Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Для новичков
Страницы: 1
RSS
net send шпионаж, логи сообщений в командной строке
 
#1
Это нравится:0Да/0Нет
06.09.2005 10:29:57
Камрады. Возник вопрос. Гражданки обменивались сообщениями через командную строку, net send user сообщение. Ну вы знаете =)... и потом, одна из них предъявила логи начальству. Никто не знает , как такое может быть? DOS , Win , разве ведут логи сообщений, отправленных\полученных через нет сенд ? или там с параметрами надо запускать, чтобы лог был ?

... просветите, камрады. ... а то нехорошо получается. Девушку к начальнику вызывали... а там еще две на очереди. Пока еще можно логи почистить...
 
 
 
#2
Это нравится:0Да/0Нет
06.09.2005 10:38:57
Виндовз пишет это в журнал аудита (eventvwr)  aaplication или system.
по умолчанию к этим журналам на других машинах (за исключением dc) имеет доступ любой аутентифицированный пользователь, т.е. любой юзерь домена.
так что не стоит net send использовать для послыки паролей друзьям  - админам :-)
 
 
 
#3
Это нравится:0Да/0Нет
06.09.2005 10:44:35
offtopic   а как эти журнал посмотреть ?

eventvwr.exe - запустил. Дальше куда ?

Журнал приложений
Журнал безопасности
Журнал системы ???

Я так понял, девушка взяла, и предьявила шефу логи сообщений за несколько месяцев. .. вумная такая девушка попалась...
\ как это сделать то ?
 
 
 
#4
Это нравится:0Да/0Нет
06.09.2005 10:53:09
в системных повтыкай в Application Popup или типа такого (зы - где это в русской виндовз -- не беспокоить). Отправь себе мессагу и посмотри что появиться.
Можешь соединится с другим компом  и там посмотреть.
Фильтр повесь на eventid 26. в общем - дерзай.
 
 
 
#5
Это нравится:0Да/0Нет
06.09.2005 11:03:57
Камрад оффтопик. По порядку. Виндоз 2000 СП 4 русский, но я чуть чуть знаю английский :)
.
Итак. Мои действия.

Запускаю eventvwr.exe -> Журнал приложений ->всего 620 событий.
Интересующего меня ничего нет.
Закожу в верхнее меню "Действия"->выбираю "Свойства". Ставлю "Фильтр" - "Источник события" -> EventSystem -> Категория Все - Код события 26- поля "Пользователь" и "Компьютер" - пусты.
С применением данного фильтра, Журнал приложений ПУСТ.

Далее. Послал себе сообщение через ком. стр. net send localhost stukach осуществил поиск по слову stukach по всему компу, ничего не нашел.

Затем. Экспортировал Журнал приложений  в txt файл, осуществил поиск по слову stukach  в этом файле...

Результат нулевой.  Что я сделал не так ?
 
 
 
#6
Это нравится:0Да/0Нет
06.09.2005 11:05:36
Всё :)) разрулил. Тема пишется в Журнал системы. Врубить фильтра по 26 коду. Спасибо оффтопик =) !  Родина тебя не забудет !!!
 
 
 
#7
Это нравится:0Да/0Нет
06.09.2005 11:06:53
Камрад, читай предыдущий мой пост до просветления - журнал system.
 
 
 
#8
Это нравится:0Да/0Нет
06.09.2005 11:29:44
offtopic =)  вообщем, сами сообщения я нашёл, в текстовый файл вывел, всё отлично с этим. Теперь вот какой вопрос. Дело всё в том, что хранятся сообщения только исходящие. Т.е. с твоего компа на чужой. ...  а те , которые Входящие - НЕТ.
Прикол в чём.

одна обиженная гражданка, заложила своих подруг, с которыми она вместе, по net send , засирала начальство. В тупую положила шефу распечатку , а на ответ подруг "Мол ты сама в первых рядах была, матом крыла" ответила "Вы всё врете, докажите".  Вопрос такой.
Если на своём компе она не могла распечатать ВХОДЯЩИЕ сообщения от других, а только свои сообщения, Как она могла утянуть удалённо чужой Журнал системы ? Так чтоли ? или как ?
 
 
 
#9
Это нравится:0Да/0Нет
06.09.2005 15:23:15
Я разобрался. Хочется предупредить :)
Обмениваясь сообщениями через команды net send, а также используя утилиты для посылки сообщений , использующие эту команду, такие как NetView - помните ! Big Brother is watching for you !
 
 
 
#10
Это нравится:0Да/0Нет
06.09.2005 17:10:45
2 Offtopic а подскажи пожалуйста КАК другие пользователи домена имеют возможность читать логи на удаленных машинах? Я прочитал топик и че-то не догнал (тупой), про этот журнал я в курсе, а вот каким образом скоммуниздить его удаленно? или я что-то не так понял? может имелось ввиду любой юзырь который сядет за твою машину? просвети пожалста! :help:
 
 
 
#11
Это нравится:0Да/0Нет
06.09.2005 17:24:51
Нажать правой кнопкой на "My computer", выбрать "Manage", нажать правой конпкой на "Cpmouter Managemet" и медитировать до просветления.

:offtop:  :offtop:  :offtop:  :offtop:  :offtop:  :offtop:
 
 
 
#12
Это нравится:0Да/0Нет
06.09.2005 18:04:10
Прости, не нужно так орать! пжалста! Я уже и сам разобрался (извиняюсь за то что сначала спросил, а потом включил мозги) :idea: но есть интересный момент - к некоторым машинам я могу подключиться и читать сообщения, а к некоторым нет! т.е. я подключаюсь, но читать месседжи у меня прав нет :( от чего это может зависеть? на удаленных машинах вырублен какой-то сервис? странно...
 
 
 
Страницы: 1
Читают тему