คำถามติดแท็ก forensics

ในเว็บไซต์ของฉันฉันมีหน้า "ซ่อน" ที่แสดงรายการผู้เข้าชมล่าสุด ไม่มีลิงก์ไปยังหน้า PHP เดี่ยวนี้และตามหลักวิชาแล้วฉันรู้ว่ามันมีอยู่จริง ฉันตรวจสอบหลายครั้งต่อวันเพื่อดูว่าฉันมีเพลงใหม่ อย่างไรก็ตามประมาณสัปดาห์ละครั้งฉันได้รับผลกระทบจากที่อยู่ 208.80.194. * ในหน้านี้ที่ซ่อนอยู่ซึ่งคาดคะเนได้ สิ่งที่แปลกคือ: ลึกลับคน / บอทไม่ได้เข้าชมใด ๆอื่น ๆ หน้าเว็บไซต์ของฉัน ไม่ได้หน้า PHP สาธารณะ แต่เพียงหน้าซ่อนนี้ที่พิมพ์ผู้เข้าชม มันเป็นเพลงยอดฮิตและ HTTP_REFERER ว่างเปล่า ข้อมูลอื่น ๆ มีการเปลี่ยนแปลงอยู่เสมอ Mozilla / 4.0 (ใช้งานได้; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b) ... แต่บางครั้งMSIE 6.0แทนที่จะเป็น …

56 security  forensics 

ในความเข้าใจของฉันเกี่ยวกับความปลอดภัยผู้ดูแลระบบควรสามารถดูการเชื่อมต่อทั้งหมดไปยังและจากคอมพิวเตอร์ได้เช่นเดียวกับที่พวกเขาสามารถดูกระบวนการ / เจ้าของกระบวนการเชื่อมต่อเครือข่าย / กระบวนการเป็นเจ้าของทั้งหมด อย่างไรก็ตามดูเหมือนว่า Windows 8 จะปิดใช้งานสิ่งนี้ ในฐานะผู้ดูแลระบบที่รันการยกระดับใน Win Vista + เมื่อคุณเรียกใช้net useคุณจะได้รับการแมปไดรฟ์ทั้งหมดกลับคืนแสดงว่าไม่พร้อมใช้งาน ใน Windows 8 คำสั่งเดียวกันที่เรียกใช้จากพรอมต์ที่ยกระดับจะส่งคืน "ไม่มีรายการในรายการ" พฤติกรรมที่เหมือนกันสำหรับ Get-WmiObject Win32_LogonSessionMappedDiskPowerShell Get-ChildItem Registry::HKU*\Network*วิธีแก้ปัญหาสำหรับแมปแบบถาวรคือการทำงาน นี้ไม่รวมการแมปชั่วคราว (ในตัวอย่างเฉพาะของฉันมันถูกสร้างขึ้นผ่าน explorer ในบัญชีผู้ดูแลระบบและฉันไม่ได้เลือก "เชื่อมต่ออีกครั้งเมื่อลงชื่อเข้าใช้") มีวิธีการโดยตรงหรือง่าย ๆ สำหรับผู้ดูแลระบบในการดูการเชื่อมต่อของผู้ใช้ (สั้น ๆ ของสคริปต์ที่ทำงานภายใต้บริบทของผู้ใช้แต่ละคน)? ฉันได้อ่านบางโปรแกรมไม่สามารถเข้าถึงตำแหน่งเครือข่ายเมื่อเปิดใช้งาน UACแต่ฉันไม่คิดว่าจะใช้งานเป็นพิเศษ ฉันเคยเห็นคำตอบนี้แล้ว แต่ก็ยังไม่ได้ระบุไดรฟ์ที่ไม่ถาวรฉันจะบอกได้อย่างไรว่าผู้ใช้ไดรฟ์เครือข่ายใดที่แมปไว้

11 command-line-interface  windows-8  uac  mappeddrive  forensics 

ฉันต้องทำการ kill-switch บนคอมพิวเตอร์ที่ใช้ Windows 7 Enterprise จากระยะไกลกับโฆษณา โดยเฉพาะฉันต้องการ เข้าถึงเครื่องจากระยะไกลโดยไม่ต้องมีการโต้ตอบกับผู้ใช้ (ฉันมีบัญชีโดเมนซึ่งเป็นผู้ดูแลระบบของเครื่อง) ทำให้เครื่องใช้งานไม่ได้ (ขัดข้อง / เรียบและไม่บู๊ต) รักษาเนื้อหาของเครื่อง (สามารถบันทึกสิ่งที่มีการเปลี่ยนแปลง) เครื่องต้องได้รับความเสียหายเพียงพอที่การแก้ไขปัญหาพื้นฐาน + ล้มเหลวและต้องนำเครื่องไปที่แผนกช่วยเหลือของ บริษัท เพื่อคาดการณ์ความคิดเห็น: ฉันเข้าใจว่าสิ่งนี้ฟังดูร่มรื่น แต่การกระทำนี้จำเป็นต้องได้รับอนุญาตและถูกต้องตามกฎหมาย - ภายในสภาพแวดล้อมขององค์กร มาจากพื้นหลัง Unix ฉันไม่ทราบว่าสิ่งที่เป็นไปได้จากระยะไกลบนเครื่อง Windows เป็นการดี (และอีกครั้งโดยมีพื้นหลังยูนิกซ์ในใจ) ฉันจะดูการกระทำเช่น การลบ MBR และบังคับให้รีบูต ถอดกุญแจ dlls ซึ่งจะไม่ถูกกู้คืนโดยอัตโนมัติในระหว่างการบูตปลอดภัย แก้ไขความคิดเห็นที่ตามมา: นี่เป็นกรณีนิติเวชที่เฉพาะเจาะจงมากซึ่งจำเป็นต้องได้รับการจัดการผ่านวิธีการที่ซับซ้อนนี้

10 windows  windows-7  remote-access  forensics 

เว็บไซต์ของ บริษัท ของฉันถูกลบเลือนหากฉันมีบันทึกการเข้าถึง apache raw มีอะไรที่ฉันสามารถทำได้เพื่อวิเคราะห์เวลาและสิ่งที่ผิดพลาดหรือไม่ ฉันหมายถึงสิ่งที่ต้องระวังในบรรดาท่อนซุงหลายพันเส้น ขอบคุณสำหรับความช่วยเหลือ

10 apache-2.2  security  forensics