Pokaż wyniki 1 do 7 z 7

Temat: archiwum gg - dostęp zdalny

  1. #1
    Zarejestrowany
    Oct 2008
    Skąd
    Gliwice
    Postów
    3

    Domyślnie archiwum gg - dostęp zdalny

    Witam,

    całkiem niedawno zarejestrowałem się na forum, więc prosiłbym o wyrozumienie, jeżeli chodzi o duplikowanie wątków. Przeszukałem forum i nie znalazłem odpowiedzi na moje pytanie, aczkolwiek mogłem coś przeoczyć.

    Temat pojawia się często, jednak chciałbym go ugryźć od nieco innej strony

    A zatem do sprawy... Będzie to nieco dłuższy wstęp:
    Zadzwoniła dzisiaj do mnie znajoma, iż w jakiś super tajemniczy dla niej sposób pewne osoby dostały w swe ręce zawartość jej archiwum gg. Sprawa byłaby lekka i zabawna, gdyby nie fakt, że od pewnego czasu jest nękana sms'ami, na gg i miała przerysowany samochód. Dodatkowo, część rzeczy, jakie były w tym archiwum nie powinno ujrzeć światła dziennego (pomijając tajemnicę służbową, która też została naruszona - laptop służył głównie do pracy). Znajoma jest aktualnie na etapie zgłoszenia sprawy na policję, jednak przed pójściem chciała, abym rzucił okiem na jej komputer. Laptopa będę miał w czwartek.
    I tutaj prośba do Was, drodzy forumowicze. Zależałoby nam na zidentyfikowaniu backdoora/trojana i najlepiej namierzeniu IP, maila, FTP a docelowo konkretnej osoby, gdyż bez tego policja nawet nie kiwnie palcem, bo nie potrafią ustalić sprawcy.
    W kwestii technicznej: windows XP (bodajże SP2), zainstalowany Sygate (personal, a jakże) - miał puszczać gg, skype, firefoxa, ie (!), alg, lsa. Svchost był zablokowany + był do tego norton.
    Wycinki swoich rozmów na gg zaczęła dostawać w zeszły wtorek, dzisiaj do mnie zadzwoniła i nie wiadomo, kiedy archiwum wyciekło.
    Pytanie, jakie są najczęstsze i najpopularniejsze metody "zdalnego" dostępu do archiwum? Odpada majstrowanie przy komputerze, gdyż ten znajoma miała cały czas pod ręką i nie zostawiała go bez opieki, a sam profil (windowsowy) i wygaszacz były na hasło.
    Spodziewam się, iż należy szukać jakiejś aplikacji w menu start bądź /hk_local_machine/../run, ale jakiej konkretnie? Czy wchodzą w gre inne sposoby odpalania aplikacji tego typu? (mowa o najczęstszych przypadkach - jakieś dll'ki?). Jest to laptop hp, który ma zainstalowane wiele dodatków hp, więc lista aplikacji jest spora.

    Przyznam, że w tym temacie jestem laikiem, bardziej zajmuje się w pracy php/java i systemami crm, cms itp, więc aplikacje windowsowe tego typu nie są moją mocną stroną. Kiedyś (na studiach) pisałem aplikacje w visual studio (vb, cpp, c# itp). Prosiłbym o pomoc.

    Plus pytanie (tu chyba bardziej do działu prawnego) - jakie są prawne podstawy zgłoszenia takiej sprawy na policję?

    pozdrawiam

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Samo naruszenie tajemnicy sluzbowej w wielu wypadkach naklada obowiazek zgloszenia tego przelozonym i policji. Akurat to, ze wycieklo archiwum GG moze sugerowac, ze wycieklo nie tylko archiwum ale i informacje ktore nie powinny.

    Co do tego co chcesz zrobic - nie ruszac! Powiedz kolezance aby laptopa wylaczyla przez wcisniecie przycisku zasilania i KONIECZNIE twarde wylaczenie - nie robiac "start -> zamknij system". W ten sposob zachowasz duzo wiecej materialu dowodowego.

    Jesli zaczniesz grzebac w systemie zatrzesz tylko slady, ktore specjalisci od "IT forensics" sa w stanie wydobyc. Odradzam wiec jakiekolwiek grzebanie. Zglosic gdzie trzeba, oddac laptopa do analizy.

    Najgorsze co mozna zrobic to zanieczyscic material dowodowy swoimi dzialaniami a pozniej zwalac wine na policje ze nie potrafi nic znalezc...


    EDIT: Jesli kolezanka nadal uzywa laptopa to w sumie jak go wylaczy nie ma juz znaczenia - zapewne juz zniszczyla wiekszosc materialow dowodowych :/
    Ostatnio edytowane przez TQM : 10-14-2008 - 23:01
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Oct 2008
    Skąd
    Gliwice
    Postów
    3

    Domyślnie

    Dzięki za odpowiedź
    Tak, mam tego świadomość, że nie należy grzebać, ale jak mówiłem, ona od wtorku (zeszłego) dostaje wiadomości, a na dodatek postanowiła na własną rękę usunąć gg. Moim zdaniem już więcej nie da się zrobić. Kazałem jej nie włączać laptopa, ale po tygodniu to już kiepska sprawa. Cóż, wiedzą informatyczną ona nie grzeszy.
    Zamierzam podpiąć dysk jako zewnętrzny, a najlepiej zrobić kopię partycji (posiadam podobny) i z niej odpalić system, by szukać plików, które nie zostały skasowane - a oryginał zostawić do ewentualnej analizy osób, które wiedzą, czego szukać.
    Niemniej jednak jakiś punkt zaczepienia bym chciał mieć i poszukać na własną rękę, gdyż (nie urągając tutaj policji) samo takie zgłoszenie jest na większości komisariatów traktowane po macoszemu - jednostek od cyberprzestępczości jest niewiele i na pewno ani u mnie ani u niej w mieście ich nie ma. Chciałbym zatem wiedzieć, czego się spodziewać po materiale, jaki jest, żeby móc porozmawiać i żeby też nie okazało się, że jest to ślepa uliczka.

    W rzeczywistości po cichu liczę, że znajdę po prostu zwykłego .exe w autostarcie, który ma za zadanie skopiować .dat'a i wysłać gdzieś w świat - takie rozwiązanie byłoby chyba w tym momencie najlepsze. Obawiam się jednak, że takie metody już dawno wyszły z mody (jawny .exe) i od czasu, kiedy z takimi rzeczami miałem styczność to wiele się zmieniło. Stąd moje pytanie, czego szukać...
    Ostatnio edytowane przez iommi : 10-14-2008 - 23:03

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    NIE NIE NIE I JESCZE RAZ NIE!

    Jak chcesz podlaczyc dysk do swojego komputera nawet jako slave - czy posiadasz sprzetowy write-blocker? Watpie... a bez tego jakikolwiek material dowodowy bedzie niewiarygodny jesli sprawa trafi kiedykolwiek do sadu.

    Jesli podepniesz ten dysk do komputera z windows to windows startujac i sprawdzajac jakie dyski ma dostepne juz na starcie wprowadza modyfikacje do systemu plikow. Kazde uruchomienie kompa oznacza zapis danych na dysku - w windows nie da sie zrobic tego read-only, nawet jesli masz windows w wersji LiveCD. Po prostu tak sie nie da. Linux predzej... ale nie kazdy, nie zawsze i nadal pozostaje kwestja sprzetowego write-blockera.

    Jesli nie posiadasz odpowiednich umiejetnosci, kwalifikacji i sprzetu to tego nie ruszaj bo zrobisz wiecej szkod niz samo wlamanie. Aby zebrac material dowodowy proponuje skorzystac z uslug jakiejs firmy ktora zajmuje sie odzyskiwaniem danych - oni najczesciej podpinaja dyski wlasnie przez write-blocker, moga wtedy zrobic bitowy obraz dysku, ktory bedziesz mogl dalej obrabiac (kopie obrazu oczywiscie) dostepnymi narzedziami jak np to tutaj http://www.sleuthkit.org/

    EDIT: wiedze nt systemow plikow, sposobach i badania i jak zachowac lancuch dowodowy dowiesz sie z tej ksiazki http://www.digital-evidence.org/fsfa/ ale uprzedzam, to na prawde ciezka lektura - przebilem sie kilkadziesiat stron rok temu i poddalem sie na razie

    EIDT 2:
    Sporo informacji masz tutaj http://www.linux-forensics.com/ a do tego ta prezentacja http://www.blackhat.com/presentation...-03-willis.pdf pokaze Ci na co w ogole sie porywasz.

    Mowiac krotko, zostaw temat specom w danej dziedzinie... sam nic nie znajdziesz a tylko zniszczysz material.
    Ostatnio edytowane przez TQM : 10-14-2008 - 23:20
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Oct 2008
    Skąd
    Gliwice
    Postów
    3

    Domyślnie

    Sorry, że odgrzewam temat, ale chciałem dać znać, jak się skończyło:

    otóż okazało się, ze włam był kilka miesięcy temu, w tym czasie komputer był odpalony praktycznie 12h/dobę a dodatkowo 2 tygodnie temu zrobili defragmentację (to odnośnie stwierdzenia, że więcej się nie dało zrobić). Nie wiem w jakim kierunku idzie sprawa i szczerze mówiąc wolę się w to nie mieszać na takim etapie, na jakim to jest. Dzięki za zainteresowanie i pomoc

    temat do zamknięcia

  6. #6
    Avatar Mandr4ke
    Mandr4ke jest offline Bez Teamowiec
    Zarejestrowany
    Oct 2008
    Skąd
    W Sieci !!!
    Postów
    282

    Domyślnie

    po defragmentacji to se moga szukac ;p Jesli wycieklo archiwum...to i podejrzewam ze ktos szarpnol haselko...I znowu ktos poczul sie wspaniale gdy siedzac w szkole w lawce z najlepszym kolega z podniesiona glowa powiedzial :
    Alez jestem klawy.Wiesz co zrobilem ? Hacknolem Gadu...Chlopie ile to trzeba umiec...Dziwi mnie fakt ze od poczatku Gadu do wersji 8 od zawsze mozna to robic i nikt nie chce tego zalatac...
    "Wszystkie komputery PC są kompatybilne, ale niektóre są kompatybilniejsze od innych... Twój jest zawsze mniej kompatybilny..."

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @iommi - jak dowiesz sie cos wiecej jak potoczyla sie sprawa mam nadzieje, ze sie z nami podzielisz wrazeniami (oczywiscie w takim zakresie w jakim bedziesz mogl i chcial). Watek pozostawiam otwarty.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Zdalny Internet
    By watras in forum Newbie - dla początkujących!
    Odpowiedzi: 3
    Autor: 11-20-2007, 19:20
  2. zdalny shell
    By GSG-9 in forum Hacking
    Odpowiedzi: 3
    Autor: 11-19-2007, 14:27
  3. Zdalny pulpit ????
    By tomek21 in forum Newbie - dla początkujących!
    Odpowiedzi: 3
    Autor: 08-29-2007, 22:43
  4. Zdalny Pulpit
    By cebab in forum Windows
    Odpowiedzi: 4
    Autor: 04-20-2007, 10:28
  5. Dostęp do archiwum.
    By MissNobody in forum Hacking
    Odpowiedzi: 1
    Autor: 10-19-2006, 15:42

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj