензики.

• Данный материал написан в соавторстве с @mycroftintel

• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.

• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R
, затем вводите eventvwr.msc
и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.

• А все уже придумано до нас. Win+R
, вводим services.msc
и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.

• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName
* и получаем список логов. Далее пишем Clear-EventLog
и после этого название лога. Теперь все чисто, можно выключаться.

• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!

S.E. ▪️ infosec.work ▪️ VT
 
Original message
🔎Основы форензики.

• Данный материал написан в соавторстве с @mycroftintel

• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.

• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R
, затем вводите eventvwr.msc
и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.

• А все уже придумано до нас. Win+R
, вводим services.msc
и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.

• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName
* и получаем список логов. Далее пишем Clear-EventLog
и после этого название лога. Теперь все чисто, можно выключаться.

• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!

S.E. ▪️ infosec.work ▪️ VT