タグ付けされた質問 「forensics」

2
隠されたPHPページへの不思議な訪問者
私のウェブサイトには、最近の訪問者のリストを表示する「隠し」ページがあります。この単一のPHPページへのリンクはまったく存在せず、理論的には私だけがその存在を知っています。1日に何度もチェックして、新しいヒットを確認します。 ただし、約1週間に1回、この非表示のページにある208.80.194。*アドレスからヒットを取得します(ヒット自体を記録します)。奇妙なことはこれです:この不思議な人/ボットはないではない訪問任意の私のサイト上の他のページを。PHPの公開ページではなく、訪問者を印刷するこの非表示ページのみ。これは常にシングルヒットであり、HTTP_REFERERは空白です。他のデータは常に Mozilla / 4.0(互換、MSIE 7.0、Windows NT 5.1、YPC 3.2.0、FunWebProducts、.NET CLR 1.1.4322、SpamBlockerUtility 4.8.4、yplus 5.1.04b) ...しかしMSIE 6.0、7の代わりに時々、その他のさまざまなプラグイン。ブラウザは、アドレスの最下位ビットと同様に、毎回異なります。 そして、それだけです。その1ページに1週間に1ヒット。この不思議な訪問者が他のページに触れていることは絶対にありません。 やってwhoisそのIPアドレスには、それがニューヨークエリアからだ、と「Websenseの」ISPから示されました。アドレスの最下位8ビットは異なりますが、それらは常に 208.80.194.0 / 24サブネットのものです。 Webサイトへのアクセスに使用するほとんどのコンピューターtracerouteから、サーバーへのアクセスには、IP 208.80。*の途中にルーターが含まれていません。そのため、あらゆる種類のHTTPスニッフィングが排除されると思います。 これはどのように、なぜ起こっているのですか?それは完全に良性のようですが、説明できず、少し気味が悪いです。

1
管理者はすべてのマップされたドライブを表示します
セキュリティに関する私の理解では、管理者は、すべてのプロセス/所有者、ネットワーク接続/所有プロセスを表示できるのと同じように、コンピューターとのすべての接続を表示できる必要があります。ただし、Windows 8はこれを無効にしているようです。 管理者が実行時にWin Vista +で昇格を実行net useすると、使用不可としてリストされているすべてのドライブがマップされます。Windows 8では、管理者特権のプロンプトから同じコマンドを実行すると、「リストにエントリがありません」が返されます。動作はpowershellと同じですGet-WmiObject Win32_LogonSessionMappedDisk。 永続的なマッピングの回避策は、実行することGet-ChildItem Registry::HKU*\Network*です。これには一時的なマッピングは含まれません(私の特定の例では、管理者アカウントのエクスプローラーで作成されたため、「サインイン時に再接続」を選択しませんでした) 管理者が任意のユーザーの接続を表示するための直接/簡単な方法はありますか(各ユーザーコンテキストで実行されるスクリプトの省略)。UACが有効になっていると一部のプログラムがネットワークロケーションにアクセスできないことを読みましたが、特に当てはまるとは思いません。 私はこの答えを見ましたが、それはまだ非永続的なドライブに対応していませんユーザーがマップしたネットワークドライブをどのように見分けることができますか?

4
Windows 7でkill-switchをリモートで実行する方法は?
ADに接続されたWindows 7 Enterpriseコンピューターでリモートでkill-switchを実行する必要があります。具体的には、私はする必要があります 目に見えるユーザー操作なしでマシンにリモートアクセスする(マシンの管理者であるドメインアカウントを持っている) マシンが使用できないようにします(クラッシュ/再起動し、再起動しません)。 マシンの内容を保存する(変更内容を文書化できる) マシンは、基本的なトラブルシューティングが失敗するほど損傷していて、会社のヘルプデスクに持っていく必要があります。 コメントを予測するために:私はこれは怪しげに聞こえるが、この行動は企業環境内で必要であり、承認され、合法であると理解しています。 Unixの背景から来たのですが、Windowsマシンでリモートで何が可能かわかりません。理想的には(また、UNIXの背景を念頭に置いて)、次のようなアクションを検討します。 MBRを消去して強制的に再起動する キーを削除します。dllセーフブート中に自動的に回復されないs 次のコメントを編集:これは非常に特殊なフォレンジックのケースであり、この複雑な方法で処理する必要があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.