Владимир Балагутдинов
Сыскное агенство DETECTOO
Приватный уровень доступа
Действительный члены НП "МОД"
Основы форензики.• Данный материал написан в соавторстве с @mycroftintel
• Если вы сидите на Винде – мы идем к вам. Почему – да потому что на Винде удобнее всего собирать криминалистическую информацию, иначе говоря, проводить форензику. Все почему? Правильно. Windows сам содействует активному сбору такой информации.
• Первое и самое главное, на что надо обратить внимание – это отключение журнала событий. Win+R
, затем вводите eventvwr.msc
и вы в святая святых. В этих журналах хранится вся активность системы. Какие программы работали и в какое время, какие устанавливались, например. И многое другое. Для специалиста вся ваша активность за неопределенный период времени как на ладони. Так дела не делаются. Нужно с этим что-то придумывать.
• А все уже придумано до нас. Win+R
, вводим services.msc
и находим в списке Журнал событий Windows. Далее – двойной клик, тип запуска – отключена. Вуаля. Никаких тебе больше журналов. Так что следов от вашей операционной деятельности стало меньше. Но на самом деле, до этого лучше не доводить. Шифруйте вашу систему, чтобы никто в нее даже не смог залезть.
• Но если вдруг вы выключать журнал не хотите, то настоятельно рекомендуется чистить его каждый раз перед выходом. Для этого запускаем терминал от имени Администратора (правая кнопка на значке Windows), затем пишем Get-EventLog -LogName
* и получаем список логов. Далее пишем Clear-EventLog
и после этого название лога. Теперь все чисто, можно выключаться.
• И это только первый шаг в обеспечении антифорензики на вашем компьютере. Новые подробности – на канале Mycroft Intelligence и в будущих статьях!
S.E.
infosec.work 
VT