Anti-Forensic Techniques
Last updated
Last updated
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
एक हमलावर फाइलों के टाइमस्टैम्प को बदलने में रुचि रख सकता है ताकि उसे पकड़ा न जा सके।
MFT के अंदर $STANDARD_INFORMATION
__ और __ $FILE_NAME
में टाइमस्टैम्प मिलना संभव है।
दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: संशोधन, पहुँच, निर्माण, और MFT रजिस्ट्रि संशोधन (MACE या MACB)।
Windows एक्सप्लोरर और अन्य उपकरण $STANDARD_INFORMATION
से जानकारी दिखाते हैं।
यह उपकरण $STANDARD_INFORMATION
के अंदर टाइमस्टैम्प जानकारी को संशोधित करता है लेकिन $FILE_NAME
के अंदर की जानकारी को नहीं। इसलिए, संदिग्ध गतिविधि को पहचानना संभव है।
USN जर्नल (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। UsnJrnl2Csv उपकरण इन परिवर्तनों की जांच करने की अनुमति देता है।
पिछली छवि उपकरण द्वारा दिखाया गया आउटपुट है जहाँ देखा जा सकता है कि कुछ परिवर्तन किए गए थे।
फाइल सिस्टम में सभी मेटाडेटा परिवर्तनों को लॉग किया जाता है जिसे write-ahead logging के रूप में जाना जाता है। लॉग की गई मेटाडेटा एक फ़ाइल में रखी जाती है जिसका नाम **$LogFile**
है, जो NTFS फ़ाइल प्रणाली के रूट निर्देशिका में स्थित है। LogFileParser जैसे उपकरण का उपयोग इस फ़ाइल को पार्स करने और परिवर्तनों की पहचान करने के लिए किया जा सकता है।
फिर से, उपकरण के आउटपुट में यह देखना संभव है कि कुछ परिवर्तन किए गए थे।
उसी उपकरण का उपयोग करके यह पहचानना संभव है कि कब टाइमस्टैम्प संशोधित किए गए थे:
CTIME: फ़ाइल का निर्माण समय
ATIME: फ़ाइल का संशोधन समय
MTIME: फ़ाइल का MFT रजिस्ट्रि संशोधन
RTIME: फ़ाइल का पहुँच समय
$STANDARD_INFORMATION
और $FILE_NAME
तुलनासंदिग्ध संशोधित फ़ाइलों की पहचान करने का एक और तरीका दोनों विशेषताओं पर समय की तुलना करना है और मिसमैच की तलाश करना है।
NTFS टाइमस्टैम्प की सटीकता 100 नैनोसेकंड है। फिर, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें बहुत संदिग्ध हैं।
यह उपकरण दोनों विशेषताओं $STARNDAR_INFORMATION
और $FILE_NAME
को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।
NFTS एक क्लस्टर और न्यूनतम जानकारी के आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो बचा हुआ आधा कभी उपयोग नहीं होगा जब तक फ़ाइल को हटा नहीं दिया जाता। फिर, इस स्लैक स्पेस में डेटा को छिपाना संभव है।
ऐसे उपकरण हैं जैसे स्लैकर जो इस "छिपे हुए" स्थान में डेटा छिपाने की अनुमति देते हैं। हालाँकि, $logfile
और $usnjrnl
का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:
फिर, FTK इमेजर जैसे उपकरणों का उपयोग करके स्लैक स्पेस को पुनर्प्राप्त करना संभव है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को ओब्स्क्यूरेट या यहां तक कि एन्क्रिप्ट कर सकते हैं।
यह एक उपकरण है जो USB पोर्ट में किसी भी परिवर्तन का पता लगाने पर कंप्यूटर को बंद कर देगा। इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं की जांच करना और प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना है।
ये डिस्ट्रीब्यूशन RAM मेमोरी के अंदर निष्पादित होते हैं। इन्हें केवल तभी पता लगाया जा सकता है जब NTFS फ़ाइल सिस्टम को लिखने की अनुमति के साथ माउंट किया गया हो। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।
https://github.com/Claudio-C/awesome-data-sanitization
फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई Windows लॉगिंग विधियों को बंद करना संभव है।
यह एक रजिस्ट्री कुंजी है जो उपयोगकर्ता द्वारा चलाए गए प्रत्येक निष्पादन योग्य की तारीखों और घंटों को बनाए रखती है।
UserAssist को बंद करने के लिए दो चरणों की आवश्यकता होती है:
दो रजिस्ट्री कुंजी सेट करें, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs
और HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled
, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को बंद करना चाहते हैं।
अपने रजिस्ट्री उप-ट्री को साफ करें जो HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>
की तरह दिखते हैं।
यह उन अनुप्रयोगों के बारे में जानकारी को सहेजता है जो Windows सिस्टम के प्रदर्शन में सुधार के लक्ष्य के साथ निष्पादित होते हैं। हालाँकि, यह फॉरेंसिक प्रथाओं के लिए भी उपयोगी हो सकता है।
regedit
निष्पादित करें
फ़ाइल पथ का चयन करें HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
EnablePrefetcher
और EnableSuperfetch
पर राइट-क्लिक करें
प्रत्येक पर संशोधित करें ताकि मान 1 (या 3) से 0 में बदल जाए
पुनरारंभ करें
जब भी Windows NT सर्वर पर NTFS वॉल्यूम से एक फ़ोल्डर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर एक टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।
रजिस्ट्री संपादक (Regedit.exe) खोलें।
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
पर जाएं।
NtfsDisableLastAccessUpdate
की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को बंद कर देगा।
रजिस्ट्री संपादक बंद करें, और सर्वर को पुनरारंभ करें।
सभी USB डिवाइस प्रविष्टियाँ Windows रजिस्ट्री में USBSTOR रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने पीसी या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
। इसे हटाने से आप USB इतिहास को हटा देंगे।
आप यह सुनिश्चित करने के लिए USBDeview उपकरण का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।
एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह फ़ाइल setupapi.dev.log
है जो C:\Windows\INF
के अंदर है। इसे भी हटाया जाना चाहिए।
शैडो कॉपीज़ की सूची बनाएं vssadmin list shadowstorage
इन्हें हटाएं vssadmin delete shadow
चलाकर
आप GUI के माध्यम से भी इन्हें हटा सकते हैं, https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html में प्रस्तावित चरणों का पालन करके।
शैडो कॉपीज़ को बंद करने के लिए यहाँ से चरण:
Windows स्टार्ट बटन पर क्लिक करने के बाद टेक्स्ट सर्च बॉक्स में "services" टाइप करके सेवाएँ प्रोग्राम खोलें।
सूची में "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएं।
"Startup type" ड्रॉप-डाउन मेनू से Disabled चुनें, और फिर Apply और OK पर क्लिक करके परिवर्तन की पुष्टि करें।
यह भी संभव है कि रजिस्ट्री HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
में शैडो कॉपी में कॉपी किए जाने वाले फ़ाइलों की कॉन्फ़िगरेशन को संशोधित किया जाए।
आप एक Windows उपकरण का उपयोग कर सकते हैं: cipher /w:C
यह संकेत देगा कि सिफर C ड्राइव के अंदर उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटा दे।
आप Eraser जैसे उपकरणों का भी उपयोग कर सकते हैं।
Windows + R --> eventvwr.msc --> "Windows Logs" का विस्तार करें --> प्रत्येक श्रेणी पर राइट-क्लिक करें और "Clear Log" चुनें
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को बंद करें
WEvtUtil.exec clear-log
या WEvtUtil.exe cl
fsutil usn deletejournal /d c:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)