Questions tagged «forensics»

在我的网站上，我有一个“隐藏”页面，其中显示了最近访问者的列表。单个PHP页面根本没有链接，从理论上讲，只有我知道它的存在。我每天检查很多次，看看我有什么新唱片。 但是，大约每周一次，我从这个可能隐藏的页面上的208.80.194。*地址中获得了一次点击（它记录了自己的点击）。奇怪的是：这个神秘的人/机器人没有访问我网站上的任何其他页面。不是公共的PHP页面，而是仅此打印访问者的隐藏页面。它始终是单个匹配，并且HTTP_REFERER为空白。其他数据始终是 Mozilla / 4.0（兼容; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b） ...但有时MSIE 6.0不是7，而是其他各种插件。浏览器每次都不同，地址的最低位也是如此。 就是这样。每周左右点击一次，到那一页。这位神秘的访客绝对没有触及其他页面。 whois在该IP地址上做一个显示，它来自纽约地区和“ Websense” ISP。地址的最低8位有所不同，但它们始终来自208.80.194.0 / 24子网。 在我用来访问网站的大多数计算机中，traceroute对我的服务器执行IP 208.80。*的任何地方都没有路由器。我想，这可以排除任何HTTP嗅探。 这是怎么发生的，为什么呢？看起来完全是良性的，但无法解释且有点令人毛骨悚然。

56 security  forensics 

在我对安全性的理解中，管理员应该能够查看与计算机之间的所有连接-就像他们可以查看所有进程/所有者，网络连接/所有者进程一样。但是，Windows 8似乎已禁用此功能。 作为管理员，当您在Win Vista +中运行提升的权限时，您将net use获得所有映射的驱动器，列为不可用。在Windows 8中，从提升的提示符运行的同一命令将返回“列表中没有条目”。对于powershell来说，行为是相同的Get-WmiObject Win32_LogonSessionMappedDisk。 一种持久映射的解决方法是运行Get-ChildItem Registry::HKU*\Network*。这不包括临时映射（在我的特定示例中，它是通过资源管理器在管理员帐户上创建的，而我未选择“登录时重新连接”） 管理员是否有直接/简单的方式查看任何用户的连接（缺少在每个用户上下文下运行的脚本）？我已经阅读了启用UAC时某些程序无法访问网络位置的信息，但我认为它并不特别适用。 我已经看到了这个答案，但是它仍然不能解决非永久性驱动器问题。我如何知道用户已映射的网络驱动器？

11 command-line-interface  windows-8  uac  mappeddrive  forensics 

我需要在连接到AD的Windows 7 Enterprise计算机上远程执行kill-switch。具体来说，我需要 无需可见的用户交互即可远程访问计算机（我有一个域帐户，该帐户是计算机上的管理员） 使其无法使用机器（崩溃/重新引导并且不重新引导） 保留机器的内容（能够记录更改的内容） 机器必须损坏得足以使基本故障排除失败，并要求将其带到公司服务台。 为了预料到评论：我知道这听起来很可疑，但是在公司环境中，此操作是必需的，经过授权的和合法的。 来自Unix背景，我不知道在Windows计算机上远程可行的方法。理想情况下（再次考虑到Unix背景），我会考虑以下操作 擦除MBR并强制重新启动 拔出钥匙。dll不会在安全启动期间自动恢复的s 编辑以下评论：这是一个非常特殊的取证案例，需要通过这种复杂的方式进行处理。

10 windows  windows-7  remote-access  forensics 

如果我有apache原始访问日志，那么我公司的网站已遭到破坏，我有什么办法可以分析何时以及发生了什么问题？ 我的意思是在成千上万的日志行中寻找什么？ 谢谢您的帮助

10 apache-2.2  security  forensics