Следене на активност при Windows процеси

Тъй като с Sir Peach днес имахме задачка да проследим една "програмка" каква активност извършва - използвани файлове, registry ключове и т.н. се наложи да си спомня за този инструмент, а той е именно - Process Monitor на SysInternals

Download

Инструмента след пускането си hookва глобално всички процеси и следи всички event-и, за да проследите поведението на точно определен процес - използвате филтри.
Филтрите са много гъвкави и позволяват филтрация по пътека на изпълняваният файл, отварян файл, че дори по използвано Windows-ко API.

dcfldd - Enhanced dd

http://dcfldd.sourceforge.net/


Introduction

• 
  dcfldd is an enhanced version of GNU dd with features useful for forensics and security. Based on the dd program found in the GNU Coreutils package, dcfldd has the following additional features:
   
• Hashing on-the-fly - dcfldd can hash the input data as it is being transferred, helping to ensure data integrity.
   
• Status output - dcfldd can update the user of its progress in terms of the amount of data transferred and how much longer operation will take.
   
• Flexible disk wipes - dcfldd can be used to wipe disks quickly and with a known pattern if desired.
   
• Image/wipe Verify - dcfldd can verify that a target drive is a bit-for-bit match of the specified input file or pattern.
   
• Multiple outputs - dcfldd can output to multiple files or disks at the same time.
  Split output - dcfldd can split output to multiple files with more configurability than the split command.
   
• Piped output and logs - dcfldd can send all its log data and output to commands as well as files natively.