Мы уже рассказывали, как удалить следы работы в Windows. Сегодня покажу, как удалить следы взлома компьютера Windows и Linux, а точнее приостановить запись истории изменения файлов и сохранения логов. Мы рассмотрим два инструмента — MoonWalk для Windows и MrKaplan для удаления следов взлома Windows.
Еще по теме: Как анонимно отправить СМС
Удалить следы взлома компьютера Linux
Moonwalk — это файл размером 400 КБ, который может очистить следы пентеста Unix. Он сохраняет состояние системных журналов перед эксплуатацией и возвращает это состояние, включая временные метки файловой системы, не оставляя никаких следов.
Возможности MoonWalk:
- Небольшой исполняемый файл.
- Все команды сеанса выполняются менее чем за 5 миллисекунд.
- Чтобы сохранить состояние системных журналов, MoonWalk находит доступный для записи путь и сохраняет лог, который удаляется после завершения сеанса.
- Вместо очистки всего файла истории, MoonWalk возвращает его к тому состоянию, в котором он был, включая запуск самого инструмента.
- Возвращает временные метки доступа/изменения файлов.
Установка MoonWalk
Установите MoonWalk:
|
1 |
curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk |
Альтернативный способ установки MoonWalk:
|
1 |
cargo install --git https://github.com/mufeedvh/moonwalk.git |
Измените разрешения на выполнение:
|
1 |
chmod +x |
Удаление следов взлома с помощью MoonWalk
Откройте меню справки MoonWalk.
Перед началом своей хакерской работы, выполните команду:
|
1 |
./moonwalk start |
После завершения работы:
|
1 |
./moonwalk stop |
Подробную информацию см. в официальном репозитории MoonWalk:
https://github.com/mufeedvh/moonwalk
Удалить следы взлома компьютера Windows
MrKaplan — это скрипт Powershell, призванный помочь красным командам оставаться незамеченными, очищая доказательства казни. Он работает, сохраняя такую информацию, как время запуска, снимок файлов и связывая каждое свидетельство с соответствующим пользователем.
Этот инструмент вдохновлен MoonWalk, аналогичным инструментом для машин Unix.
Возможности MrKaplan:
- Прекращение регистрации событий.
- Очистка файлов от артефактов.
- Очистка артефактов реестра.
- Может работать как пользователь и как администратор (рекомендуется запускать с правами администратора).
- Может сохранять временные метки файлов.
- Можно исключить определенные операции и оставлять артефакты синим командам.
Удаление следов взлома с помощью MrKaplan
Скачайте MrKaplan с официального репозитория GitHub.
Для запуска файла понадобиться сервер на атакующей машине, и certutil.exe на целевой.
Перед своей хакерской работой, выполните скрипт:
|
1 |
MrKaplan.ps1 begin |
После завершения:
|
1 |
MrKaplan.ps1 end |
Заключение
Рассмотренные инструменты не идеальны, но это лучшее из того, что есть на сегодняшний день. Рекомендую прочитать статью «Анонимное выполнение команд с помощью GhostShell»
ПОЛЕЗНЫЕ ССЫЛКИ: