Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Задание 2

.docx
Скачиваний:
3
Добавлен:
21.03.2024
Размер:
4.33 Mб
Скачать

Задание 2.

  1. Какова контрольная сумма исходного содержимого образа (MD5)?

84648ad119e390f8cf2201a145c5d8ba

  1. У какого пользователя идентификатор безопасности заканчивается на 1004?

У пользователя Support ИБ заканчивается на 1004

  1. Во сколько был запущен файл «2.bat»? Запишите ответ в формате: hh:mm:ss (UTC).

Не смог найти этот батник нигде не нашел

  1. Какой сайт использовался для кражи данных и загрузки вредоносного ПО? Запишите ответ в формате: website.com

Ответ на этот вопрос на 7 вопросе

  1. При помощи чего осуществлялось подключение к узлу 192.168.1.75? Назовите протокол.

Microsoft-Windows-TerminalServices-RDPClient/Operational

Microsoft-Windows-TerminalServices-ClientActiveXCore

  1. Какой файл был запущен из каталога «Temp1_iepv.zip»? Запишите имя файла с расширением.

Был запущен файл iepv.cfg который является конфигурацией для утилиты, которая после запуска отобразит сохраненные пароли в браузере Internet Explorer

  1. Откуда был загружен данный файл? Укажите в формате: website.com

Пытался открыть файл с историей браузера через BrowserHistoryView но никак не получилось, папка History никаким образом не открывается

  1. Какой пользователь последний раз заходил в систему 10 марта в 12:23:43 (UTC)?

Пользователь Wilfred заходил 9 Марта 14:17

И неизвестный пользователь с названием 000003E8 заходил 9 Марта 14:20

  1. Каким пользователем было сделано первое исходящее подключение по RDP?

Методом извлечения логов журнала (Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx) было выявлено что первым подключением по RDP было пользователем Wilfred в 2019-03-09 16:35:27

  1. Для чего атакующими использовался файл, запущенный из C:\Users\Wilfred\AppData\Local\Temp\Temp1_netscan_portable.zip?

Атакующий пользовался файлом программой netscan для сканирования всех IP-сетей класса B или класса C на наличие открытых портов.

Бат файлы в котором кроются все вирусы