Anti-Forensic Techniques
Last updated
Last updated
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
एक हमलावर फाइलों के टाइमस्टैम्प को बदलने में रुचि रख सकता है ताकि उसे पकड़ा न जा सके।
MFT के अंदर $STANDARD_INFORMATION __ और __ $FILE_NAME में टाइमस्टैम्प मिलना संभव है।
दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: संशोधन, पहुँच, निर्माण, और MFT रजिस्ट्रि संशोधन (MACE या MACB)।
Windows एक्सप्लोरर और अन्य उपकरण $STANDARD_INFORMATION से जानकारी दिखाते हैं।
यह उपकरण $STANDARD_INFORMATION के अंदर टाइमस्टैम्प जानकारी को संशोधित करता है लेकिन $FILE_NAME के अंदर की जानकारी को नहीं। इसलिए, संदिग्ध गतिविधि को पहचानना संभव है।
USN जर्नल (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। UsnJrnl2Csv उपकरण इन परिवर्तनों की जांच करने की अनुमति देता है।
पिछली छवि उपकरण द्वारा दिखाया गया आउटपुट है जहाँ देखा जा सकता है कि कुछ परिवर्तन किए गए थे।
फाइल सिस्टम में सभी मेटाडेटा परिवर्तनों को लॉग किया जाता है जिसे write-ahead logging के रूप में जाना जाता है। लॉग की गई मेटाडेटा एक फ़ाइल में रखी जाती है जिसका नाम **$LogFile** है, जो NTFS फ़ाइल प्रणाली के रूट निर्देशिका में स्थित है। LogFileParser जैसे उपकरण का उपयोग इस फ़ाइल को पार्स करने और परिवर्तनों की पहचान करने के लिए किया जा सकता है।
फिर से, उपकरण के आउटपुट में यह देखना संभव है कि कुछ परिवर्तन किए गए थे।
उसी उपकरण का उपयोग करके यह पहचानना संभव है कि कब टाइमस्टैम्प संशोधित किए गए थे:
CTIME: फ़ाइल का निर्माण समय
ATIME: फ़ाइल का संशोधन समय
MTIME: फ़ाइल का MFT रजिस्ट्रि संशोधन
RTIME: फ़ाइल का पहुँच समय
$STANDARD_INFORMATION और $FILE_NAME तुलनासंदिग्ध संशोधित फ़ाइलों की पहचान करने का एक और तरीका दोनों विशेषताओं पर समय की तुलना करना है और असंगतियों की तलाश करना है।
NTFS टाइमस्टैम्प की सटीकता 100 नैनोसेकंड है। फिर, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें बहुत संदिग्ध हैं।
यह उपकरण दोनों विशेषताओं $STARNDAR_INFORMATION और $FILE_NAME को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।
NFTS एक क्लस्टर और न्यूनतम जानकारी आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो बचा हुआ आधा कभी उपयोग नहीं होगा जब तक फ़ाइल को हटा नहीं दिया जाता। फिर, इस स्लैक स्पेस में डेटा छिपाना संभव है।
ऐसे उपकरण हैं जैसे स्लैकर जो इस "छिपे हुए" स्थान में डेटा छिपाने की अनुमति देते हैं। हालाँकि, $logfile और $usnjrnl का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:
फिर, FTK इमेजर जैसे उपकरणों का उपयोग करके स्लैक स्पेस को पुनर्प्राप्त करना संभव है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को ओब्स्क्यूरेट या यहां तक कि एन्क्रिप्ट कर सकते हैं।
यह एक उपकरण है जो USB पोर्ट में किसी भी परिवर्तन का पता लगाने पर कंप्यूटर को बंद कर देगा। इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं की जांच करना और प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना है।
ये डिस्ट्रीब्यूशन RAM मेमोरी के अंदर निष्पादित होते हैं। इन्हें केवल तभी पहचानना संभव है जब NTFS फ़ाइल सिस्टम को लिखने की अनुमति के साथ माउंट किया गया हो। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।
https://github.com/Claudio-C/awesome-data-sanitization
फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई विंडोज़ लॉगिंग विधियों को बंद करना संभव है।
यह एक रजिस्ट्री कुंजी है जो उपयोगकर्ता द्वारा चलाए गए प्रत्येक निष्पादन योग्य की तारीखों और घंटों को बनाए रखती है।
UserAssist को बंद करने के लिए दो चरणों की आवश्यकता होती है:
दो रजिस्ट्री कुंजियाँ सेट करें, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs और HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को बंद करना चाहते हैं।
अपनी रजिस्ट्री उप-ट्रीज़ को साफ़ करें जो HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash> की तरह दिखती हैं।
यह उन अनुप्रयोगों के बारे में जानकारी को सहेजता है जो प्रदर्शन में सुधार के लक्ष्य के साथ निष्पादित होते हैं। हालाँकि, यह फॉरेंसिक प्रथाओं के लिए भी उपयोगी हो सकता है।
regedit निष्पादित करें
फ़ाइल पथ का चयन करें HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
दोनों EnablePrefetcher और EnableSuperfetch पर राइट-क्लिक करें
प्रत्येक पर संशोधित करें ताकि मान 1 (या 3) से 0 में बदल जाए
पुनः प्रारंभ करें
जब भी एक फ़ोल्डर NTFS वॉल्यूम से Windows NT सर्वर पर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर एक टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।
रजिस्ट्री संपादक (Regedit.exe) खोलें।
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem पर जाएँ।
NtfsDisableLastAccessUpdate की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को बंद कर देगा।
रजिस्ट्री संपादक बंद करें, और सर्वर को पुनः प्रारंभ करें।
सभी USB डिवाइस प्रविष्टियाँ Windows रजिस्ट्री में USBSTOR रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने पीसी या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR। इसे हटाने से आप USB इतिहास हटा देंगे।
आप यह सुनिश्चित करने के लिए USBDeview उपकरण का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।
एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह फ़ाइल setupapi.dev.log है जो C:\Windows\INF के अंदर है। इसे भी हटाया जाना चाहिए।
शैडो कॉपीज़ की सूची बनाएं vssadmin list shadowstorage
इन्हें हटाएँ vssadmin delete shadow चलाकर
आप GUI के माध्यम से भी इन्हें हटा सकते हैं https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html में प्रस्तावित चरणों का पालन करके।
शैडो कॉपीज़ को बंद करने के लिए यहाँ से चरण:
Windows स्टार्ट बटन पर क्लिक करने के बाद टेक्स्ट सर्च बॉक्स में "services" टाइप करके सेवाएँ प्रोग्राम खोलें।
सूची से "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएँ।
"Startup type" ड्रॉप-डाउन मेनू से Disabled चुनें, और फिर Apply और OK पर क्लिक करके परिवर्तन की पुष्टि करें।
यह भी संभव है कि रजिस्ट्री HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot में शैडो कॉपी में कॉपी किए जाने वाले फ़ाइलों की कॉन्फ़िगरेशन को संशोधित किया जाए।
आप एक Windows उपकरण का उपयोग कर सकते हैं: cipher /w:C यह सिफारिश करेगा कि सिफर C ड्राइव के अंदर उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटा दे।
आप Eraser जैसे उपकरणों का भी उपयोग कर सकते हैं।
Windows + R --> eventvwr.msc --> "Windows Logs" का विस्तार करें --> प्रत्येक श्रेणी पर राइट-क्लिक करें और "Clear Log" चुनें
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को बंद करें
WEvtUtil.exec clear-log या WEvtUtil.exe cl
fsutil usn deletejournal /d c:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
