Как удалить следы взлома компьютера

Удалить следы взлома компьютера

Мы уже рассказывали, как удалить следы работы в Windows. Сегодня покажу, как удалить следы взлома компьютера Windows и Linux, а точнее приостановить запись истории изменения файлов и сохранения логов. Мы рассмотрим два инструмента — MoonWalk для Windows и MrKaplan для удаления  следов взлома Windows.

Еще по теме: Как анонимно отправить СМС

Удалить следы взлома компьютера Linux

Moonwalk — это файл размером 400 КБ, который может очистить следы пентеста Unix. Он сохраняет состояние системных журналов перед эксплуатацией и возвращает это состояние, включая временные метки файловой системы, не оставляя никаких следов.

Удалить следы взлома Linux

Возможности MoonWalk:

  • Небольшой исполняемый файл.
  • Все команды сеанса выполняются менее чем за 5 миллисекунд.
  • Чтобы сохранить состояние системных журналов, MoonWalk находит доступный для записи путь и сохраняет лог, который удаляется после завершения сеанса.
  • Вместо очистки всего файла истории, MoonWalk возвращает его к тому состоянию, в котором он был, включая запуск самого инструмента.
  • Возвращает временные метки доступа/изменения файлов.

Установка MoonWalk

Установите MoonWalk:

Установка MoonWalk для удаления следов взлома

Альтернативный способ установки MoonWalk:

Измените разрешения на выполнение:

Удаление следов взлома с помощью MoonWalk

Откройте меню справки MoonWalk.

Использование MoonWalk для удаления следов Linux

Перед началом своей хакерской работы, выполните команду:

Удаление следов Linux

После завершения работы:

Подробную информацию см. в официальном репозитории MoonWalk:

https://github.com/mufeedvh/moonwalk

Удалить следы взлома компьютера Windows

MrKaplan — это скрипт Powershell, призванный помочь красным командам оставаться незамеченными, очищая доказательства казни. Он работает, сохраняя такую информацию, как время запуска, снимок файлов и связывая каждое свидетельство с соответствующим пользователем.

Этот инструмент вдохновлен MoonWalk, аналогичным инструментом для машин Unix.

Возможности MrKaplan:

  • Прекращение регистрации событий.
  • Очистка файлов от артефактов.
  • Очистка артефактов реестра.
  • Может работать как пользователь и как администратор (рекомендуется запускать с правами администратора).
  • Может сохранять временные метки файлов.
  • Можно исключить определенные операции и оставлять артефакты синим командам.

Удаление следов взлома с помощью MrKaplan

Скачайте MrKaplan с официального репозитория GitHub.

Для запуска файла понадобиться сервер на атакующей машине, и certutil.exe на целевой.

Удаление следов взлома Windows

Удалить следы хакера

Перед своей хакерской работой, выполните скрипт:

После завершения:

Удалить следы взлома Windows

Заключение

Рассмотренные инструменты не идеальны, но это лучшее из того, что есть на сегодняшний день. Рекомендую прочитать статью «Анонимное выполнение команд с помощью GhostShell»

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер: компьютерный ниндзя и мастер цифровых тайн.

Добавить комментарий