stihl не предоставил(а) никакой дополнительной информации.
Как верно обрабатывать лог? Где их брать? Какие риски? - подобные этим вопросы могут, да и скорее всего уже мучали тех, кто впервые пытался заняться чем-либо в этой сфере.
Может казаться, что это что-то непостижимое и глубоко секретное, но это не так и эта статья здесь как раз для того, чтобы доказать обратное.
Итак, давайте начнём с получения лога. Самый быстрый и доступный вариант на данный момент - элементарная покупка. Для просмотра ссылки Войдиили Зарегистрируйся
После осуществления покупки перед нашими глазами появится, собственно говоря, сам архив, содержащий в себе всё необходимое:
Отлично! Распакуем и глянем что внутри:
Содержимое архива
Давайте быстро, кратко и понятно разберём, что именно находится в архиве:
Частые папки
Следующие папки скорее всего будут присутствовать в логе, если пользователь удовлетворяет условиям их создания (Если нет Стима или Дискорда - соответствующих папок также не будет. Но будьте осторожны! В обрутную сторону это не работает. Т.е. отсутствие папки не всегда означает отсутствие сервиса, но отсутствие сервиса всегда означает отсутствие папки).
Autofills
Что же такое AutoFills? Обратимся к прямому переведу и получим “автоматическое заполнение”, что довольно точно передаёт суть содержимого папки.
Каждый из нас, скорее всего, хоть раз в браузере сталкивался со следующим окном:
Предложение браузера об автозаполнении
Именно такие данные папка и хранит. К примеру в данном случае, Яндекс запомнил значение "Вилкин" для поля "surname" (скорее всего), а потому сразу же их мне предлагает.
Пример содержимого папки
Как видно на скриншоте - название файла репрезентует браузер-источник автозаполнений, коим в нашем случае является хром.
Внутри же нас скорее всего встретит текстовый файл такого формата:
Пример текстового файла
В каждом поле, как уже был приведён пример, можно увидеть название поля, в которое выполняется автозамена, а также и само заполняемое значение под названиями "Name" и "Value" соответственно.
Для пущей понятности:
Cookies
Ах, куки, как много в этом слове...
Впрочем же, именно они будут составлять огромную часть работы с логом, а потому важно детально их разобрать и понять, что они значат.
Если говорить сухо:
Куки (кукисы, cookie) – это файлы с информацией, полученной при посещении веб-ресурса. Информация хранится на жестком диске вашего компьютера, а в ней отображаются ваши предпочтения, наиболее часто посещаемые тематики, логины и пароли.
А если говорить проще, то куки можно считать сохранённым куском сессии пользователя. Таким образом, если у нас нет от почты пароля и логина, то мы всё равно, что удивительно, можем зайти по этому самому куску! Тоже самое можно провернуть с любым сервисом, сохраняющим куки.
Логично, что, если в конце сессии пользователь вышел из своего аккаунта и в таком формате было создано куки - мы уже таким же образом не сможем войти. Вход по куки можно также считать продолжением сессии предыдущего пользователя, а соответственно если таковая окончилась на выходе из аккаунта, то тут уже ничего не попишешь.
Иногда папка может отсутствовать. Это происходит в случае, если компьютер жертвы не даёт сторонним программам вытаскивать данную информацию.
Таким же образом, как и в папке AutoFills, названия файлов обозначают браузер, из которого взят куки. Кроме того, уже в отличие от предшествующей папки - после информации о браузере можно увидеть “Default Network” или же “Profile X” (На месте X любая цифра). Это означает профиль браузера. Если это стандартный пользователь\профиль - стоит “Default Network”, иначе, что обычно распространено в семьях для удобства её членов, “Profile”.
Пример содержимого папки
Содержимое файлов для нас не играет особой роли сейчас - на данном этапе с ними мало, что можно сделать. Но как только мы перейдём непосредственно к работе это изменится.
Можно лишь посмотреть на дату создания файлов - если она достаточно старая, то наши куки, что вполне возможно, уже мертвы. Т.е. войти по ним на почту или аккаунт уже не получится.
Discord
Тут находится токен дискорда - это уникальный ключ учетной записи, состоящий из ряда цифр и букв. По нему можно войти в аккаунт дискорд следующим образом:
Вручную:
Открываем основную страницу дискорда в браузере:
Открываем меню разработчика (F12) и переходим в раздел Console:
Затем вставляем следующий код:
function login(token) {
setInterval(() => {
document.body.appendChild(document.createElement`iframe`)
.contentWindow.localStorage.token =
}, 50);
setTimeout(() => {
location.reload();
}, 2500);
}
login('ваш токен')
где на месте слов ваш токен должен, соответственно, быть ваш токен:
Нажимаем кнопку Enter, ждём немного... И вместо кнопки "Вход", у нас что-то новенькое! Нажимаем и наслаждаемся!
Более автоматизированный:
Для начала установим следующий плагин - Для просмотра ссылки Войдиили Зарегистрируйся
Затем входим в него, вставляем наш токен:
Нажимаем Login и готово!
Для отработки не самая важная штука, но, впрочем, занятная в плане информации которую можно получить из переписок пользователя.
Steam
В папке стим единственное, что можно разглядеть с первого раза, так это куча, как может показаться, ненужного мусора. На самом же деле данная папка - супер-удобная штука.
Давайте начнём с первого и самого интересного. Именно это нечто поможет нам понять, что у нас за пользователь на руках даже без входа в его почту. Что же за нечто, спросите вы? Файлик “loginusers.vdf”!
А вот и он!
Откроем его через текстовый редактор и увидим кучу не совсем понятной нам информации... Что именно нас тут интересует, так это следующие цифры в файле:
Внимательный пользователь также может заметить другое интересные параметры, соответствующие аккаунту пользователя и его предпочтениям, но пока сфокусируемся на цифрах. Вставляем в следующую ссылку наши цифры - steamcommunity.com/profiles/цифры/ (вместо слова цифры наше значение).
Перейдём:
Поздравляю, мы вышли на профиль нашей жертвы! Можем увидеть её уровень, кол-во предметов в инвентаре, достижения, игры (если не закрыты) и в целом собрать общую информацию перед тем, как начинать непосредственную работу.
Раз уж заговорили про использование файлов из этой папочки, то доведём дело до конца! Давайте разберёмся со Steam Guard! Да, возможно, эта часть статьи понадобится вам лишь позже, но лучше расставить все точки над “и” сейчас.
Для начала выйдем из стима:
И перейдём по следующему пути: C:\Program Files (x86)\Steam\config
Видим знакомый файл "config.vdf", который нам следует заменить эквивалентом из лога.
Заменяем:
Теперь полностью удаляем содержимое следующих папок:
И снова заменяем нашими ssfn из лога и удаляем оригинальный:
Теперь просто заходим в Steam через Big Picture и нет у нас никакого Steam Guard (пароль всё ещё необходимо подбирать).
Редкие папки
Эти папки, вполне возможно, не будут присутствовать в логе, но могут стать приятным дополнением!
FileGrabber
Вновь, обратимся к прямому переводу! "Перехватчик файлов" довольно точно описывает содержимое папки. В ней хранятся папки и файлы с компьютера жертвы, которые стиллер (сама вредоносная программа, передающая информацию) смог ухватить.
Не удивляйтесь вложенным папкам друг в друге - всё расположено также, как и в пк пользователя. Т.е. если в папке X лежала папка Y, то в логе это их свойство сохранится.
Содержимое папки в моём случае:
Содержимое папки TooLongDir:
И интересное содержимое текстового файла:
))))
Содержимое папки Users:
Содержимое папки User:
Очередное занятное ветвление! В папке Desktop было чисто, а соответственно сразу же перейдём к самому интересному:
Таким образом мы пришли от порно игр до информации об играх и лаунчерах пользователя! Лучше и не придумаешь) Впрочем, обычно в папке Documents и Desktop обычно и лежит основная и важная нам информация почти гарантированно.
На своём примере я показал как работать с данной, безусловно, полезной и, порой, забавной папкой.
Wallets
Хранит в себе информацию о десктопных и электронных кошельках пользователя. Т.к. в моём логе её нет, возьму пример с другого:
Содержимое - папки одноимённых кошельков и соответствующая информация о них.
На данном этапе мы с этим ничего не можем сделать, но если данная папка у вас таки есть, то можно сказать, что вам, вполне возможно, сильно повезло, ибо с помощью имеющейся информации зачастую можно оформить вывод или что-то подобное. Все дальнейшие действия уже прямая часть отработки лога, чему нужна уже отдельная статья.
FTP
В этой папке хранятся файлы из файловых менеджеров по типу FileZilla, TotalCommander, а также информация о серверах входа пользователя. Наличие чего-либо в данной папке указывает на наличие у жертвы сервера, дедика (удалённого компьютера\сервера, работающего 24\7) или сайта.
Пример содержимого:
В нашем случае жертва вполне возможно владелец указанного сайта или проживает по указанному адресу. Впрочем, даже данная информация зачастую может быть полезным при работе, означать ip жертвы или позволить войти куда-либо.
CreditCards
Содержит в себе, что логично, информацию о кредитных картах пользователя:
Пример содержимого:
Сразу же простой вывод, который можно впоследствии подтвердить - карты, а соответственно и большая часть покупок скорее всего зарегистрированы на 5 профиль, куда и надо будет смотреть при отработке.
Пример самого файла:
Но логичный вопрос: "Зачем мне вся эта информация без CVC\CVV кода?".
В целом удобная и полезная папка.
Telegram
Тут давайте коротко и по делу.
В папке - файлы сессии жертвы в Телеграмме. Если хотим в неё войти - просто переносим файлы из папки в нашу папку телеги на пк, заменяя предыдущие. Кроме того, можно воспользоваться и Telegram X для сохранения при этом вашей личной прошлой сессии.
В сессию может не пустить если изначальный пользователь поменял данные или запретил вход через сессию без пароля. В таком случае его можно попытаться подобрать, пользуясь папкой Passwords, о которой будет написано далее.
Из переписок и диалогов можно многое выяснить о пользователе или получить приватную информацию.
Может казаться, что это что-то непостижимое и глубоко секретное, но это не так и эта статья здесь как раз для того, чтобы доказать обратное.
Итак, давайте начнём с получения лога. Самый быстрый и доступный вариант на данный момент - элементарная покупка. Для просмотра ссылки Войди
После осуществления покупки перед нашими глазами появится, собственно говоря, сам архив, содержащий в себе всё необходимое:
Отлично! Распакуем и глянем что внутри:
Содержимое архива
Давайте быстро, кратко и понятно разберём, что именно находится в архиве:
Частые папки
Следующие папки скорее всего будут присутствовать в логе, если пользователь удовлетворяет условиям их создания (Если нет Стима или Дискорда - соответствующих папок также не будет. Но будьте осторожны! В обрутную сторону это не работает. Т.е. отсутствие папки не всегда означает отсутствие сервиса, но отсутствие сервиса всегда означает отсутствие папки).
Autofills
Что же такое AutoFills? Обратимся к прямому переведу и получим “автоматическое заполнение”, что довольно точно передаёт суть содержимого папки.
Каждый из нас, скорее всего, хоть раз в браузере сталкивался со следующим окном:
Предложение браузера об автозаполнении
Именно такие данные папка и хранит. К примеру в данном случае, Яндекс запомнил значение "Вилкин" для поля "surname" (скорее всего), а потому сразу же их мне предлагает.
Пример содержимого папки
Как видно на скриншоте - название файла репрезентует браузер-источник автозаполнений, коим в нашем случае является хром.
Внутри же нас скорее всего встретит текстовый файл такого формата:
Пример текстового файла
В каждом поле, как уже был приведён пример, можно увидеть название поля, в которое выполняется автозамена, а также и само заполняемое значение под названиями "Name" и "Value" соответственно.
Для пущей понятности:
- Name - название поля автозамены.
- Value - значение, на которое производится замена.
- Name - "surname"
- Value - "Вилкин"
Cookies
Ах, куки, как много в этом слове...
Впрочем же, именно они будут составлять огромную часть работы с логом, а потому важно детально их разобрать и понять, что они значат.
Если говорить сухо:
Куки (кукисы, cookie) – это файлы с информацией, полученной при посещении веб-ресурса. Информация хранится на жестком диске вашего компьютера, а в ней отображаются ваши предпочтения, наиболее часто посещаемые тематики, логины и пароли.
А если говорить проще, то куки можно считать сохранённым куском сессии пользователя. Таким образом, если у нас нет от почты пароля и логина, то мы всё равно, что удивительно, можем зайти по этому самому куску! Тоже самое можно провернуть с любым сервисом, сохраняющим куки.
Логично, что, если в конце сессии пользователь вышел из своего аккаунта и в таком формате было создано куки - мы уже таким же образом не сможем войти. Вход по куки можно также считать продолжением сессии предыдущего пользователя, а соответственно если таковая окончилась на выходе из аккаунта, то тут уже ничего не попишешь.
Иногда папка может отсутствовать. Это происходит в случае, если компьютер жертвы не даёт сторонним программам вытаскивать данную информацию.
Таким же образом, как и в папке AutoFills, названия файлов обозначают браузер, из которого взят куки. Кроме того, уже в отличие от предшествующей папки - после информации о браузере можно увидеть “Default Network” или же “Profile X” (На месте X любая цифра). Это означает профиль браузера. Если это стандартный пользователь\профиль - стоит “Default Network”, иначе, что обычно распространено в семьях для удобства её членов, “Profile”.
Пример содержимого папки
Содержимое файлов для нас не играет особой роли сейчас - на данном этапе с ними мало, что можно сделать. Но как только мы перейдём непосредственно к работе это изменится.
Можно лишь посмотреть на дату создания файлов - если она достаточно старая, то наши куки, что вполне возможно, уже мертвы. Т.е. войти по ним на почту или аккаунт уже не получится.
Discord
Тут находится токен дискорда - это уникальный ключ учетной записи, состоящий из ряда цифр и букв. По нему можно войти в аккаунт дискорд следующим образом:
Вручную:
Открываем основную страницу дискорда в браузере:
Открываем меню разработчика (F12) и переходим в раздел Console:
Затем вставляем следующий код:
function login(token) {
setInterval(() => {
document.body.appendChild(document.createElement`iframe`)
.contentWindow.localStorage.token =
"${token}";}, 50);
setTimeout(() => {
location.reload();
}, 2500);
}
login('ваш токен')
где на месте слов ваш токен должен, соответственно, быть ваш токен:
Нажимаем кнопку Enter, ждём немного... И вместо кнопки "Вход", у нас что-то новенькое! Нажимаем и наслаждаемся!
Более автоматизированный:
Для начала установим следующий плагин - Для просмотра ссылки Войди
Затем входим в него, вставляем наш токен:
Нажимаем Login и готово!
Для отработки не самая важная штука, но, впрочем, занятная в плане информации которую можно получить из переписок пользователя.
Steam
В папке стим единственное, что можно разглядеть с первого раза, так это куча, как может показаться, ненужного мусора. На самом же деле данная папка - супер-удобная штука.
Давайте начнём с первого и самого интересного. Именно это нечто поможет нам понять, что у нас за пользователь на руках даже без входа в его почту. Что же за нечто, спросите вы? Файлик “loginusers.vdf”!
А вот и он!
Откроем его через текстовый редактор и увидим кучу не совсем понятной нам информации... Что именно нас тут интересует, так это следующие цифры в файле:
Внимательный пользователь также может заметить другое интересные параметры, соответствующие аккаунту пользователя и его предпочтениям, но пока сфокусируемся на цифрах. Вставляем в следующую ссылку наши цифры - steamcommunity.com/profiles/цифры/ (вместо слова цифры наше значение).
Перейдём:
Поздравляю, мы вышли на профиль нашей жертвы! Можем увидеть её уровень, кол-во предметов в инвентаре, достижения, игры (если не закрыты) и в целом собрать общую информацию перед тем, как начинать непосредственную работу.
Раз уж заговорили про использование файлов из этой папочки, то доведём дело до конца! Давайте разберёмся со Steam Guard! Да, возможно, эта часть статьи понадобится вам лишь позже, но лучше расставить все точки над “и” сейчас.
Для начала выйдем из стима:
И перейдём по следующему пути: C:\Program Files (x86)\Steam\config
Видим знакомый файл "config.vdf", который нам следует заменить эквивалентом из лога.
Заменяем:
Теперь полностью удаляем содержимое следующих папок:
- C:\Program Files (x86)\Steam\appcache
- C:\Program Files (x86)\Steam\userdata
И снова заменяем нашими ssfn из лога и удаляем оригинальный:
Теперь просто заходим в Steam через Big Picture и нет у нас никакого Steam Guard (пароль всё ещё необходимо подбирать).
Редкие папки
Эти папки, вполне возможно, не будут присутствовать в логе, но могут стать приятным дополнением!
FileGrabber
Вновь, обратимся к прямому переводу! "Перехватчик файлов" довольно точно описывает содержимое папки. В ней хранятся папки и файлы с компьютера жертвы, которые стиллер (сама вредоносная программа, передающая информацию) смог ухватить.
Не удивляйтесь вложенным папкам друг в друге - всё расположено также, как и в пк пользователя. Т.е. если в папке X лежала папка Y, то в логе это их свойство сохранится.
Содержимое папки в моём случае:
Содержимое папки TooLongDir:
И интересное содержимое текстового файла:
))))
Содержимое папки Users:
Содержимое папки User:
Очередное занятное ветвление! В папке Desktop было чисто, а соответственно сразу же перейдём к самому интересному:
Таким образом мы пришли от порно игр до информации об играх и лаунчерах пользователя! Лучше и не придумаешь) Впрочем, обычно в папке Documents и Desktop обычно и лежит основная и важная нам информация почти гарантированно.
На своём примере я показал как работать с данной, безусловно, полезной и, порой, забавной папкой.
Wallets
Хранит в себе информацию о десктопных и электронных кошельках пользователя. Т.к. в моём логе её нет, возьму пример с другого:
Содержимое - папки одноимённых кошельков и соответствующая информация о них.
На данном этапе мы с этим ничего не можем сделать, но если данная папка у вас таки есть, то можно сказать, что вам, вполне возможно, сильно повезло, ибо с помощью имеющейся информации зачастую можно оформить вывод или что-то подобное. Все дальнейшие действия уже прямая часть отработки лога, чему нужна уже отдельная статья.
FTP
В этой папке хранятся файлы из файловых менеджеров по типу FileZilla, TotalCommander, а также информация о серверах входа пользователя. Наличие чего-либо в данной папке указывает на наличие у жертвы сервера, дедика (удалённого компьютера\сервера, работающего 24\7) или сайта.
Пример содержимого:
В нашем случае жертва вполне возможно владелец указанного сайта или проживает по указанному адресу. Впрочем, даже данная информация зачастую может быть полезным при работе, означать ip жертвы или позволить войти куда-либо.
CreditCards
Содержит в себе, что логично, информацию о кредитных картах пользователя:
- ФИО владельца
- Тип карты
- Номер карты
- Срок годности
Пример содержимого:
Сразу же простой вывод, который можно впоследствии подтвердить - карты, а соответственно и большая часть покупок скорее всего зарегистрированы на 5 профиль, куда и надо будет смотреть при отработке.
Пример самого файла:
Но логичный вопрос: "Зачем мне вся эта информация без CVC\CVV кода?".
- Многие сайты могут потребовать такую инфу для восстановления чего-либо. Кроме того, отсюда же можно узнать имя жертвы.
- CVC\CVV код иногда можно найти в папке AutoFills. Также, можно попытаться найти необходимую информацию из облачного хранилища, почты, каких-либо других данных пользователя.
В целом удобная и полезная папка.
Telegram
Тут давайте коротко и по делу.
В папке - файлы сессии жертвы в Телеграмме. Если хотим в неё войти - просто переносим файлы из папки в нашу папку телеги на пк, заменяя предыдущие. Кроме того, можно воспользоваться и Telegram X для сохранения при этом вашей личной прошлой сессии.
В сессию может не пустить если изначальный пользователь поменял данные или запретил вход через сессию без пароля. В таком случае его можно попытаться подобрать, пользуясь папкой Passwords, о которой будет написано далее.
Из переписок и диалогов можно многое выяснить о пользователе или получить приватную информацию.