diff --git a/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md b/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md
index 4d228aa47..20cc2cb87 100644
--- a/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md
+++ b/binary-exploitation/rop-return-oriented-programing/ret2lib/rop-leaking-libc-address/rop-leaking-libc-template.md
@@ -10,11 +10,11 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
-* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
+* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
-
+
{% embed url="https://websec.nl/" %}
@@ -208,7 +208,7 @@ P.interactive() #Interact with your shell :)
### MAIN_PLT = elf.symbols\['main'] nie został znaleziony
-Jeśli symbol "main" nie istnieje (prawdopodobnie dlatego, że jest to okrojony plik binarny), możesz po prostu znaleźć, gdzie znajduje się kod główny:
+Jeśli symbol "main" nie istnieje (prawdopodobnie dlatego, że jest to okrojony plik binarny). W takim przypadku można po prostu znaleźć, gdzie znajduje się kod główny:
```python
objdump -d vuln_binary | grep "\.text"
Disassembly of section .text:
@@ -220,17 +220,17 @@ MAIN_PLT = 0x401080
```
### Puts not found
-Jeśli plik binarny nie używa funkcji Puts, powinieneś **sprawdzić, czy używa**
+Jeśli plik binarny nie używa Puts, powinieneś **sprawdzić, czy używa**
### `sh: 1: %s%s%s%s%s%s%s%s: not found`
-Jeśli po utworzeniu całego exploitu napotkasz ten **błąd**: `sh: 1: %s%s%s%s%s%s%s%s: not found`
+Jeśli po utworzeniu **wszystkich** exploitów napotkasz ten **błąd**: `sh: 1: %s%s%s%s%s%s%s%s: not found`
Spróbuj **odjąć 64 bajty od adresu "/bin/sh"**:
```python
BINSH = next(libc.search("/bin/sh")) - 64
```
-
+
{% embed url="https://websec.nl/" %}
@@ -244,7 +244,7 @@ Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF** sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
-* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na githubie.
diff --git a/forensics/basic-forensic-methodology/anti-forensic-techniques.md b/forensics/basic-forensic-methodology/anti-forensic-techniques.md
index 3407d9f84..e0b9d8c00 100644
--- a/forensics/basic-forensic-methodology/anti-forensic-techniques.md
+++ b/forensics/basic-forensic-methodology/anti-forensic-techniques.md
@@ -12,19 +12,19 @@ Inne sposoby wsparcia HackTricks:
-
+
{% embed url="https://websec.nl/" %}
# Znaczniki czasu
-Atakujący może być zainteresowany **zmianą znaczników czasu plików**, aby uniknąć wykrycia.\
+Atakujący może być zainteresowany **zmianą znaczników czasu plików** w celu uniknięcia wykrycia.\
Możliwe jest znalezienie znaczników czasu wewnątrz MFT w atrybutach `$STANDARD_INFORMATION` __ i __ `$FILE_NAME`.
Oba atrybuty mają 4 znaczniki czasu: **Modyfikację**, **dostęp**, **tworzenie** i **modyfikację rejestru MFT** (MACE lub MACB).
-**Eksplorator Windowsa** i inne narzędzia pokazują informacje z **`$STANDARD_INFORMATION`**.
+**Eksplorator Windows** i inne narzędzia pokazują informacje z **`$STANDARD_INFORMATION`**.
## TimeStomp - Narzędzie antyforensyczne
@@ -65,21 +65,21 @@ Znaczniki czasu **NTFS** mają **precyzję** **100 nanosekund**. Znalezienie pli
## SetMace - Narzędzie antyforensyczne
-To narzędzie może modyfikować oba atrybuty `$STARNDAR_INFORMATION` i `$FILE_NAME`. Jednakże, od Windows Vista, konieczne jest posiadanie działającego systemu operacyjnego na żywo, aby zmodyfikować te informacje.
+To narzędzie może modyfikować oba atrybuty `$STARNDAR_INFORMATION` i `$FILE_NAME`. Jednakże, od Windows Vista, konieczne jest posiadanie działającego systemu operacyjnego w celu zmodyfikowania tych informacji.
# Ukrywanie danych
-NTFS używa klastra i minimalnego rozmiaru informacji. Oznacza to, że jeśli plik zajmuje jeden klaster i pół, **pozostała połowa nigdy nie zostanie użyta** do momentu usunięcia pliku. Dlatego możliwe jest **ukrycie danych w tej przestrzeni luzem**.
+NTFS używa klastra i minimalnego rozmiaru informacji. Oznacza to, że jeśli plik zajmuje jeden klaster i pół, **pozostała połowa nigdy nie zostanie użyta** do momentu usunięcia pliku. Dlatego możliwe jest **ukrycie danych w tej przestrzeni rezerwowej**.
Istnieją narzędzia takie jak slacker, które pozwalają na ukrywanie danych w tej "ukrytej" przestrzeni. Jednak analiza `$logfile` i `$usnjrnl` może pokazać, że dodano pewne dane:
.png>)
-Następnie możliwe jest odzyskanie przestrzeni luzem za pomocą narzędzi takich jak FTK Imager. Należy zauważyć, że tego rodzaju narzędzie może zapisać zawartość zasłoniętą lub nawet zaszyfrowaną.
+Następnie możliwe jest odzyskanie przestrzeni rezerwowej za pomocą narzędzi takich jak FTK Imager. Należy zauważyć, że tego rodzaju narzędzie może zapisać zawartość zasłoniętą lub nawet zaszyfrowaną.
# UsbKill
-To narzędzie **wyłączy komputer w przypadku wykrycia jakiejkolwiek zmiany w portach USB**.\
+To narzędzie **wyłączy komputer, jeśli wykryta zostanie jakakolwiek zmiana w portach USB**.\
Sposobem na odkrycie tego byłoby sprawdzenie działających procesów i **przejrzenie każdego skryptu pythona działającego**.
# Dystrybucje Live Linux
@@ -92,7 +92,7 @@ Te dystrybucje są **wykonywane w pamięci RAM**. Jedynym sposobem na ich wykryc
# Konfiguracja Windows
-Możliwe jest wyłączenie kilku metod logowania w systemie Windows, aby utrudnić dochodzenie w sprawie forensyki.
+Możliwe jest wyłączenie kilku metod logowania w systemie Windows, aby utrudnić dochodzenie w dziedzinie informatyki sądowej.
## Wyłączenie znaczników czasu - UserAssist
@@ -105,7 +105,7 @@ Wyłączenie UserAssist wymaga dwóch kroków:
## Wyłączenie znaczników czasu - Prefetch
-To zapisze informacje o aplikacjach uruchomionych w celu poprawy wydajności systemu Windows. Jednakże może to być również przydatne w praktykach forensycznych.
+To zapisze informacje o aplikacjach uruchomionych w celu poprawy wydajności systemu Windows. Jednakże może to być również przydatne w praktykach związanych z informatyką sądową.
* Uruchom `regedit`
* Wybierz ścieżkę pliku `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`
@@ -113,20 +113,20 @@ To zapisze informacje o aplikacjach uruchomionych w celu poprawy wydajności sys
* Wybierz Modyfikuj dla każdego z nich, aby zmienić wartość z 1 (lub 3) na 0
* Zrestartuj
-## Wyłączenie znaczników czasu - Czas ostatniego dostępu
+## Wyłączenie znaczników czasu - Ostatni czas dostępu
-Za każdym razem, gdy folder jest otwierany z woluminu NTFS na serwerze Windows NT, system zajmuje czas na **aktualizację pola znacznika czasu na każdym wymienionym folderze**, zwane czasem ostatniego dostępu. Na intensywnie używanym woluminie NTFS może to wpłynąć na wydajność.
+Za każdym razem, gdy folder jest otwierany z woluminu NTFS na serwerze Windows NT, system zajmuje czas na **aktualizację pola znacznika czasu na każdym wymienionym folderze**, zwane ostatnim czasem dostępu. Na intensywnie używanym woluminie NTFS może to wpłynąć na wydajność.
1. Otwórz Edytor rejestru (Regedit.exe).
2. Przejdź do `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem`.
-3. Znajdź `NtfsDisableLastAccessUpdate`. Jeśli nie istnieje, dodaj tę wartość DWORD i ustaw jej wartość na 1, co wyłączy proces.
+3. Znajdź `NtfsDisableLastAccessUpdate`. Jeśli nie istnieje, dodaj ten DWORD i ustaw jego wartość na 1, co wyłączy proces.
4. Zamknij Edytor rejestru i zrestartuj serwer.
## Usuń historię USB
-Wszystkie **wpisy urządzeń USB** są przechowywane w rejestrze systemu Windows pod kluczem rejestru **USBSTOR**, który zawiera podklucze tworzone za każdym razem, gdy podłączysz urządzenie USB do komputera. Możesz znaleźć ten klucz tutaj `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Usunięcie tego** spowoduje usunięcie historii USB.\
+Wszystkie **wpisy urządzeń USB** są przechowywane w rejestrze systemu Windows pod kluczem rejestru **USBSTOR**, który zawiera podklucze tworzone za każdym razem, gdy podłączysz urządzenie USB do komputera lub laptopa. Możesz znaleźć ten klucz tutaj `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Usunięcie tego** spowoduje usunięcie historii USB.\
Możesz także użyć narzędzia [**USBDeview**](https://www.nirsoft.net/utils/usb\_devices\_view.html), aby upewnić się, że je usunąłeś (i je usunąć).
-Innym plikiem, który zapisuje informacje o urządzeniach USB, jest plik `setupapi.dev.log` znajdujący się w `C:\Windows\INF`. Również ten plik powinien zostać usunięty.
+Innym plikiem, który zapisuje informacje o urządzeniach USB, jest plik `setupapi.dev.log` znajdujący się w `C:\Windows\INF`. Również powinien zostać usunięty.
## Wyłącz kopie migawkowe
@@ -139,7 +139,7 @@ Aby wyłączyć kopie migawkowe [kroki stąd](https://support.waters.com/KB_Inf/
1. Otwórz program Usługi, wpisując "services" w pole wyszukiwania tekstu po kliknięciu przycisku start w systemie Windows.
2. Z listy znajdź "Kopię migawkową woluminu", wybierz ją, a następnie uzyskaj dostęp do właściwości, klikając prawym przyciskiem myszy.
-3. Wybierz opcję Wyłączone z menu rozwijanego "Typ uruchamiania", a następnie potwierdź zmianę, klikając Zastosuj i OK.
+3. Wybierz opcję Wyłączone z rozwijanego menu "Typ uruchamiania", a następnie potwierdź zmianę, klikając Zastosuj i OK.
Możliwe jest również zmodyfikowanie konfiguracji, które pliki zostaną skopiowane w kopii migawkowej w rejestrze `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot`
@@ -164,6 +164,21 @@ Możliwe jest również zmodyfikowanie konfiguracji, które pliki zostaną skopi
* `fsutil usn deletejournal /d c:`
-
+
{% embed url="https://websec.nl/" %}
+
+
+
+
+Naucz się hakować AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
+
+Inne sposoby wsparcia HackTricks:
+
+* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
+* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
+* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
+* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
+* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+
+
diff --git a/forensics/basic-forensic-methodology/windows-forensics/README.md b/forensics/basic-forensic-methodology/windows-forensics/README.md
index e7ef11948..9136782e7 100644
--- a/forensics/basic-forensic-methodology/windows-forensics/README.md
+++ b/forensics/basic-forensic-methodology/windows-forensics/README.md
@@ -4,7 +4,7 @@
-Nauka hakowania AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
+Zacznij od zera i stań się ekspertem od hakowania AWS dziękihtARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
@@ -12,11 +12,11 @@ Inne sposoby wsparcia HackTricks:
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
-* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
-
+
{% embed url="https://websec.nl/" %}
@@ -26,26 +26,26 @@ Inne sposoby wsparcia HackTricks:
W ścieżce `\Users\\AppData\Local\Microsoft\Windows\Notifications` znajduje się baza danych `appdb.dat` (przed rocznicą systemu Windows) lub `wpndatabase.db` (po rocznicy systemu Windows).
-Wewnątrz tej bazy danych SQLite znajduje się tabela `Notification` z wszystkimi powiadomieniami (w formacie XML), które mogą zawierać interesujące dane.
+Wewnątrz tej bazy danych SQLite znajdziesz tabelę `Notification` z wszystkimi powiadomieniami (w formacie XML), które mogą zawierać interesujące dane.
-### Harmonogram
+### Chronologia
-Harmonogram to charakterystyka systemu Windows, która zapewnia **chronologiczną historię** odwiedzonych stron internetowych, edytowanych dokumentów i uruchomionych aplikacji.
+Chronologia to charakterystyczna funkcja systemu Windows, która zapewnia **chronologiczną historię** odwiedzonych stron internetowych, edytowanych dokumentów i uruchomionych aplikacji.
-Baza danych znajduje się w ścieżce `\Users\\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db`. Tę bazę danych można otworzyć za pomocą narzędzia SQLite lub narzędzia [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd), **które generuje 2 pliki, które można otworzyć za pomocą narzędzia** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md).
+Baza danych znajduje się w ścieżce `\Users\\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db`. Można ją otworzyć za pomocą narzędzia SQLite lub narzędzia [**WxTCmd**](https://github.com/EricZimmerman/WxTCmd), **które generuje 2 pliki, które można otworzyć za pomocą narzędzia** [**TimeLine Explorer**](https://ericzimmerman.github.io/#!index.md).
### Strumienie danych alternatywnych (ADS)
-Pliki pobrane mogą zawierać **strefę danych alternatywnych (ADS) Zone.Identifier**, wskazującą **sposób** pobrania pliku z sieci wewnętrznej, internetu itp. Niektóre oprogramowanie (np. przeglądarki) zazwyczaj dodają nawet **więcej** **informacji**, takich jak **adres URL**, z którego pobrano plik.
+Pliki pobrane mogą zawierać **strefę danych alternatywnych (ADS) Zone.Identifier**, wskazującą **sposób** pobrania pliku z sieci wewnętrznej, internetu itp. Niektóre oprogramowanie (np. przeglądarki) zazwyczaj zawierają nawet **więcej** **informacji**, takich jak **adres URL**, z którego pobrano plik.
## **Kopie zapasowe plików**
### Kosz
W systemach Vista/Win7/Win8/Win10 **Kosz** znajduje się w folderze **`$Recycle.bin`** w głównym katalogu dysku (`C:\$Recycle.bin`).\
-Po usunięciu pliku z tego folderu tworzone są 2 konkretne pliki:
+Gdy plik jest usuwany z tego folderu, tworzone są 2 konkretne pliki:
-* `$I{id}`: Informacje o pliku (data usunięcia}
+* `$I{id}`: Informacje o pliku (data usunięcia)
* `$R{id}`: Zawartość pliku
.png>)
@@ -56,7 +56,7 @@ Posiadając te pliki, można użyć narzędzia [**Rifiuti**](https://github.com/
```
 (1) (1) (1).png>)
-### Kopie woluminu cieni
+### Kopie migowe woluminów
Shadow Copy to technologia zawarta w systemie Microsoft Windows, która może tworzyć **kopie zapasowe** lub migawki plików lub woluminów komputerowych, nawet gdy są one w użyciu.
@@ -64,7 +64,7 @@ Te kopie zapasowe zazwyczaj znajdują się w `\System Volume Information` z pozi
.png>)
-Montując obraz forensyczny za pomocą **ArsenalImageMounter**, narzędzie [**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html) można użyć do sprawdzenia kopii cienia i nawet **wyodrębnienia plików** z kopii zapasowych cienia.
+Montując obraz forensyczny za pomocą **ArsenalImageMounter**, narzędzie [**ShadowCopyView**](https://www.nirsoft.net/utils/shadow\_copy\_view.html) można użyć do zbadania kopii migowych i nawet **wyodrębnienia plików** z kopii zapasowych migawek.
.png>)
@@ -89,13 +89,13 @@ System Windows **automatycznie** **tworzy** te **skróty** gdy użytkownik **otw
* Win7-Win10: `C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\`
* Office: `C:\Users\\AppData\Roaming\Microsoft\Office\Recent\`
-Gdy utworzony zostanie folder, tworzony jest również link do folderu, do folderu nadrzędnego i do folderu dziadka.
+Gdy utworzony zostaje folder, tworzony jest również skrót do folderu, do folderu nadrzędnego oraz do folderu pradziadka.
-Te automatycznie tworzone pliki linków **zawierają informacje o pochodzeniu** takie jak czy to **plik** **czy** folder, **czasy MAC** tego pliku, **informacje o woluminie**, gdzie plik jest przechowywany oraz **folder pliku docelowego**. Te informacje mogą być przydatne do odzyskania tych plików w przypadku ich usunięcia.
+Te automatycznie tworzone pliki skrótów **zawierają informacje o pochodzeniu**, czy to jest **plik** **czy** **folder**, **czasy MAC** tego pliku, **informacje o woluminie**, gdzie znajduje się plik oraz **folder docelowy pliku**. Te informacje mogą być przydatne do odzyskania tych plików w przypadku ich usunięcia.
-Ponadto **data utworzenia linku** to pierwszy **czas**, kiedy oryginalny plik został **pierwszy** **raz** **użyty**, a **data** **modyfikacji** linku to **ostatni** **czas**, kiedy plik źródłowy był używany.
+Ponadto **data utworzenia skrótu** jest pierwszym **czasem**, kiedy oryginalny plik został **pierwszy** **raz** **użyty**, a **data** **modyfikacji** skrótu to **ostatni** **czas**, kiedy plik źródłowy był używany.
-Aby sprawdzić te pliki, można użyć [**LinkParser**](http://4discovery.com/our-tools/).
+Aby zbadać te pliki, można użyć [**LinkParser**](http://4discovery.com/our-tools/).
W tym narzędziu znajdziesz **2 zestawy** znaczników czasowych:
@@ -108,27 +108,27 @@ W tym narzędziu znajdziesz **2 zestawy** znaczników czasowych:
2. LinkAccessDate
3. LinkCreationDate.
-Pierwszy zestaw znaczników czasowych odnosi się do **znaczników czasowych samego pliku**. Drugi zestaw odnosi się do **znaczników czasowych połączonego pliku**.
+Pierwszy zestaw znaczników czasowych odnosi się do **znaczników czasowych pliku**. Drugi zestaw odnosi się do **znaczników czasowych połączonego pliku**.
Możesz uzyskać te same informacje uruchamiając narzędzie wiersza poleceń systemu Windows: [**LECmd.exe**](https://github.com/EricZimmerman/LECmd)
```
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
```
-### Listy skoków
+### Jumplists
-Są to ostatnie pliki wskazane dla każdej aplikacji. To lista **ostatnio używanych plików przez aplikację**, do której można uzyskać dostęp w każdej aplikacji. Mogą być tworzone **automatycznie lub niestandardowo**.
+To są ostatnie pliki wskazane dla każdej aplikacji. To lista **ostatnio używanych plików przez aplikację**, do której można uzyskać dostęp w każdej aplikacji. Mogą być tworzone **automatycznie lub niestandardowo**.
-Listy skoków tworzone automatycznie są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`. Listy skoków są nazwane zgodnie z formatem `{id}.autmaticDestinations-ms`, gdzie początkowe ID to ID aplikacji.
+**Jumplisty** tworzone automatycznie są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\`. Jumplisty są nazwane zgodnie z formatem `{id}.autmaticDestinations-ms`, gdzie początkowe ID to ID aplikacji.
-Niestandardowe listy skoków są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` i są tworzone przez aplikację zazwyczaj dlatego, że coś **ważnego** wydarzyło się z plikiem (być może oznaczony jako ulubiony).
+Niestandardowe jumplisty są przechowywane w `C:\Users\{nazwa_użytkownika}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\` i są tworzone przez aplikację zazwyczaj dlatego, że coś **ważnego** wydarzyło się z plikiem (być może oznaczony jako ulubiony).
-**Czas utworzenia** dowolnej listy skoków wskazuje **pierwszy raz, gdy plik był otwierany**, a **czas modyfikacji ostatni raz**.
+**Czas utworzenia** dowolnego jumplistu wskazuje **pierwszy raz, gdy plik był otwierany** oraz **czas modyfikacji ostatni raz**.
-Możesz sprawdzić listy skoków za pomocą [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md).
+Możesz sprawdzić jumplisty za pomocą [**JumplistExplorer**](https://ericzimmerman.github.io/#!index.md).
.png>)
-(_Zauważ, że znaczniki czasowe dostarczone przez JumplistExplorer odnoszą się do samego pliku listy skoków_)
+(_Zauważ, że znaczniki czasowe dostarczone przez JumplistExplorer odnoszą się do samego pliku jumplist_)
### Shellbags
@@ -136,11 +136,11 @@ Możesz sprawdzić listy skoków za pomocą [**JumplistExplorer**](https://ericz
## Użycie urządzeń USB w systemie Windows
-Możliwe jest zidentyfikowanie użycia urządzenia USB dzięki utworzeniu:
+Możliwe jest zidentyfikowanie, że urządzenie USB zostało użyte dzięki utworzeniu:
* Folderu Ostatnie w systemie Windows
* Folderu Ostatnie w programie Microsoft Office
-* Listów skoków
+* Jumplistów
Zauważ, że niektóre pliki LNK zamiast wskazywać na oryginalną ścieżkę, wskazują na folder WPDNSE:
@@ -154,19 +154,19 @@ Pliki w folderze WPDNSE są kopią oryginalnych plików, więc nie przetrwają r
### setupapi
-Sprawdź plik `C:\Windows\inf\setupapi.dev.log`, aby uzyskać znaczniki czasu dotyczące momentu podłączenia urządzenia USB (szukaj `Section start`).
+Sprawdź plik `C:\Windows\inf\setupapi.dev.log`, aby uzyskać znaczniki czasu dotyczące momentu, kiedy nastąpiło podłączenie urządzenia USB (szukaj `Section start`).
- (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
+ (2) (2) (2) (2) (2) (2) (2) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (14).png>)
### Detektyw USB
-[**USBDetective**](https://usbdetective.com) można użyć do uzyskania informacji o urządzeniach USB podłączonych do obrazu.
+[**USBDetective**](https://usbdetective.com) można użyć do uzyskania informacji o urządzeniach USB, które były podłączone do obrazu.
.png>)
### Czyszczenie wtyczki i gry
-Zaplanowane zadanie znane jako 'Czyszczenie wtyczki i gry' jest przeznaczone głównie do usuwania przestarzałych wersji sterowników. Wbrew określonym celom zachowania najnowszej wersji pakietu sterowników, źródła internetowe sugerują, że celuje również w sterowniki, które były nieaktywne przez 30 dni. W rezultacie sterowniki dla urządzeń wymiennych niepodłączonych w ciągu ostatnich 30 dni mogą zostać usunięte.
+Zaplanowane zadanie znane jako 'Czyszczenie wtyczki i gry' jest przeznaczone głównie do usuwania przestarzałych wersji sterowników. Wbrew określonym celom zachowania najnowszej wersji pakietu sterowników, źródła internetowe sugerują, że celuje również w sterowniki, które były nieaktywne przez 30 dni. W rezultacie sterowniki dla urządzeń przenośnych, które nie były podłączone w ciągu ostatnich 30 dni, mogą zostać usunięte.
Zadanie znajduje się pod następującą ścieżką:
`C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup`.
@@ -176,12 +176,12 @@ Zamieszczono zrzut ekranu przedstawiający zawartość zadania:
**Kluczowe składniki i ustawienia zadania:**
- **pnpclean.dll**: Ta biblioteka DLL jest odpowiedzialna za rzeczywisty proces czyszczenia.
-- **UseUnifiedSchedulingEngine**: Ustawione na `TRUE`, wskazujące na użycie ogólnego silnika harmonogramowania zadań.
+- **UseUnifiedSchedulingEngine**: Ustawione na `TRUE`, co wskazuje na użycie ogólnego silnika harmonogramowania zadań.
- **MaintenanceSettings**:
-- **Okres ('P1M')**: Nakazuje Harmonogramowi zadań uruchomienie zadania czyszczenia miesięcznie podczas regularnej konserwacji automatycznej.
-- **Termin ('P2M')**: Instruuje Harmonogram zadań, że w przypadku dwóch kolejnych niepowodzeń zadania, należy wykonać zadanie podczas awaryjnej konserwacji automatycznej.
+- **Okres ('P1M')**: Nakazuje Harmonogramowi zadań uruchomienie zadania czyszczenia co miesiąc podczas regularnego konserwacji automatycznej.
+- **Termin ('P2M')**: Instruuje Harmonogram zadań, że w przypadku dwóch kolejnych niepowodzeń zadania, należy wykonać je podczas awaryjnej konserwacji automatycznej.
-Ta konfiguracja zapewnia regularną konserwację i czyszczenie sterowników, z możliwością ponownej próby zadania w przypadku kolejnych niepowodzeń.
+Ta konfiguracja zapewnia regularną konserwację i czyszczenie sterowników, z postanowieniami dotyczącymi ponownej próby wykonania zadania w przypadku kolejnych niepowodzeń.
**Aby uzyskać więcej informacji, sprawdź:** [**https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html**](https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html)
@@ -190,7 +190,7 @@ Ta konfiguracja zapewnia regularną konserwację i czyszczenie sterowników, z m
Emaile zawierają **2 interesujące części: Nagłówki i treść** wiadomości. W **nagłówkach** można znaleźć informacje takie jak:
* **Kto** wysłał emaile (adres email, IP, serwery poczty, które przekierowały email)
-* **Kiedy** został wysłany email
+* **Kiedy** email został wysłany
Ponadto, w nagłówkach `References` i `In-Reply-To` można znaleźć ID wiadomości:
@@ -225,7 +225,7 @@ Możesz otworzyć plik PST za pomocą narzędzia [**Kernel PST Viewer**](https:/
.png>)
### Pliki OST programu Microsoft Outlook
-Plik **OST** jest generowany przez program Microsoft Outlook, gdy jest skonfigurowany z serwerem **IMAP** lub **Exchange**, przechowując podobne informacje jak plik PST. Ten plik jest zsynchronizowany z serwerem, przechowując dane z **ostatnich 12 miesięcy** do **maksymalnego rozmiaru 50 GB**, i znajduje się w tym samym katalogu co plik PST. Aby wyświetlić plik OST, można skorzystać z [**przeglądarki Kernel OST**](https://www.nucleustechnologies.com/ost-viewer.html).
+Plik **OST** jest generowany przez program Microsoft Outlook, gdy jest skonfigurowany z serwerem **IMAP** lub **Exchange**, przechowując podobne informacje jak plik PST. Ten plik jest zsynchronizowany z serwerem, przechowując dane z **ostatnich 12 miesięcy** do **maksymalnego rozmiaru 50 GB**, i znajduje się w tym samym katalogu co plik PST. Aby wyświetlić plik OST, można skorzystać z [**przeglądarki OST Kernel**](https://www.nucleustechnologies.com/ost-viewer.html).
### Odzyskiwanie załączników
@@ -257,9 +257,9 @@ Rejestr systemu Windows, przechowujący rozległe dane dotyczące aktywności sy
Niektóre narzędzia są przydatne do analizy plików rejestru:
-* **Edytor Rejestru**: Zainstalowany w systemie Windows. Jest to interfejs graficzny umożliwiający nawigację po rejestrze systemu Windows bieżącej sesji.
-* [**Eksplorator Rejestru**](https://ericzimmerman.github.io/#!index.md): Pozwala na załadowanie pliku rejestru i nawigację po nim za pomocą interfejsu graficznego. Zawiera również zakładki z wyróżnionymi kluczami zawierającymi interesujące informacje.
-* [**RegRipper**](https://github.com/keydet89/RegRipper3.0): Ponownie, posiada interfejs graficzny umożliwiający nawigację po załadowanym rejestrze i zawiera wtyczki wyróżniające interesujące informacje w załadowanym rejestrze.
+* **Edytor Rejestru**: Zainstalowany w systemie Windows. Jest to interfejs graficzny do nawigacji po rejestrze systemu Windows bieżącej sesji.
+* [**Eksplorator Rejestru**](https://ericzimmerman.github.io/#!index.md): Pozwala na załadowanie pliku rejestru i nawigację po nim za pomocą interfejsu graficznego. Zawiera również zakładki z kluczami zawierającymi interesujące informacje.
+* [**RegRipper**](https://github.com/keydet89/RegRipper3.0): Ponownie, posiada interfejs graficzny umożliwiający nawigację po załadowanym rejestrze oraz zawiera wtyczki podświetlające interesujące informacje w załadowanym rejestrze.
* [**Windows Registry Recovery**](https://www.mitec.cz/wrr.html): Kolejna aplikacja z interfejsem graficznym zdolna do wyodrębniania istotnych informacji z załadowanego rejestru.
### Odzyskiwanie Usuniętego Elementu
@@ -268,7 +268,7 @@ Gdy klucz jest usunięty, jest oznaczony jako taki, ale dopóki przestrzeń, kt
### Czas Ostatniej Modyfikacji
-Każdy klucz-wartość zawiera **znacznik czasu**, wskazujący ostatni czas jego modyfikacji.
+Każdy klucz-wartość zawiera **znacznik czasu**, wskazujący ostatnią modyfikację.
### SAM
@@ -286,23 +286,23 @@ W `SAM\Domains\Account\Users` można uzyskać nazwę użytkownika, RID, ostatnie
### Podstawowe Procesy Windows
-W [tym poście](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d) można dowiedzieć się o powszechnych procesach systemu Windows, aby wykryć podejrzane zachowania.
+W [tym poście](https://jonahacks.medium.com/investigating-common-windows-processes-18dee5f97c1d) możesz dowiedzieć się o powszechnych procesach systemu Windows, aby wykryć podejrzane zachowania.
### Ostatnie Aplikacje Windows
-W rejestrze `NTUSER.DAT` w ścieżce `Software\Microsoft\Current Version\Search\RecentApps` można znaleźć podklucze z informacjami o **uruchomionej aplikacji**, **ostatnim czasie** jej uruchomienia i **liczbie uruchomień**.
+W rejestrze `NTUSER.DAT` w ścieżce `Software\Microsoft\Current Version\Search\RecentApps` można znaleźć podklucze z informacjami o **uruchomionej aplikacji**, **ostatnim czasie** jej uruchomienia oraz **liczbie uruchomień**.
### BAM (Moderator Aktywności w Tle)
-Można otworzyć plik `SYSTEM` za pomocą edytora rejestru i w ścieżce `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` znaleźć informacje o **aplikacjach uruchomionych przez każdego użytkownika** (zauważ `{SID}` w ścieżce) i **czasie** ich uruchomienia (czas znajduje się w wartości danych rejestru).
+Możesz otworzyć plik `SYSTEM` za pomocą edytora rejestru i w ścieżce `SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}` znajdziesz informacje o **aplikacjach uruchomionych przez każdego użytkownika** (zauważ `{SID}` w ścieżce) oraz **czasie** ich uruchomienia (czas znajduje się w wartości danych rejestru).
### Prefetch systemu Windows
Prefetching to technika, która pozwala komputerowi cicho **pobrać niezbędne zasoby potrzebne do wyświetlenia zawartości**, do której użytkownik **może mieć dostęp w najbliższej przyszłości**, aby zasoby można było szybciej uzyskać.
-Prefetching systemu Windows polega na tworzeniu **pamięci podręcznej wykonanych programów**, aby można je było szybciej załadować. Te pamięci podręczne są tworzone jako pliki `.pf` w ścieżce: `C:\Windows\Prefetch`. Istnieje limit 128 plików w XP/VISTA/WIN7 i 1024 plików w Win8/Win10.
+Prefetch systemu Windows polega na tworzeniu **pamięci podręcznej wykonanych programów**, aby można je było szybciej załadować. Te pamięci podręczne są tworzone jako pliki `.pf` w ścieżce: `C:\Windows\Prefetch`. Istnieje limit 128 plików w XP/VISTA/WIN7 i 1024 plików w Win8/Win10.
-Nazwa pliku jest tworzona jako `{nazwa_programu}-{hash}.pf` (hash jest oparty na ścieżce i argumentach wykonywalnego pliku). W W10 te pliki są skompresowane. Należy zauważyć, że sama obecność pliku wskazuje, że **program został uruchomiony** w pewnym momencie.
+Nazwa pliku jest tworzona jako `{nazwa_programu}-{hash}.pf` (hash jest oparty na ścieżce i argumentach wykonywalnego). W W10 te pliki są skompresowane. Należy zauważyć, że sama obecność pliku wskazuje, że **program został wykonany** w pewnym momencie.
Plik `C:\Windows\Prefetch\Layout.ini` zawiera **nazwy folderów plików, które są prefetowane**. Ten plik zawiera **informacje o liczbie uruchomień**, **daty** uruchomienia i **plików** **otwartych** przez program.
@@ -314,7 +314,7 @@ Aby przejrzeć te pliki, można użyć narzędzia [**PEcmd.exe**](https://github
### Superprefetch
-**Superprefetch** ma ten sam cel co prefetch, **szybsze ładowanie programów** przez przewidywanie, co zostanie załadowane następnie. Jednak nie zastępuje usługi prefetch.\
+**Superprefetch** ma ten sam cel co prefetch, **szybsze ładowanie programów** poprzez przewidywanie, co zostanie załadowane następnie. Jednak nie zastępuje usługi prefetch.\
Ta usługa generuje pliki bazy danych w `C:\Windows\Prefetch\Ag*.db`.
W tych bazach danych można znaleźć **nazwę programu**, **liczbę wykonanych operacji**, **otwarte pliki**, **dostęp do woluminu**, **pełną ścieżkę**, **ramy czasowe** i **znaczniki czasu**.
@@ -343,7 +343,7 @@ Możesz uzyskać dane z tego pliku za pomocą narzędzia [**srum\_dump**](https:
```
### AppCompatCache (ShimCache)
-**AppCompatCache**, znany również jako **ShimCache**, stanowi część **Bazy danych zgodności aplikacji** opracowanej przez **Microsoft** w celu rozwiązywania problemów zgodności aplikacji. Ten komponent systemu rejestruje różne elementy metadanych plików, w tym:
+**AppCompatCache**, znany również jako **ShimCache**, stanowi część **Bazy danych zgodności aplikacji** opracowanej przez **Microsoft** w celu rozwiązywania problemów zgodności aplikacji. Ten składnik systemu rejestruje różne elementy metadanych plików, w tym:
- Pełna ścieżka pliku
- Rozmiar pliku
@@ -354,7 +354,7 @@ Możesz uzyskać dane z tego pliku za pomocą narzędzia [**srum\_dump**](https:
Takie dane są przechowywane w rejestrze w określonych lokalizacjach w zależności od wersji systemu operacyjnego:
- Dla systemu XP dane są przechowywane w `SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache` z pojemnością na 96 wpisów.
-- Dla Servera 2003 oraz wersji systemu Windows 2008, 2012, 2016, 7, 8 i 10 ścieżka przechowywania to `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`, z pojemnością na odpowiednio 512 i 1024 wpisy.
+- Dla Servera 2003 oraz dla wersji systemu Windows 2008, 2012, 2016, 7, 8 i 10 ścieżka przechowywania to `SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache`, z pojemnością na odpowiednio 512 i 1024 wpisy.
Do analizy przechowywanych informacji zaleca się użycie narzędzia [**AppCompatCacheParser**](https://github.com/EricZimmerman/AppCompatCacheParser).
@@ -362,7 +362,7 @@ Do analizy przechowywanych informacji zaleca się użycie narzędzia [**AppCompa
### Amcache
-Plik **Amcache.hve** to w zasadzie rejestr bazy danych rejestrujący szczegóły dotyczące aplikacji uruchomionych w systemie. Zazwyczaj znajduje się w `C:\Windows\AppCompat\Programas\Amcache.hve`.
+Plik **Amcache.hve** to w zasadzie rejestr bazy danych rejestrujący szczegóły dotyczące aplikacji uruchomionych w systemie. Zazwyczaj znajduje się pod adresem `C:\Windows\AppCompat\Programas\Amcache.hve`.
Ten plik jest znany z przechowywania rekordów niedawno uruchomionych procesów, w tym ścieżek do plików wykonywalnych i ich skrótów SHA1. Te informacje są nieocenione do śledzenia aktywności aplikacji w systemie.
@@ -370,13 +370,13 @@ Aby wydobyć i przeanalizować dane z pliku **Amcache.hve**, można użyć narz
```bash
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
```
-Wśród wygenerowanych plików CSV szczególnie godne uwagi są `Amcache_Unassociated file entries` ze względu na bogate informacje dotyczące niepowiązanych wpisów plików.
+Wśród wygenerowanych plików CSV szczególnie godne uwagi są `Amcache_Unassociated file entries` ze względu na bogate informacje, jakie dostarczają o niepowiązanych wpisach plików.
-Najbardziej interesującym plikiem CSV generowanym jest `Amcache_Unassociated file entries`.
+Najbardziej interesującym plikiem CVS jest `Amcache_Unassociated file entries`.
### RecentFileCache
-Ten artefakt można znaleźć tylko w W7 w `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` i zawiera informacje o ostatnim wykonaniu niektórych plików binarnych.
+Ten artefakt można znaleźć tylko w W7 w `C:\Windows\AppCompat\Programs\RecentFileCache.bcf` i zawiera informacje o ostatnim uruchomieniu niektórych plików binarnych.
Możesz użyć narzędzia [**RecentFileCacheParse**](https://github.com/EricZimmerman/RecentFileCacheParser) do analizy pliku.
@@ -386,21 +386,21 @@ Możesz je wyodrębnić z `C:\Windows\Tasks` lub `C:\Windows\System32\Tasks` i o
### Usługi
-Możesz je znaleźć w rejestrze pod `SYSTEM\ControlSet001\Services`. Można zobaczyć, co ma zostać wykonane i kiedy.
+Możesz je znaleźć w rejestrze pod `SYSTEM\ControlSet001\Services`. Możesz zobaczyć, co ma zostać wykonane i kiedy.
### **Sklep Windows**
Zainstalowane aplikacje można znaleźć w `\ProgramData\Microsoft\Windows\AppRepository\`\
Ten repozytorium zawiera **dziennik** z **każdą zainstalowaną aplikacją** w systemie wewnątrz bazy danych **`StateRepository-Machine.srd`**.
-W tabeli Aplikacji tej bazy danych można znaleźć kolumny: "ID aplikacji", "Numer pakietu" i "Nazwa wyświetlana". Te kolumny zawierają informacje o aplikacjach preinstalowanych i zainstalowanych, a można sprawdzić, czy niektóre aplikacje zostały odinstalowane, ponieważ identyfikatory zainstalowanych aplikacji powinny być sekwencyjne.
+W tabeli Application tej bazy danych można znaleźć kolumny: "Application ID", "PackageNumber" i "Display Name". Te kolumny zawierają informacje o aplikacjach preinstalowanych i zainstalowanych, a można znaleźć informacje, czy niektóre aplikacje zostały odinstalowane, ponieważ identyfikatory zainstalowanych aplikacji powinny być sekwencyjne.
Możliwe jest również **znalezienie zainstalowanej aplikacji** w ścieżce rejestru: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\`\
-A **odinstalowane** **aplikacje** w: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`
+A **odinstalowane aplikacje** w: `Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\`
## Zdarzenia systemu Windows
-Informacje pojawiające się w zdarzeniach systemu Windows to:
+Informacje zawarte w zdarzeniach systemu Windows to:
* Co się stało
* Znacznik czasu (UTC + 0)
@@ -412,11 +412,11 @@ Dzienniki znajdują się w `C:\Windows\System32\config` przed Windows Vista i w
Lokalizację plików zdarzeń można znaleźć w rejestrze SYSTEM w **`HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}`**
-Mogą być wizualizowane za pomocą Podglądu zdarzeń systemu Windows (**`eventvwr.msc`**) lub innymi narzędziami takimi jak [**Event Log Explorer**](https://eventlogxp.com) **lub** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**.**
+Można je wizualizować za pomocą Podglądu zdarzeń systemu Windows (**`eventvwr.msc`**) lub innymi narzędziami takimi jak [**Event Log Explorer**](https://eventlogxp.com) **lub** [**Evtx Explorer/EvtxECmd**](https://ericzimmerman.github.io/#!index.md)**.**
-## Zrozumienie Rejestrowania Zdarzeń Bezpieczeństwa w systemie Windows
+## Zrozumienie rejestrowania zdarzeń bezpieczeństwa systemu Windows
-Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajdującym się w `C:\Windows\System32\winevt\Security.evtx`. Rozmiar tego pliku jest możliwy do dostosowania, a gdy osiągnie swoją pojemność, starsze zdarzenia są nadpisywane. Rejestrowane zdarzenia obejmują logowanie i wylogowywanie użytkowników, akcje użytkowników, zmiany ustawień zabezpieczeń, a także dostęp do plików, folderów i zasobów udostępnionych.
+Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajdującym się w `C:\Windows\System32\winevt\Security.evtx`. Rozmiar tego pliku jest możliwy do dostosowania, a gdy osiągnie swoją pojemność, starsze zdarzenia są nadpisywane. Rejestrowane zdarzenia obejmują logowanie i wylogowywanie użytkowników, akcje użytkowników, zmiany ustawień zabezpieczeń, a także dostęp do plików, folderów i współdzielonych zasobów.
### Kluczowe identyfikatory zdarzeń dla uwierzytelniania użytkownika:
@@ -428,17 +428,17 @@ Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajduj
#### Podtypy wewnątrz EventID 4634/4647:
- **Interaktywne (2)**: Bezpośrednie logowanie użytkownika.
-- **Sieciowe (3)**: Dostęp do udostępnionych folderów.
+- **Sieciowe (3)**: Dostęp do współdzielonych folderów.
- **Partia (4)**: Wykonywanie procesów wsadowych.
-- **Usługa (5)**: Uruchomienia usług.
+- **Usługa (5)**: Uruchamianie usługi.
- **Proxy (6)**: Uwierzytelnianie proxy.
- **Odblokuj (7)**: Odblokowanie ekranu za pomocą hasła.
- **Sieć w tekście jawnym (8)**: Przesyłanie hasła w tekście jawnym, często z IIS.
- **Nowe poświadczenia (9)**: Użycie innych poświadczeń do dostępu.
-- **Zdalne interaktywne (10)**: Logowanie zdalne pulpitu lub usług terminalowych.
-- **Interaktywne buforowane (11)**: Logowanie z buforowanymi poświadczeniami bez kontaktu z kontrolerem domeny.
-- **Zdalne interaktywne buforowane (12)**: Zdalne logowanie z buforowanymi poświadczeniami.
-- **Odblokowanie buforowane (13)**: Odblokowanie z buforowanymi poświadczeniami.
+- **Zdalne interaktywne (10)**: Logowanie zdalne pulpitu zdalnego lub usług terminalowych.
+- **Interaktywne pamięci podręcznej (11)**: Logowanie z pamięcią podręczną bez kontaktu z kontrolerem domeny.
+- **Zdalne interaktywne pamięci podręcznej (12)**: Zdalne logowanie z pamięcią podręczną.
+- **Odblokowanie z pamięci podręcznej (13)**: Odblokowanie z pamięci podręcznej.
#### Kody stanu i podkody stanu dla EventID 4625:
@@ -448,23 +448,23 @@ Zdarzenia dostępu są rejestrowane w pliku konfiguracji bezpieczeństwa znajduj
- **0xC0000072**: Konto wyłączone - Nieautoryzowane próby dostępu do wyłączonych kont.
- **0xC000006F**: Logowanie poza dozwolonym czasem - Wskazuje na próby dostępu poza ustalonymi godzinami logowania, co może być oznaką nieautoryzowanego dostępu.
- **0xC0000070**: Naruszenie ograniczeń stacji roboczej - Może być próbą logowania z nieautoryzowanego miejsca.
-- **0xC0000193**: Wygaśnięcie konta - Próby dostępu do kont z wygasłymi kontami użytkowników.
-- **0xC0000071**: Wygasłe hasło - Próby logowania przy użyciu przestarzałych haseł.
+- **0xC0000193**: Wygaśnięcie konta - Próby dostępu do kont z wygasłymi użytkownikami.
+- **0xC0000071**: Wygasłe hasło - Próby logowania przy przestarzałych hasłach.
- **0xC0000133**: Problemy z synchronizacją czasu - Duże rozbieżności czasowe między klientem a serwerem mogą wskazywać na bardziej zaawansowane ataki, takie jak pass-the-ticket.
- **0xC0000224**: Wymagana zmiana hasła obowiązkowa - Częste obowiązkowe zmiany mogą sugerować próbę destabilizacji bezpieczeństwa konta.
-- **0xC0000225**: Wskazuje na problem systemowy, a nie problem z bezpieczeństwem.
+- **0xC0000225**: Wskazuje na błąd systemu, a nie problem z bezpieczeństwem.
- **0xC000015b**: Odmowa typu logowania - Próba dostępu z nieautoryzowanym typem logowania, na przykład użytkownik próbujący wykonać logowanie usługi.
#### EventID 4616:
- **Zmiana czasu**: Modyfikacja czasu systemowego, która może zaciemnić chronologię zdarzeń.
#### EventID 6005 i 6006:
-- **Uruchomienie i Wyłączenie Systemu**: EventID 6005 oznacza uruchomienie systemu, a EventID 6006 oznacza jego wyłączenie.
+- **Uruchomienie i wyłączenie systemu**: EventID 6005 oznacza uruchomienie systemu, a EventID 6006 jego wyłączenie.
#### EventID 1102:
- **Usuwanie logów**: Czyszczenie logów bezpieczeństwa, co często jest sygnałem ostrzegawczym ukrywania nielegalnych działań.
-#### EventID dla Śledzenia Urządzeń USB:
+#### EventID dla śledzenia urządzeń USB:
- **20001 / 20003 / 10000**: Pierwsze podłączenie urządzenia USB.
- **10100**: Aktualizacja sterownika USB.
- **EventID 112**: Czas włożenia urządzenia USB.
@@ -473,33 +473,48 @@ Dla praktycznych przykładów symulowania tych typów logowań i możliwości wy
Szczegóły zdarzeń, w tym kody stanu i podkody stanu, dostarczają dalszych informacji na temat przyczyn zdarzeń, szczególnie istotne w przypadku Event ID 4625.
-### Odzyskiwanie Zdarzeń Systemu Windows
+### Odzyskiwanie zdarzeń systemu Windows
-Aby zwiększyć szanse na odzyskanie usuniętych zdarzeń systemu Windows, zaleca się wyłączenie podejrzanego komputera poprzez bezpośrednie odłączenie go od zasilania. Zalecane jest użycie narzędzia do odzyskiwania **Bulk_extractor**, które obsługuje rozszerzenie `.evtx`, w celu próby odzyskania takich zdarzeń.
+Aby zwiększyć szanse na odzyskanie usuniętych zdarzeń systemu Windows, zaleca się wyłączenie podejrzanego komputera, odłączając go bezpośrednio. Zalecane jest użycie narzędzia do odzyskiwania **Bulk_extractor**, które obsługuje rozszerzenie `.evtx`, aby spróbować odzyskać takie zdarzenia.
-### Identyfikacja Powszechnych Ataków za pomocą Zdarzeń Systemu Windows
+### Identyfikacja powszechnych ataków za pomocą zdarzeń systemu Windows
Aby uzyskać kompleksowy przewodnik dotyczący wykorzystania identyfikatorów zdarzeń systemu Windows w identyfikowaniu powszechnych ataków cybernetycznych, odwiedź [Red Team Recipe](https://redteamrecipe.com/event-codes/).
-#### Ataki Brute Force
+#### Ataki brutalnej siły
Można je zidentyfikować poprzez wielokrotne zapisy EventID 4625, a następnie EventID 4624, jeśli atak się powiedzie.
-#### Zmiana Czasu
+#### Zmiana czasu
-Rejestrowana przez EventID 4616, zmiany czasu systemowego mogą utrudnić analizę śledzenia.
+Rejestrowana przez EventID 4616, zmiany czasu systemowego mogą utrudnić analizę śledcza.
-#### Śledzenie Urządzeń USB
+#### Śledzenie urządzeń USB
-Przydatne EventID Systemu dla śledzenia urządzeń USB obejmują 20001/20003/10000 dla pierwszego użycia, 10100 dla aktualizacji sterownika oraz EventID 112 z DeviceSetupManager dla znaczników czasowych włożenia urządzenia.
+Przydatne EventID systemowe do śledzenia urządzeń USB obejmują 20001/20003/10000 dla pierwszego użycia, 10100 dla aktualizacji sterowników oraz EventID 112 z DeviceSetupManager dla znaczników czasowych włożenia urządzenia.
#### Zdarzenia zasilania systemu
EventID 6005 wskazuje na uruchomienie systemu, podczas gdy EventID 6006 oznacza wyłączenie.
#### Usuwanie logów
-Zdarzenie bezpieczeństwa EventID 1102 sygnalizuje usunięcie logów, co jest istotne dla analizy śledczej.
+Zdarzenie bezpieczeństwa EventID 1102 sygnalizuje usunięcie logów, co jest istotnym wydarzeniem dla analizy śledczej.
-
+
{% embed url="https://websec.nl/" %}
+
+
+
+
+Naucz się hakować AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
+
+Inne sposoby wsparcia HackTricks:
+
+* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
+* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
+* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
+* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
+* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+
+
diff --git a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
index de306506f..93bead115 100644
--- a/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
+++ b/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
@@ -2,7 +2,7 @@
-Zacznij naukę hakowania AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
+Nauka hakowania AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
@@ -12,7 +12,7 @@
-
+
{% embed url="https://websec.nl/" %}
@@ -37,7 +37,7 @@ ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --descript
```
### EWF
-Możesz wygenerować obraz dysku za pomocą [**narzędzi ewf**](https://github.com/libyal/libewf).
+Możesz wygenerować obraz dysku, używając [**narzędzi ewf**](https://github.com/libyal/libewf).
```bash
ewfacquire /dev/sdb
#Name: evidence
@@ -56,7 +56,7 @@ ewfacquire /dev/sdb
```
## Montowanie
-### Kilka typów
+### Kilka rodzajów
W systemie **Windows** można spróbować skorzystać z darmowej wersji narzędzia Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)), aby **zamontować obraz z dziedziny informatyki śledczej**.
@@ -91,7 +91,7 @@ To aplikacja Windows do montowania woluminów. Możesz ją pobrać tutaj [https:
### Błędy
* **`nie można zamontować /dev/loop0 tylko do odczytu`** w tym przypadku należy użyć flag **`-o ro,norecovery`**
-* **`zły typ systemu plików, zła opcja, zły superblok na /dev/loop0, brak strony kodowej lub programu pomocniczego, lub inny błąd.`** w tym przypadku montaż nie powiódł się, ponieważ przesunięcie systemu plików jest inne niż obrazu dysku. Musisz znaleźć rozmiar sektora i sektor początkowy:
+* **`zły typ systemu plików, zła opcja, zły superblok na /dev/loop0, brak strony kodowej lub programu pomocniczego, lub inny błąd.`** w tym przypadku montaż nie powiódł się, ponieważ przesunięcie systemu plików różni się od obrazu dysku. Musisz znaleźć rozmiar sektora i sektor początkowy:
```bash
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
@@ -104,11 +104,11 @@ Disk identifier: 0x00495395
Device Boot Start End Sectors Size Id Type
disk.img1 2048 208895 206848 101M 1 FAT12
```
-Zauważ, że rozmiar sektora wynosi **512**, a początek to **2048**. Następnie zamontuj obraz w ten sposób:
+Zauważ, że rozmiar sektora wynosi **512** a początek to **2048**. Następnie zamontuj obraz w ten sposób:
```bash
mount disk.img /mnt -o ro,offset=$((2048*512))
```
-
+
{% embed url="https://websec.nl/" %}
@@ -116,7 +116,7 @@ mount disk.img /mnt -o ro,offset=$((2048*512))
Naucz się hakować AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
-* Czy pracujesz w **firmie z branży cyberbezpieczeństwa**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
+* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć, jak Twoja **firma jest reklamowana w HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
diff --git a/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md b/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md
index 0aa8cb20a..3d951e5dc 100644
--- a/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md
+++ b/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md
@@ -2,51 +2,51 @@
-Zacznij od zera i stań się ekspertem od hakowania AWS dziękihtARTE (HackTricks AWS Red Team Expert)!
+Dowiedz się, jak hakować AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
-* Kup [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
+* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
-* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) albo **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
-* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
+* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
+* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
-
+
{% embed url="https://websec.nl/" %}
## Przegląd Przechwytywania FHRP
### Wgląd w FHRP
-FHRP został zaprojektowany w celu zapewnienia odporności sieci poprzez połączenie wielu routerów w jednostkę wirtualną, co zwiększa rozkład obciążenia i tolerancję na awarie. Cisco Systems wprowadził znaczące protokoły w tej grupie, takie jak GLBP i HSRP.
+FHRP został zaprojektowany w celu zapewnienia odporności sieci poprzez połączenie wielu routerów w jednostkę wirtualną, co zwiększa dystrybucję obciążenia i tolerancję na awarie. Cisco Systems wprowadził prominentne protokoły w tej grupie, takie jak GLBP i HSRP.
### Wgląd w Protokół GLBP
-Stworzony przez Cisco, GLBP działa na stosie TCP/IP, wykorzystując UDP na porcie 3222 do komunikacji. Routery w grupie GLBP wymieniają pakiety "hello" co 3 sekundy. Jeśli router nie wysyła tych pakietów przez 10 sekund, uznaje się go za offline. Jednak te timery nie są stałe i mogą być modyfikowane.
+Stworzony przez Cisco, GLBP działa na stosie TCP/IP, wykorzystując UDP na porcie 3222 do komunikacji. Routery w grupie GLBP wymieniają pakiety "hello" co 3 sekundy. Jeśli router nie wyśle tych pakietów przez 10 sekund, uznaje się go za offline. Jednak te timery nie są stałe i mogą być modyfikowane.
-### Operacje i Rozkład Obciążenia w GLBP
-GLBP wyróżnia się umożliwieniem rozkładu obciążenia między routerami za pomocą jednego wirtualnego IP w połączeniu z wieloma wirtualnymi adresami MAC. W grupie GLBP każdy router bierze udział w przekazywaniu pakietów. W odróżnieniu od HSRP/VRRP, GLBP oferuje rzeczywiste równoważenie obciążenia poprzez kilka mechanizmów:
+### Operacje i Dystrybucja Obciążenia w GLBP
+GLBP wyróżnia się umożliwieniem dystrybucji obciążenia między routerami za pomocą jednego wirtualnego IP w połączeniu z wieloma wirtualnymi adresami MAC. W grupie GLBP każdy router bierze udział w przekazywaniu pakietów. W odróżnieniu od HSRP/VRRP, GLBP oferuje rzeczywiste równoważenie obciążenia poprzez kilka mechanizmów:
- **Równoważenie Obciążenia Zależne od Hosta:** Zapewnia stałe przypisanie adresu MAC AVF do hosta, co jest istotne dla stabilnych konfiguracji NAT.
- **Równoważenie Obciążenia Round-Robin:** Domyślne podejście, polegające na zmianie przypisania adresu MAC AVF między żądającymi hostami.
-- **Równoważenie Obciążenia Ważone Round-Robin:** Rozkłada obciążenie na podstawie zdefiniowanych metryk "Waga".
+- **Równoważenie Obciążenia Ważone Round-Robin:** Dystrybuuje obciążenie na podstawie zdefiniowanych metryk "Waga".
### Kluczowe Składniki i Terminologia w GLBP
- **AVG (Aktywna Wirtualna Bramka):** Główny router odpowiedzialny za przydzielanie adresów MAC do routerów równorzędnych.
- **AVF (Aktywny Wirtualny Przekierowujący):** Router wyznaczony do zarządzania ruchem sieciowym.
-- **Priorytet GLBP:** Metryka określająca AVG, zaczynająca się od domyślnej wartości 100 i w zakresie od 1 do 255.
-- **Waga GLBP:** Odzwierciedla obecne obciążenie routera, regulowana ręcznie lub poprzez Śledzenie Obiektów.
+- **Priorytet GLBP:** Metryka określająca AVG, zaczynająca się od domyślnego wartości 100 i wahająca się od 1 do 255.
+- **Waga GLBP:** Odzwierciedla obecne obciążenie routera, regulowane ręcznie lub poprzez Śledzenie Obiektów.
- **Wirtualny Adres IP GLBP:** Służy jako domyślna brama sieciowa dla wszystkich podłączonych urządzeń.
-Do interakcji GLBP używa zarezerwowanego adresu multicastowego 224.0.0.102 i portu UDP 3222. Routery wysyłają pakiety "hello" co 3 sekundy i uznawane są za nieoperacyjne, jeśli pakiet zostanie pominięty przez okres 10 sekund.
+Do interakcji GLBP używa zarezerwowanego adresu multicastowego 224.0.0.102 i portu UDP 3222. Routery wysyłają pakiety "hello" co 3 sekundy i uważane są za nieoperacyjne, jeśli pakiet zostanie pominięty przez okres 10 sekund.
### Mechanizm Ataku GLBP
-Atakujący może stać się głównym routerem, wysyłając pakiet GLBP z najwyższą wartością priorytetu (255). Może to prowadzić do ataków typu DoS lub MITM, umożliwiając przechwycenie lub przekierowanie ruchu.
+Atakujący może stać się głównym routerem, wysyłając pakiet GLBP z najwyższą wartością priorytetu (255). Może to prowadzić do ataków typu DoS lub MITM, umożliwiając przechwytywanie lub przekierowywanie ruchu.
### Wykonanie Ataku GLBP za pomocą Loki
-[Loki](https://github.com/raizo62/loki_on_kali) może przeprowadzić atak GLBP poprzez wstrzyknięcie pakietu z ustawionym priorytetem i wagą na 255. Kroki przed atakiem obejmują zbieranie informacji, takich jak wirtualny adres IP, obecność uwierzytelnienia i wartości priorytetu routera, za pomocą narzędzi takich jak Wireshark.
+[Loki](https://github.com/raizo62/loki_on_kali) może przeprowadzić atak GLBP poprzez wstrzyknięcie pakietu z ustawionym priorytetem i wagą na 255. Kroki przed atakiem obejmują zbieranie informacji, takich jak wirtualny adres IP, obecność uwierzytelnienia i wartości priorytetu routera za pomocą narzędzi takich jak Wireshark.
Kroki Ataku:
1. Przełącz się w tryb promiskuitywny i włącz przekazywanie IP.
@@ -57,9 +57,9 @@ Kroki Ataku:
6. Wdroż SNAT dla pełnej widoczności ruchu.
7. Dostosuj trasowanie, aby zapewnić ciągły dostęp do internetu poprzez oryginalny router AVG.
-Śledząc te kroki, atakujący umieszcza się jako "człowiek pośrodku", zdolny do przechwytywania i analizowania ruchu sieciowego, w tym danych niezaszyfrowanych lub wrażliwych.
+Śledząc te kroki, atakujący pozycjonuje się jako "człowiek pośrodku", zdolny do przechwytywania i analizowania ruchu sieciowego, w tym danych niezaszyfrowanych lub wrażliwych.
-Poniżej znajdują się wymagane fragmenty poleceń do demonstracji:
+Dla celów demonstracyjnych, oto wymagane fragmenty poleceń:
```bash
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
@@ -114,7 +114,7 @@ sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
```
3. Użyj Lokiego, aby zaatakować określony router, wprowadź odszyfrowane hasło HSRP i wykonaj niezbędne konfiguracje do podszywania się pod Aktywnego Routera.
-4. Po przejęciu roli Aktywnego Routera skonfiguruj interfejs sieciowy i tabele IP, aby przechwycić legalny ruch.
+4. Po przejęciu roli Aktywnego Routera skonfiguruj interfejs sieciowy i tabele IP, aby przechwycić prawidłowy ruch.
```shell
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
@@ -129,26 +129,4 @@ sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
sudo python2 net-creds.py -i eth0
```
-Wykonanie tych kroków umieszcza atakującego w pozycji do przechwytywania i manipulowania ruchem, podobnie jak w przypadku przejęcia GLBP. Podkreśla to podatność protokołów redundancji, takich jak HSRP, oraz konieczność stosowania solidnych środków bezpieczeństwa.
-
-
-## Referencje
-- [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
-
-
-
-{% embed url="https://websec.nl/" %}
-
-
-
-Naucz się hakować AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
-
-Inne sposoby wsparcia HackTricks:
-
-* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
-* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
-* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
-* **Dołącz do** 💬 [**Grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
-* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
-
-
+Wykonanie tych kroków umieszcza atakującego w pozycji do przechwytywania i manipulowania ruchem, podobnie jak w przypadku przejęcia GLBP. Podkreśla to podatność protokołów redundancji, takich jak HSRP, oraz potrzebę solidnych środków bezpieczeństwa.
diff --git a/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md b/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md
index 3098b85dd..7fd5fb39e 100644
--- a/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md
+++ b/generic-methodologies-and-resources/pentesting-network/nmap-summary-esp.md
@@ -2,11 +2,11 @@
-Naucz się hakować AWS od zera do bohatera zhtARTE (HackTricks AWS Red Team Expert)!
+Zacznij od zera i stań się ekspertem od hakowania AWS dziękihtARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
-* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
+* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
@@ -14,7 +14,7 @@ Inne sposoby wsparcia HackTricks:
-
+
{% embed url="https://websec.nl/" %}
```
@@ -24,24 +24,24 @@ nmap -sV -sC -O -n -oA nmapscan 192.168.0.1/24
### Adresy IP do skanowania
-* **`,`:** Wskazuje bezpośrednio adresy IP.
+* **`,`:** Wskazuje bezpośrednio adresy IP
* **`-iL `:** list\_IPs
* **`-iR `**: Liczba losowych adresów IP, można wykluczyć możliwe adresy IP za pomocą `--exclude ` lub `--excludefile `.
-### Odkrywanie urządzeń
+### Odkrywanie sprzętu
Domyślnie Nmap uruchamia fazę odkrywania składającą się z: `-PA80 -PS443 -PE -PP`
* **`-sL`**: Nieinwazyjne, wyświetla cele, wysyłając żądania **DNS** w celu rozwiązania nazw. Jest przydatne, aby dowiedzieć się, czy na przykład www.prueba.es/24 wszystkie adresy IP są naszymi celami.
-* **`-Pn`**: **Brak pinga**. Jest to przydatne, jeśli wiesz, że wszystkie są aktywne (w przeciwnym razie możesz stracić dużo czasu, ale ta opcja również generuje fałszywe negatywy mówiąc, że nie są aktywne), zapobiega fazie odkrywania.
+* **`-Pn`**: **Brak pinga**. Jest to przydatne, jeśli wiesz, że wszystkie z nich są aktywne (jeśli nie, możesz stracić dużo czasu, ale ta opcja również generuje fałszywe negatywy mówiąc, że nie są aktywne), zapobiega fazie odkrywania.
* **`-sn`** : **Brak skanowania portów**. Po zakończeniu fazy rozpoznawczej nie skanuje portów. Jest stosunkowo dyskretny i pozwala na mały skan sieci. Z uprawnieniami wysyła ACK (-PA) do 80, SYN(-PS) do 443 oraz żądanie echo i żądanie znacznika czasu, bez uprawnień zawsze kończy połączenia. Jeśli celem jest sieć, używa tylko ARP(-PR). Jeśli jest używany z inną opcją, odrzucane są tylko pakiety z innej opcji.
* **`-PR`**: **Ping ARP**. Jest używany domyślnie podczas analizy komputerów w naszej sieci, jest szybszy niż użycie pingów. Jeśli nie chcesz używać pakietów ARP, użyj `--send-ip`.
* **`-PS `**: Wysyła pakiety SYN, na które jeśli odpowiada SYN/ACK, jest otwarty (jeśli odpowiada RST, aby nie zakończyć połączenia), jeśli odpowiada RST, jest zamknięty, a jeśli nie odpowiada, jest nieosiągalny. W przypadku braku uprawnień automatycznie używane jest pełne połączenie. Jeśli nie podano portów, wysyła je do 80.
-* **`-PA `**: Jak poprzedni, ale z ACK, łącząc oba daje lepsze wyniki.
-* **`-PU `**: Celem jest przeciwny, są wysyłane do portów, które powinny być zamknięte. Niektóre firewalle sprawdzają tylko połączenia TCP. Jeśli jest zamknięty, odpowiada portem nieosiągalnym, jeśli odpowiada innym icmp lub nie odpowiada, jest pozostawiony jako nieosiągalny.
-* **`-PE, -PP, -PM`** : PINGI ICMP: odpowiedź echo, znacznik czasu i maska adresu. Są wysyłane, aby dowiedzieć się, czy cel jest aktywny.
-* **`-PY`**: Wysyła sondy SCTP INIT do 80 domyślnie, INIT-ACK(otwarty) lub ABORT(zamknięty) lub nic albo ICMP nieosiągalny(nieaktywny) mogą być odpowiedziane.
-* **`-PO `**: W nagłówkach wskazany jest protokół, domyślnie 1(ICMP), 2(IGMP) i 4(Encap IP). Dla protokołów ICMP, IGMP, TCP (6) i UDP (17) wysyłane są nagłówki protokołów, dla reszty wysyłany jest tylko nagłówek IP. Celem tego jest to, że z powodu zniekształcenia nagłówków, odpowiedzi na niedostępny protokół lub odpowiedzi tego samego protokołu są wysyłane, aby dowiedzieć się, czy jest aktywny.
+* **`-PA `**: Jak poprzednia opcja, ale z ACK, łącząc obie daje lepsze wyniki.
+* **`-PU `**: Celem jest przeciwny, są wysyłane do portów, które spodziewają się być zamknięte. Niektóre zapory sieciowe sprawdzają tylko połączenia TCP. Jeśli jest zamknięty, odpowiada portem nieosiągalnym, jeśli odpowiada innym icmp lub nie odpowiada, pozostaje jako nieosiągalny cel.
+* **`-PE, -PP, -PM`** : PINGI ICMP: odpowiedź echo, znacznik czasu i maska adresu. Są one wysyłane, aby dowiedzieć się, czy cel jest aktywny.
+* **`-PY`**: Wysyła sondy SCTP INIT do 80 domyślnie, INIT-ACK(otwarte) lub ABORT(zamknięte) lub nic albo ICMP nieosiągalny(nieaktywny) mogą być odpowiedziane.
+* **`-PO `**: W nagłówkach wskazany jest protokół, domyślnie 1(ICMP), 2(IGMP) i 4(Encap IP). Dla protokołów ICMP, IGMP, TCP (6) i UDP (17) wysyłane są nagłówki protokołów, dla reszty wysyłany jest tylko nagłówek IP. Celem tego jest to, że z powodu zniekształcenia nagłówków, odpowiedzi na nieosiągalny protokół lub odpowiedzi tego samego protokołu są wysyłane, aby dowiedzieć się, czy jest aktywny.
* **`-n`**: Brak DNS
* **`-R`**: Zawsze DNS
@@ -49,29 +49,29 @@ Domyślnie Nmap uruchamia fazę odkrywania składającą się z: `-PA80 -PS443 -
* **`-sS`**: Nie kończy połączenia, więc nie pozostawia śladu, bardzo dobre, jeśli można go użyć (uprawnienia). Jest używany domyślnie.
* **`-sT`**: Kończy połączenie, więc pozostawia ślad, ale można go użyć z pewnością. Domyślnie bez uprawnień.
-* **`-sU`**: Wolniejszy, dla UDP. Głównie: DNS(53), SNMP(161,162), DHCP(67 i 68), (-sU53,161,162,67,68): otwarty(odpowiedź), zamknięty(port nieosiągalny), odfiltrowany (inny ICMP), otwarty/odfiltrowany (nic). W przypadku otwarto/odfiltrowany, -sV wysyła liczne żądania, aby wykryć któreś z wersji obsługiwanych przez nmap i może wykryć prawdziwy stan. Znacznie zwiększa czas.
+* **`-sU`**: Wolniejsze, dla UDP. Głównie: DNS(53), SNMP(161,162), DHCP(67 i 68), (-sU53,161,162,67,68): otwarte(odpowiedź), zamknięte(port nieosiągalny), filtrowane (inny ICMP), otwarte/filtrowane (nic). W przypadku otwarto/filtrowane, -sV wysyła liczne żądania, aby wykryć jedną z wersji obsługiwanych przez nmap i może wykryć prawdziwy stan. Znacznie zwiększa czas.
* **`-sY`**: Protokół SCTP nie udaje się nawiązać połączenia, więc nie ma logów, działa jak -PY
-* **`-sN,-sX,-sF`:** Null, Fin, Xmas, mogą przenikać przez niektóre firewalle i wydobywać informacje. Oparte są na fakcie, że zgodne z normą maszyny powinny odpowiadać RST na wszystkie żądania, które nie mają podniesionych flag SYN, RST lub ACK: otwarty/odfiltrowany(nic), zamknięty(RST), odfiltrowany (ICMP nieosiągalny). Niepewne w przypadku systemów Windows, CIsco, BSDI i OS/400. W systemach Unix tak.
+* **`-sN,-sX,-sF`:** Null, Fin, Xmas, mogą przenikać przez niektóre zapory sieciowe i wydobywać informacje. Opierają się na tym, że zgodne z normą maszyny powinny odpowiadać RST na wszystkie żądania, które nie mają podniesionych flag SYN, RST lub ACK: otwarte/filtrowane(nic), zamknięte(RST), filtrowane (ICMP nieosiągalny). Niepewne w przypadku systemów Windows, CIsco, BSDI i OS/400. W systemach Unix tak.
* **`-sM`**: Skan Maimon: Wysyła flagi FIN i ACK, używane dla BSD, obecnie zwróci wszystko jako zamknięte.
-* **`-sA, sW`**: ACK i Window, służy do wykrywania firewalle, aby dowiedzieć się, czy porty są odfiltrowane czy nie. -sW rozróżnia między otwartymi/zamkniętymi, ponieważ otwarte odpowiadają inną wartością okna: otwarty (RST z oknem innym niż 0), zamknięty (RST z oknem = 0), odfiltrowany (ICMP nieosiągalny lub nic). Nie wszystkie komputery działają w ten sposób, więc jeśli wszystkie są zamknięte, to nie działa, jeśli kilka jest otwartych, to działa dobrze, a jeśli jest wiele otwartych i niewiele zamkniętych, to działa odwrotnie.
-* **`-sI`:** Skan bezczynności. W przypadkach, gdy istnieje aktywny firewall, ale wiemy, że nie filtrowuje do określonego adresu IP (lub gdy po prostu chcemy zachować anonimowość), możemy użyć skanera zombie (działa dla wszystkich portów), aby znaleźć możliwe zombi, możemy użyć skryptu ipidseq lub eksploatacji pomocniczej/skaner/ip/ipidseq. Ten skaner opiera się na numerze IPID pakietów IP.
-* **`--badsum`:** Wysyła błędne sumy, komputery odrzuciłyby pakiety, ale firewalle mogą odpowiedzieć czymś, służy do wykrywania firewalle.
-* **`-sZ`:** "Dziwny" skaner SCTP, podczas wysyłania sond z fragmentami echo cookie powinny być odrzucane, jeśli są otwarte lub odpowiedziane ABORT, jeśli są zamknięte. Może przechodzić przez firewalle, przez które nie przechodzi init, złe jest to, że nie rozróżnia między odfiltrowanymi i otwartymi.
-* **`-sO`:** Skan protokołu Ip. Wysyła złe i puste nagłówki, w których czasami nawet protokół nie może być odróżniony. Jeśli dotrze nieosiągalny protokół ICMP, jest zamknięty, jeśli dotrze nieosiągalny port, jest otwarty, jeśli dotrze inny błąd, jest odfiltrowany, jeśli nic nie dotrze, jest otwarty|odfiltrowany.
+* **`-sA, sW`**: ACK i Window, służy do wykrywania zapór sieciowych, aby dowiedzieć się, czy porty są filtrowane czy nie. -sW rozróżnia między otwartymi/zamkniętymi, ponieważ otwarte odpowiadają inną wartością okna: otwarte (RST z oknem innym niż 0), zamknięte (RST z oknem = 0), filtrowane (ICMP nieosiągalny lub nic). Nie wszystkie komputery działają w ten sposób, więc jeśli wszystko jest zamknięte, to nie działa, jeśli kilka jest otwartych, to działa dobrze, a jeśli jest wiele otwartych i kilka zamkniętych, to działa odwrotnie.
+* **`-sI`:** Skan bezczynności. W przypadkach, gdy istnieje aktywna zapora sieciowa, ale wiemy, że nie filtrowuje do określonego adresu IP (lub gdy po prostu chcemy zachować anonimowość), możemy użyć skanera zombie (działa dla wszystkich portów), aby znaleźć możliwe zombi, możemy użyć skryptu ipidseq lub eksploatacji pomocniczej/skanera/ip/ipidseq. Ten skaner opiera się na numerze IPID pakietów IP.
+* **`--badsum`:** Wysyła błędne sumy, komputery odrzuciłyby pakiety, ale zapory sieciowe mogą odpowiedzieć czymś, służy do wykrywania zapór sieciowych.
+* **`-sZ`:** "Dziwny" skaner SCTP, podczas wysyłania sond z fragmentami echo cookie powinny być odrzucane, jeśli są otwarte lub odpowiedziane ABORT, jeśli są zamknięte. Może przechodzić przez zapory sieciowe, przez które nie przechodzi inicjacja, złe jest to, że nie rozróżnia między filtrowanymi i otwartymi.
+* **`-sO`:** Skan protokołu Ip. Wysyła złe i puste nagłówki, w których czasami nawet protokół nie może być odróżniony. Jeśli dotrze nieosiągalny protokół ICMP, jest zamknięty, jeśli dotrze nieosiągalny port, jest otwarty, jeśli dotrze inny błąd, jest filtrowany, jeśli nic nie dotrze, jest otwarty|filtrowany.
* **`-b `:** FTPhost--> Służy do skanowania hosta z innego, jest to robione poprzez połączenie z ftp innego komputera i proszenie go o wysłanie plików do portów, które chcesz zeskanować z innego komputera, na podstawie odpowiedzi dowiemy się, czy są otwarte czy nie. \[\:\@]\\[:\] Prawie wszystkie serwery ftp już nie pozwalają na to, dlatego jest to mało praktyczne.
### **Centrowanie analizy**
-**-p:** Służy do określenia skanowanych portów. Aby wybrać 65335: **-p-** lub **-p all**. Nmap ma wewnętrzną klasyfikację według popularności. Domyślnie używa 1000 głównych portów. Z **-F** (szybkie skanowanie) analizuje 100 głównych portów. Z **--top-ports \** Analizuje tę liczbę głównych portów (od 1 do 65335). Sprawdza porty w losowej kolejności, aby tego uniknąć **-r**. Możemy również wybrać porty: 20-30,80,443,1024- To ostatnie oznacza, że sprawdza od 1024 w górę. Możemy również grupować porty według protokołów: U:53,T:21-25,80,139,S:9. Możemy również wybrać zakres wśród popularnych portów nmap: -p \[-1024] analizuje do 1024 z tych zawartych w nmap-services. **--port-ratio \** Analizuje najczęściej używane porty z określonym współczynnikiem, który powinien być między 0 a 1.
+**-p:** Służy do określenia skanowanych portów. Aby wybrać 65335: **-p-** lub **-p all**. Nmap ma wewnętrzną klasyfikację według popularności. Domyślnie używa 1000 głównych portów. Z **-F** (szybkie skanowanie) analizuje 100 głównych portów. Z **--top-ports \** Analizuje tę liczbę głównych portów (od 1 do 65335). Sprawdza porty w losowej kolejności, aby tego uniknąć **-r**. Możemy również wybrać porty: 20-30,80,443,1024- To ostatnie oznacza, że patrzy w przód od 1024. Możemy również grupować porty według protokołów: U:53,T:21-25,80,139,S:9. Możemy również wybrać zakres wśród popularnych portów nmap: -p \[-1024] analizuje do 1024 z tych zawartych w nmap-services. **--port-ratio \** Analizuje najczęściej używane porty z określonym współczynnikiem, który powinien być między 0 a 1
-**-sV** Skanowanie wersji, intensywność można regulować od 0 do 9, domyślnie 7.
+**-sV** Skanowanie wersji, można regulować intensywność od 0 do 9, domyślnie 7.
-**--version-intensity \** Reguluje intensywność, im niższa, tym tylko najbardziej prawdopodobne sondy zostaną wysłane, ale nie wszystkie. Dzięki temu możemy znacznie skrócić czas skanowania UDP.
+**--version-intensity \** Reguluje intensywność, im niższa, tym tylko najbardziej prawdopodobne sondy są wysyłane, ale nie wszystkie. Dzięki temu możemy znacznie skrócić czas skanowania UDP
**-O** Wykrywanie systemu operacyjnego
-**--osscan-limit** Aby dobrze zeskanować hosta, potrzebny jest co najmniej jeden otwarty i jeden zamknięty port, jeśli ta zasada nie jest spełniona i użyliśmy tego, nie próbuje przewidywać systemu operacyjnego (oszczędza czas)
-**--osscan-guess** Gdy wykrycie systemu operacyjnego nie jest idealne, ta opcja zmusza do większego wysiłku.
+**--osscan-limit** Aby dobrze zeskanować hosta, potrzebne jest, aby co najmniej jeden port był otwarty, a drugi zamknięty, jeśli ta zasada nie jest spełniona i użyliśmy tego, nie próbuje przewidywać systemu operacyjnego (oszczędza czas)
+**--osscan-guess** Gdy wykrycie systemu operacyjnego nie jest idealne, to sprawia, że nmap się bardziej stara
**Skrypty**
@@ -81,15 +81,15 @@ Domyślnie można użyć -sC lub --script=default
Dostępne kategorie to: auth, broadcast, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe, version i vuln
-* **Auth:** uruchamia wszystkie dostępne skrypty autoryzacyjne
-* **Default:** uruchamia podstawowe skrypty domyślne narzędzia
+* **Auth:** wykonuje wszystkie dostępne skrypty autoryzacyjne
+* **Default:** wykonuje podstawowe skrypty domyślne narzędzia
* **Discovery:** pozyskuje informacje o celu
* **External:** skrypt do korzystania z zewnętrznych zasobów
* **Intrusive:** używa skryptów uznawanych za inwazyjne dla celu
* **Malware:** sprawdza, czy istnieją otwarte połączenia złośliwych kodów lub tylnych drzwi (backdoors)
-* **Safe:** uruchamia skrypty, które nie są inwazyjne
+* **Safe:** wykonuje skrypty, które nie są inwazyjne
* **Vuln:** odkrywa najbardziej znane podatności
-* **All:** uruchamia wszystkie dostępne skrypty NSE
+* **All:** wykonuje wszystkie dostępne skrypty NSE
Aby wyszukać skrypty:
@@ -109,29 +109,29 @@ Aby wyszukać skrypty:
\--script-help _\_|_\_|_\_|_\_|all\[,...]
-\--script-trace ---> Udostępnia informacje o działaniu skryptu
+\--script-trace ---> Udziela informacji o działaniu skryptu
\--script-updatedb
-**Aby użyć skryptu, wystarczy wpisać: nmap --script Nazwa\_skryptu cel** --> Po wpisaniu skryptu zostanie uruchomiony zarówno skrypt, jak i skaner, więc można również dodawać opcje skanera, można dodać **“safe=1”** aby uruchomić tylko te, które są bezpieczne.
+**Aby użyć skryptu, wystarczy wpisać: nmap --script Nazwa\_skryptu cel** --> Po wpisaniu skryptu zostanie wykonany zarówno skrypt, jak i skaner, więc można również dodawać opcje skanera, można dodać **"safe=1"** aby wykonać tylko te, które są bezpieczne.
**Kontrola czasu**
**Nmap może zmieniać czas w sekundach, minutach, ms:** --host-timeout arguments 900000ms, 900, 900s, and 15m all do the same thing.
-Nmap dzieli łączną liczbę hostów do zeskanowania na grupy i analizuje te grupy blokami, tak że dopóki wszystkie nie zostaną zanalizowane, nie przechodzi do następnego bloku (i użytkownik nie otrzymuje aktualizacji, dopóki blok nie zostanie zanalizowany). Dlatego dla nmapa bardziej optymalne jest używanie dużych grup. Domyślnie w klasie C używa 256.
+Nmap dzieli łączną liczbę hostów do zeskanowania na grupy i analizuje te grupy blokami, dopóki nie zostaną zeskanowane wszystkie, nie przechodzi do następnego bloku (i użytkownik nie otrzymuje aktualizacji, dopóki blok nie zostanie zeskanowany). Dlatego dla nmapa bardziej optymalne jest używanie dużych grup. Domyślnie w klasie C używa 256.
-Można to zmienić za pomocą\*\*--min-hostgroup\*\* _**\**_**;** **--max-hostgroup** _**\**_ (Dostosuj rozmiary grup skanowania równoległego)
+Można zmienić za pomocą\*\*--min-hostgroup\*\* _**\**_**;** **--max-hostgroup** _**\**_ (Dostosuj rozmiary grup skanowania równoległego)
-Można kontrolować liczbę skanerów równoległych, ale lepiej tego nie robić (nmap ma już wbudowany automatyczny kontroler na podstawie stanu sieci): **--min-parallelism** _**\**_**;** **--max-parallelism** _**\**_
+Można kontrolować liczbę skanerów równoległych, ale lepiej tego nie robić (nmap ma już wbudowaną kontrolę automatyczną na podstawie stanu sieci): **--min-parallelism** _**\**_**;** **--max-parallelism** _**\**_
-Można zmienić czas oczekiwania na rtt, ale zazwyczaj nie jest to konieczne: **--min-rtt-timeout** _**\
