# Лабораторная работа #2 # Последовательность выполнение 1) С помощью программы восстановления данных пытаемся найти зацепки удаления каких-либо скриптов. **Безрезультатно** 2) Заходим в документы и видим интересный файл, открываем его в режиме чтения  3) Видим следующее: создается локальный пользователь от чьего имени собирается файл Login Data и копируется в другую папку   4) Скачиваем программу для расшифровки данных и открытия этого файла  5) Успешно получаем всю нужную информацию, заходим на ламоду и покупаем себе новую одежду, смотря какой-нибудь сериал на окко! **Успех**  6) Понимаем, что были украдены наши пароли и надо проанализировать, что именно запустило этот скрипт. Проверяем автозапуск приложений, реестры стартапа, планировщик задач, все пусто. Смотрим, что установлено на системе, пробуем проверить почту. 7) Открываем outlook и видим данное сообщение  # **Итог:** **Удаляем файл и больше не запускаем подобные файлы** # **Анализ образа:** С помощью программы Deamon Tools Ultra необходимо вмонтировать образ как новый диск.  Затем находим файл с данными.  Файл можно открыть через DB Browser for SQLite: