Anti-Forensic Techniques
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Atakujący może być zainteresowany zmianą znaczników czasu plików, aby uniknąć wykrycia.
Możliwe jest znalezienie znaczników czasu w MFT w atrybutach $STANDARD_INFORMATION __ i __ $FILE_NAME.
Oba atrybuty mają 4 znaczniki czasu: Modyfikacja, dostęp, tworzenie i modyfikacja rejestru MFT (MACE lub MACB).
Eksplorator Windows i inne narzędzia pokazują informacje z $STANDARD_INFORMATION.
To narzędzie modyfikuje informacje o znaczniku czasu wewnątrz $STANDARD_INFORMATION, ale nie modyfikuje informacji wewnątrz $FILE_NAME. Dlatego możliwe jest zidentyfikowanie podejrzanej aktywności.
Dziennik USN (Dziennik Numeru Sekwencyjnego Aktualizacji) to funkcja NTFS (system plików Windows NT), która śledzi zmiany w woluminie. Narzędzie UsnJrnl2Csv umożliwia badanie tych zmian.
Poprzedni obrazek to wyjście pokazane przez narzędzie, gdzie można zaobserwować, że wprowadzono pewne zmiany w pliku.
Wszystkie zmiany metadanych w systemie plików są rejestrowane w procesie znanym jako logowanie przed zapisaniem. Zarejestrowane metadane są przechowywane w pliku o nazwie **$LogFile**, znajdującym się w katalogu głównym systemu plików NTFS. Narzędzia takie jak LogFileParser mogą być używane do analizy tego pliku i identyfikacji zmian.
Ponownie, w wyjściu narzędzia można zobaczyć, że wprowadzono pewne zmiany.
Używając tego samego narzędzia, można zidentyfikować, do którego czasu zmieniono znaczniki czasu:
CTIME: Czas utworzenia pliku
ATIME: Czas modyfikacji pliku
MTIME: Modyfikacja rejestru MFT pliku
RTIME: Czas dostępu do pliku
$STANDARD_INFORMATION i $FILE_NAMEInnym sposobem na zidentyfikowanie podejrzanych zmodyfikowanych plików byłoby porównanie czasu w obu atrybutach w poszukiwaniu rozbieżności.
Znaczniki czasu NTFS mają precyzję 100 nanosekund. Dlatego znalezienie plików z znacznikami czasu takimi jak 2010-10-10 10:10:00.000:0000 jest bardzo podejrzane.
To narzędzie może modyfikować oba atrybuty $STARNDAR_INFORMATION i $FILE_NAME. Jednak od Windows Vista, konieczne jest, aby system operacyjny był uruchomiony, aby zmodyfikować te informacje.
NFTS używa klastra i minimalnego rozmiaru informacji. Oznacza to, że jeśli plik zajmuje i używa klastra i pół, pozostała połowa nigdy nie będzie używana aż do usunięcia pliku. Wtedy możliwe jest ukrycie danych w tej przestrzeni slack.
Istnieją narzędzia takie jak slacker, które pozwalają na ukrywanie danych w tej "ukrytej" przestrzeni. Jednak analiza $logfile i $usnjrnl może pokazać, że dodano pewne dane:
Wtedy możliwe jest odzyskanie przestrzeni slack za pomocą narzędzi takich jak FTK Imager. Zauważ, że tego rodzaju narzędzie może zapisać zawartość w sposób zniekształcony lub nawet zaszyfrowany.
To narzędzie, które wyłączy komputer, jeśli wykryje jakiekolwiek zmiany w portach USB. Sposobem na odkrycie tego byłoby sprawdzenie uruchomionych procesów i przejrzenie każdego uruchomionego skryptu python.
Te dystrybucje są uruchamiane w pamięci RAM. Jedynym sposobem na ich wykrycie jest jeśli system plików NTFS jest zamontowany z uprawnieniami do zapisu. Jeśli jest zamontowany tylko z uprawnieniami do odczytu, nie będzie możliwe wykrycie intruzji.
https://github.com/Claudio-C/awesome-data-sanitization
Możliwe jest wyłączenie kilku metod logowania w Windows, aby znacznie utrudnić dochodzenie forensyczne.
To klucz rejestru, który przechowuje daty i godziny, kiedy każdy plik wykonywalny był uruchamiany przez użytkownika.
Wyłączenie UserAssist wymaga dwóch kroków:
Ustawienie dwóch kluczy rejestru, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs i HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, oba na zero, aby sygnalizować, że chcemy wyłączyć UserAssist.
Wyczyść swoje poddrzewa rejestru, które wyglądają jak HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>.
To zapisze informacje o aplikacjach uruchamianych w celu poprawy wydajności systemu Windows. Jednak może to być również przydatne w praktykach forensycznych.
Uruchom regedit
Wybierz ścieżkę pliku HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
Kliknij prawym przyciskiem myszy na EnablePrefetcher i EnableSuperfetch
Wybierz Modyfikuj dla każdego z nich, aby zmienić wartość z 1 (lub 3) na 0
Uruchom ponownie
Kiedy folder jest otwierany z woluminu NTFS na serwerze Windows NT, system zajmuje czas na aktualizację pola znacznika czasu w każdym wymienionym folderze, nazywanego czasem ostatniego dostępu. Na mocno używanym woluminie NTFS może to wpływać na wydajność.
Otwórz Edytor Rejestru (Regedit.exe).
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
Poszukaj NtfsDisableLastAccessUpdate. Jeśli nie istnieje, dodaj ten DWORD i ustaw jego wartość na 1, co wyłączy ten proces.
Zamknij Edytor Rejestru i uruchom ponownie serwer.
Wszystkie Wpisy Urządzeń USB są przechowywane w Rejestrze Windows pod kluczem USBSTOR, który zawiera podklucze tworzone za każdym razem, gdy podłączasz urządzenie USB do swojego komputera lub laptopa. Możesz znaleźć ten klucz tutaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Usunięcie tego spowoduje usunięcie historii USB.
Możesz również użyć narzędzia USBDeview, aby upewnić się, że je usunąłeś (i aby je usunąć).
Innym plikiem, który zapisuje informacje o USB, jest plik setupapi.dev.log w C:\Windows\INF. Ten plik również powinien zostać usunięty.
Wylistuj kopie cieni za pomocą vssadmin list shadowstorage
Usuń je, uruchamiając vssadmin delete shadow
Możesz również usunąć je za pomocą GUI, postępując zgodnie z krokami opisanymi w https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html
Aby wyłączyć kopie cieni kroki stąd:
Otwórz program Usługi, wpisując "usługi" w polu wyszukiwania tekstowego po kliknięciu przycisku start w Windows.
Z listy znajdź "Kopia Cienia Woluminu", wybierz ją, a następnie uzyskaj dostęp do Właściwości, klikając prawym przyciskiem myszy.
Wybierz Wyłączony z rozwijanego menu "Typ uruchomienia", a następnie potwierdź zmianę, klikając Zastosuj i OK.
Możliwe jest również modyfikowanie konfiguracji, które pliki będą kopiowane w kopii cienia w rejestrze HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
Możesz użyć narzędzia Windows: cipher /w:C To polecenie wskaże cipherowi, aby usunął wszelkie dane z dostępnej nieużywanej przestrzeni dyskowej w dysku C.
Możesz również użyć narzędzi takich jak Eraser
Windows + R --> eventvwr.msc --> Rozwiń "Dzienniki Windows" --> Kliknij prawym przyciskiem myszy na każdą kategorię i wybierz "Wyczyść dziennik"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
W sekcji usług wyłącz usługę "Dziennik Zdarzeń Windows"
WEvtUtil.exec clear-log lub WEvtUtil.exe cl
fsutil usn deletejournal /d c:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
