Cria uma entrada do Registro de Eventos quando um arquivo é aberto ou copiado do CD / DVD

Question

Cria uma entrada do Registro de Eventos quando um arquivo é aberto ou copiado do CD / DVD

#1 resposta do (1 votos)
#2 resposta do (1 votos)

2

Recebi a tarefa de configurar a Diretiva de Grupo / gravar um Serviço do Windows .NET que adicionará entradas a um Log de Eventos do Windows sempre que um usuário abrir ou copiar um arquivo / arquivos de qualquer mídia ótica (sem interesse em unidades USB removíveis) .

Minha primeira tentativa foi usar o C # e obter a lista de processos e ver quais arquivos eles tinham aberto e se o caminho começava com uma letra da unidade óptica. Isso não funcionou enquanto alguns programas mantêm o arquivo aberto (por exemplo, Acrobat Reader), outros não (Internet Explorer, Notepad). Minha segunda tentativa foi ativar a auditoria de acesso a objetos com a configuração da auditoria de segurança de acesso a arquivos na unidade de disco ... o que você não pode fazer, porque não há segurança em sistemas de arquivos somente leitura. Minha última tentativa foi usar o grupo de armazenamento removível política, mas isso não adiciona nenhuma entrada de log para mídia ótica (testei um pen drive USB e criei entradas), além disso, ele só está disponível no Windows 8+ e eu preciso dar suporte ao Windows 7.

Então, estou sem ideias e recorrendo aos especialistas aqui para ver se você tem alguma ideia de como eu poderia abordar esse problema.

windows-7 windows-10 windows-event-log optical-media

por Jocie 08.12.2016 / 12:25

2 respostas

Tags windows-7 windows-10 windows-event-log optical-media

Alterando o comentário no arquivo Putty .ppk pare de aceitar senha Criação de conta de usuário do AD - mesmo nome de usuário

score 1 · Answer 1

Eu suspeito que isso teria que ser implementado em um nível mais baixo de driver. Eu suspeito que há software comercial disponível para isso.

Unidades ópticas geralmente usam FAT (32) como o sistema de arquivos, que, como você já percebeu, não suporta auditoria. Você poderia, é claro, auditar o sistema de arquivos local, mas isso não permitiria distinguir entre o acesso de gravação originado de uma unidade ótica.

Eu instalaria o Process Monitor da SysInternals, para ver se ele relata transferências de arquivos da unidade ótica - deveria. Eu te daria um ponto de partida.

Pessoalmente, não acho que isso seja um esforço fácil, já que você precisará instalar e interagir com um driver.

Talvez alguém tenha outra ideia.

score 1 · Answer 2

Como o Windows não tem ganchos no sistema de arquivos como a maioria do UNIX, mas os criadores de malware de alguma forma sabiam como se esconder conectando-se a syscalls (também conhecidos como rootkits), talvez você queira investigar como funcionam os rootkits.

Você pode escrever uma biblioteca que se conecta ao arquivo open syscall e gerar ali entradas de log de eventos. Em seguida, escreva um programa para carregar essa biblioteca automaticamente no sistema.

Ponto de bônus se você puder esconder todo esse mecanismo de registro, o verdadeiro estilo de rootkit.