تا %60 تخفیف خرید برای 6 نفر با صدور مدرک فقط تا
00 00 00
محمد

پاک کردن رد پا

سلام دوستان خسته نباشید.

می خواستم بدونم لاگ های ویندوز کلاینت در کجا ذخیره میشه؟ و چطور میشه پاکش کرد؟

می خوام بعد از نفوذ هر اتفاقی که افتاده پاک بشه یا تو یه حالت دیگه تا زمانی که هکر در سیستم هستش و برنامش کار میکنه سیستم لاگ نکنه.

ممنون

لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.

سلام ، سئوال شما رو چند روز پیش جناب مهندس نصیری هم در وب سایت پرسیدن من و دوستان پاسخ دادیم اما نتیجه ای حاصل نشد. این لینک رو ببینید.

لطفا سوالات فنی خودتون رو از طریق گزینه "بپرسید" مطرح کنید. از جواب دادن به هرگونه سوالات فنی در قالب پیام خصوصی معذورم.
حامد مهدی

خدا قوت محمد جان

توی Event Viewer که بری بخش Windows Logs انواع لاگ ها هستند که میتونی اونا رو ببینی

حذف کردنش هم که توی لینکی که آقای کریم پور عزیز زحمت کشیده گذاشته من توضیحش رو دادم بحث حذف کردن یا نکردنش رو . که در آخر سوالی که مطرح شد کامل نتیجه گیری کردیم که با توجه به اینکه مداوم سیستم عامل ها در حال بروز رسانی هستند باید دنبال راهکارهای جدید تر و بروز تر بود و چیزی که توی CEH مطرح شده بود چون کلا اساس کار CEH مطالب عمیق و کاربردی تر نیست و صرفا معرفی هست اون ابزاری که معرفی شده اون چیزی که مدنظر بود رو نمیشد ازش توقع داشت (مگر توی ورژنی که سازگار هستش که توی اون بحث ویندوز 7 سازگار بود باتوجه به داکیومنتی که مایکروسافت ارائه کرده بود ولی ویندوز مهندس نصیری عزیز 10 بود )

صحبت هایی که درمورد Covering Tracks یا حذف ردپا شد تمامی جنبه های مختلف کار رو کامل نتیجه گیری کردیم

1-اگر نفوذ فقط برای مرور و تست کردن مجدد باشه که باید ابزار مدنظر رو با ورژنی که این ابزار باهاش سازگار هست رو کار کرد مثلا ویندوز 7 یا 2008R2

2- اگه جنبه عملیاتی مدنظرته که توی سازمانی یا جایی تست نفوذ انجام بدی که باید یا ورژن سازگار باشه یا ابزاری دیگه رو سرچ کرد تا سازگار باشه

3-اگر جنبه عملیاتی داره و هک و نفوذ مدنظرته که دنیای واقعی حملات پیچیده تر هست و از دوره های امنیت چیزی که ارائه میدن رو باید توقع داشت دیگه اسمشون روشه تست نفوذ هستن نه هک و نفوذ.تست نفوذ هدف و ماهیتش معلومه اگه مشکل بود درقالب یه گزارش اگه نبود هم که هیچ (کلی دارم میگم وگرنه یه سری ریزه کاری های دیگه هم داره)

برای شروع و دست گرمی میشه از دوره ها توقع داشت با تمرین هایی که هست واسه تست نفوذ چون کلا این مسئله پوشش داده میشه که خروجی کار هم کامل مشخصه تست نفوذگر ها و تست نفوذسنجی و...که با اسکریپت کیدی ها که یکی هستند( توی این ویدیو من توضیحش دادم چرا یکی هستند

اما اگه هدفت اون بحث Expert و تاپ هک و نفوذ هست باید بعد از دوره هایی که برای کار ارائه شده توی دنیای واقعی کار کرد و اون بحث هایی که تجربی هستن کامل بدست بیاد در قالب هک و نفوذ (نه تست نفوذ و کلمات مشابه)

این مورادی که گفتم فقط یه خلاصه ای از نتایجی بود که درمورد بحث حذف ردپا با مهندس نصیری عزیز بدست اومد که آقای کریم پور عزیز لینکش رو بالا فرستاد

Show me the Target
محمد

تشکر.

والا هدف من اینه که (یک RAT ساختم می خوام وقتی دستورات رو به کلاینت ارسال می کنم و و قتی روی سیستم اعمال میشه لاگی ازش نباشه.) بدن نیان سیستم رو چک کنن بگن بله مثلا هکر فلان دستور رو زده پس هدفش این بوده. می خوام تمام ردپاهای مربوط به برنامم رو از بین ببرم

حامد مهدی

یه چنتا سوال هست هرکدوم رو که لازم دونستی بگو یا اگه بنظرت لازم نبود هم خودت درنظربگیر در درجه اول بعدش درمورد حذف ردپا بهت میگم چکارکنی

تست نفوذ مدنظرته یا هک و نفوذ ؟

تارگتت یه کاربر خونگی هست یا سازمانی ؟؟

دسترسی به تارگتت از طریق یه شبکه هست یا ریموت ؟

اون RAT ای که ساختی به چه زبونی بوده ؟ یا از ابزارها استفاده کردی ازش؟(به این دلیل میپرسم که از لحاظ اجرایی شدن و av bypass و پایدار بودن ارتباط و encrypted بودن ارتباط مطمئن باشی بخاطر حساسیت کار)

اون بک اند RAT ات (منظورم C&C هست) کالی و توزیع های مشابه هست یا تلگرام رو به عنوان C &C مدنظر گرفتی ؟؟؟؟

انتقال RAT ات رو به چه شکل برنامه ریزی کرد براش؟

از تارگت چقدر دیتا داری ؟ اون اطلاعات دقیق هستش مثلا ورژن OS اش و... که توی اون لینکی که بالاتر فرستاده شده بود ورژن سیستم عامل داستان شده بود برای حذف لاگ و مسائل مربوط بهش

و... که این سوالات رو پرسیدم بخاطراین هست که مطمئن باشی از همه لحاظ که سناریو ات موفقیت آمیز باشه و ضریب شکست پایین بیاد

برای بحث های anti-forensic هم چون این راه حل ها ترکیبی هستند و درنهایت اون ضریب مخفی بودن رو بالا میبره با یکی دوتا پست من جمع نمیشه ولی من مسائلی که هست رو بهت میگم که درموردشون تحلیل و آنالیز رو انجام بدی بسته به تارگتت تا بتونی بهتر حمله ات رو طراحی کنی

بحث تغییر Metadata/Timestamps رو مدنظر بگیر برای کارت

سعی کن برای ارتباط ات ترجیحا یه ساختار Onion Routing داشته باشی.یعنی چند لایه ای باشه.(مثال ساده که وقت کمتری ازت بگیره اینه که چنتا VPS کرکی داشته باش برای اینکه ارتباط رو بتونی لایه ای کنی و با سرویس هایی مثل E**X**P**R**E**S**V**P**N ارتباط خودت رو بزن،ProxyChain و...)

بحث Wiping Drive (یا همون غیرقابل خوندن/استفاده دیتاهای کاربر هم توی برنامه ریزی ات هم لحاظ کن)

توی عکس پایینی هم یه سری مسائل مربوط به رجیستری هم هست که مدنظرشون بگیر بسته به سناریو ات تا بتونی نتیجه بهتر بگیری

(وقت شد درمورد فایل های Prefetch و SuperFetch و فعال/غیرفعال کردنشون هم یه سرچی بزن نتیجه رو یه بررسی کن)

وب سایت توسینسو

و یه مسئله ای که هست تجربیه باید حتما برای کارت لحاظش کن

برای اینکه بتونی طرف مقابل رو توی بحث فارنزیک بایپس کنی یا فرآیند رو خیلی طولانی تر کنی بهتره کنار کاری که انجام میدی یه عمل دیگه هم باشه که دید طرف مقابل رو ببره سمت اون قضیه ، که اینکار خیلی خوبی هست واسه مسئله ای که مدنظرته چون اکثر این کارشناس های امنیت و کارشناس های تست نفوذ سنجی و اسامی مشابه که میبینی بی سوادی بیشتر نیستن و از ساز وکارشون معلومه بچه اسکریپتی اند و به قول مهندس نصیری عزیز کیلویی نظر میدن و راه حل ارائه میدن(این مسئله ای که گفتم باهاش سرمچ خیلی ازاین بی سوادهارو گرفتم که دلشون رو به پروداکتی که داخل شبکه بود دلخوش کرده بودن ولی حین عمل استرس داشتند نمیدونستند چکارکنند.حتی مورد بوده میخواسته کابل هارو بکشه کلا lol )

Show me the Target
محمد
تست نفوذ مدنظرته یا هک و نفوذ ؟ 

هک و نفوذ

تارگتت یه کاربر خونگی هست یا سازمانی ؟؟ 

هر دو

دسترسی به تارگتت از طریق یه شبکه هست یا ریموت ؟

منظور این سوال رو نفهمیدم. اگه در رابطه با اینکه که اسکریپت قراره در شبکه ی لوکال کار کنه یا اینترنت ، بر روی شبکه اینترنت هستش.

اون RAT ای که ساختی به چه زبونی بوده ؟

یک زبان نیست. جاهایی با Python و VBScript و Bash و در ادامه اگر نیاز شده از دیگر زبان ها. (برای Cross-Platform بودن از چند زبان استفاده کردم و نکته اصلی اینه که اسکریپت بر اساس پیدا کردن نوع سیستم عامل از کدهای زبان های مورد نیاز استفاده می کنه.)

از ابزارها استفاده کردی ازش؟

از ابزاری استفاده نشده و تمامی کارها رو خودم دارم انجام میدم. در رابطه با Encrypted بودن ازتباط هم علاوه بر رمز شده پیام ها از طریق الگوریتم AES از API تور هم برای Onion Routing استفاده می کنم.

از تارگت چقدر دیتا داری ؟

چون Cross-Platform دارم کار میکنم سعی کردم سری ویندوز ها و مقداری از لینوکس ها رو پشتیبانی کنم.

بحث تغییر Metadata/Timestamps رو مدنظر بگیر برای کارت 

MetaData یا TimeStamps به چه کار میاد؟ منظورتون اینه توی اسکریپت از Data Maining استفاده کنم؟!

سعی کن برای ارتباط ات ترجیحا یه ساختار Onion Routing داشته باشی.یعنی چند لایه ای باشه.(مثال ساده که وقت کمتری ازت بگیره اینه که چنتا VPS کرکی داشته باش برای اینکه ارتباط رو بتونی لایه ای کنی و با سرویس هایی مثل E**X**P**R**E**S**V**P**N ارتباط خودت رو بزن،ProxyChain و...) 

اگه از E**X**P R**E**S**V**P**N و امثالش استفاده کنم اونوقت ارتباط بین کلاینت ها با سرور کمی مشکل پیدا میکنه چون هر جوری باید کلاینت ها آدرس سرور رو بدونند. (که البته یه کارایی واسه این می کنم.)

بحث Wiping Drive یا همون غیرقابل خوندن/استفاده دیتاهای کاربر هم توی برنامه ریزی ات هم لحاظ کن

از چه لحاظ به کارم میاد؟

در رابطه با رجیستری اگر قرار باشه کلیدی اضافه ، حذف و یا ویرایش کنم ، این خودش به نوعی جا گذاشتن ردپا نیست؟ مسلما کسایی که روی Malware ها تحقیق میکنند یکی از جاهایی که چک می کنند رجیستری هستش.

نکته آخر:

اسکریپت رو خودم برای خودم دارم مینویسم (یه جور سرگرمی برای خودم- توی آزمایشگاه خودم) و زیاد نمی خوام جو بزرگ کنم ، حرفه ای وارد بشم (اونطوری حتما از زبان هایی مفسری و متن باز استفاده نمی کردم).

ممنون بابت راهنماییتون

پاسخ شما
برای ارسال پاسخ خود وارد شوید.