Cybred
@cybred
Nyx
Ультимативный скрипт для заметания следов, работающий по принципу «выжженной земли».
Ни для кого не секрет, что современные ОС работают как первоклассные стукачи, записывая каждое твоё действие в десятки отдельных папок и веток реестра. Запоминать и вычищать всё это вручную — путь в никуда.
Вот только пара интересных мест в Windows, о которых ты мог не знать:
— ShimCache (AppCompatCache): хранит данные о запускаемых бинарниках для обеспечения совместимости. Хранится в памяти и сбрасывается в реестр при выключении. Это один из первых векторов, куда смотрит аналитик, чтобы восстановить таймлайн твоих действий.
— ShellBags: Windows помнит каждую папку, которую ты открывал, её размер, положение окна и время доступа. Даже если ты удалил папку и затер её шредером — запись в реестре расскажет, что она там была.
— UserAssist: списки запускаемых программ с их счетчиками и временем последнего старта
evilsocket — исследователь с опытом в 20 лет и создатель bettercap — выпустил решение, которое делает всю грязную работу за тебя.
Nyx проходит катком по всем местам, где система могла сохранить метаданные о твоих действиях, запущенном софте или подключенных устройствах, устраивая настоящий ад для цифровой криминалистики. Он не только стирает логи операционной системы, но и умеет даже вырезать артефакты EDR вроде CrowdStrike или SentinelOne.
Поддерживаются все основные ОС (Windows, Linux и MacOS), а размер скрипта умещается в строгие 39.2кб.
Ультимативный скрипт для заметания следов, работающий по принципу «выжженной земли».
Ни для кого не секрет, что современные ОС работают как первоклассные стукачи, записывая каждое твоё действие в десятки отдельных папок и веток реестра. Запоминать и вычищать всё это вручную — путь в никуда.
Вот только пара интересных мест в Windows, о которых ты мог не знать:
— ShimCache (AppCompatCache): хранит данные о запускаемых бинарниках для обеспечения совместимости. Хранится в памяти и сбрасывается в реестр при выключении. Это один из первых векторов, куда смотрит аналитик, чтобы восстановить таймлайн твоих действий.
— ShellBags: Windows помнит каждую папку, которую ты открывал, её размер, положение окна и время доступа. Даже если ты удалил папку и затер её шредером — запись в реестре расскажет, что она там была.
— UserAssist: списки запускаемых программ с их счетчиками и временем последнего старта
evilsocket — исследователь с опытом в 20 лет и создатель bettercap — выпустил решение, которое делает всю грязную работу за тебя.
Nyx проходит катком по всем местам, где система могла сохранить метаданные о твоих действиях, запущенном софте или подключенных устройствах, устраивая настоящий ад для цифровой криминалистики. Он не только стирает логи операционной системы, но и умеет даже вырезать артефакты EDR вроде CrowdStrike или SentinelOne.
Поддерживаются все основные ОС (Windows, Linux и MacOS), а размер скрипта умещается в строгие 39.2кб.
GitHub
GitHub - evilsocket/nyx: Self-contained script for cleaning forensic traces on Linux, macOS, and Windows.
Self-contained script for cleaning forensic traces on Linux, macOS, and Windows. - evilsocket/nyx
294 5.1K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram