ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Чистим логи или как остатся незамеченным

В этот раз мы с тобой по просьбам посетителей напишем про то как прочистить логи на своем компе. Надо это для того, что бы когда к Тебе в квартиру вломятся друзья дворника (ака ОМОН), что бы они ничего не смогли обнаружить на твоем винте. Начнем с того, что Тебе надо в срочном порядке приобрести UPS. Без него никуда. Это блок безперебойного питания. Что бы когда в доме вырубят свет, Ты успел все прочистить. Во-первых сотри все файли с паролями, хакерский софт, history аськи и так далее. Но просто стереть мало. На самом деле когда Ты "стираешь" файл, на харде он помечается как "удаленный", и когда места перестанет хватать, он новую инфу запишет поверх него. Так, конечно, не во всех файловых системах, но в большинстве. Для затирания пустого места тебе необходима прога под названием PGPErase. Она входит в комплект PGP, который можно скачать на сайте PGPi (где-то в районе девяти метров). Вообще PGP - классная штука (хотя недавно для нее был написан кряк). Особо полезны утилиты PGPErase, PGPDisc и PGPMail. Про PGPErase мы говорили. PGPDisc - это утилитка для создания виртуального диска. Как она действует. Ты создаешь папку, которая потом станет диском. Запускаешь PGPDisc, он ее зашифровывает и помещает в файл *.pgd. Диск этот изначально "невидимый". Что бы он активизировался, надо набрать офигительный шифр. В случае чего, его можно вырубить клавишами Ctrl+F12. PGPMail служит для шифрования почтовых сообщений. Теперь прочистим реестр. Сделать это достаточно легко. Просто удаляешь строчки со спертыми данными и все. Но мы с тобой сейчас попробуем автоматизировать этот процесс. Сначала надо все это дело сохранить в каком-нить файле, после чего склепать из него два файла INF (для загрузки всего этого в реестр и удаления из него). Для автоматизации этой работы советую скачать маленькую программку по адресу http://www.xakep.ru/soft/5/reg2inf.exe Как склепать все ручонками, думаю, Ты знаешь. Например, что бы INF-файл удалял из твоего реестра запись о том, что CSU - твоя домашняя страничка , код должен быть таким:
[Version]
Signature="$...$"
LayoutFile=bla.inf
[DefaultInstall]
DelReg=del.Reg
[del.Reg]
HKCU,"SOFTWAREMicrosoftInternet Explorermain","Home Page"
Вот так вот все просто. Но, надеюсь, что Ты себе такой файл делать не будешь Для добавления строчек надо сделать все так же, только вместо слова Del написать слово Add и после адреса ключа вписывать '0,"параметр"'. Но просто так Ты инфы не запустишь. Допустим, у тебя INF-файл называется CSU.INF(хотя я конечно понимаю, что я обнаглел). Тогда его надо будет запускать командой 'RUNDLL.EXE SETUPX.DLL,InstallHinfSection DefaultInstall 64 c:csu.inf'. Все. Больше мы - не твоя стартовая страничка. Дальше надо вытереть файлы USER.DA0 и SYSTEM.DA0 (это что-то типа backup'а реестра). Я бы посоветовал написать батник, убивающий эти файлы и заоодно прочищающий реестр. Тоесть если твой файл для выризания строчек из реестра называется CSU.INF, а для добавления в реестр инфы CSUADD.INF, то батник будет выглядеть следующим образом:
RUNDLL.EXE SETUPX.DLL,InstallHinfSection DefaultInstall 64 csu.inf
ATTRIB -H -R -S C:WINDOWSSYSTEM.DA0
ATTRIB -H -S=R C:WINDOWSUSER.DA0
DEL C:WINDOWSSYSTEM.DA0
DEL C:WINDOWSUSER.DA0
Следующим делом надо просмотреть файлы USER.DAT и SYSTEM.DAT (реестр) через какой-нить HEX-редактор. Там тоже есть много твоих паролей. Их заменять надо на что угодно, лишь бы такой же длинны. Еще хороший способ - пустить поиск файлов по содержащейся в них строчке. А лично я свои логи никогда не чищу, а просто храню всю опастную для моей свободы инфу на отъдельном винте, и подсоединяю его только когда это мне необходимо.
(с)http://www.site.pyccxak.com/