Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Прибираем за собой!

Владимир Балагутдинов

Nivel de acceso privado
Full members of NP "MOD"
Registrado
11 Ago 2019
Mensajes
56
Puntuación de reacción
98
Puntos
18
Edad
50
Ubicación
Свердловская обл.г.Кировград
🔎Основы форензики.

• Данный материал написан в соавторстве с @mycroftintel

• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.

• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R
, затем вводите eventvwr.msc
и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.

• А все уже придумано до нас. Win+R
, вводим services.msc
и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.

• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName
* и получаем список логов. Далее пишем Clear-EventLog
и после этого название лога. Теперь все чисто, можно выключаться.

• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!

S.E. ▪️ infosec.work ▪️ VT
 
Original message
🔎Основы форензики.

• Данный материал написан в соавторстве с @mycroftintel

• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.

• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R
, затем вводите eventvwr.msc
и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.

• А все уже придумано до нас. Win+R
, вводим services.msc
и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.

• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName
* и получаем список логов. Далее пишем Clear-EventLog
и после этого название лога. Теперь все чисто, можно выключаться.

• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!

S.E. ▪️ infosec.work ▪️ VT

До нового года осталось