Anti-Forensic Techniques
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Atakujący może być zainteresowany zmianą znaczników czasu plików, aby uniknąć wykrycia.
Możliwe jest znalezienie znaczników czasu w MFT w atrybutach $STANDARD_INFORMATION __ i __ $FILE_NAME.
Oba atrybuty mają 4 znaczniki czasu: Modyfikacja, dostęp, tworzenie i modyfikacja rejestru MFT (MACE lub MACB).
Eksplorator Windows i inne narzędzia pokazują informacje z $STANDARD_INFORMATION.
To narzędzie modyfikuje informacje o znaczniku czasu wewnątrz $STANDARD_INFORMATION, ale nie modyfikuje informacji wewnątrz $FILE_NAME. Dlatego możliwe jest zidentyfikowanie podejrzanej aktywności.
Dziennik USN (Dziennik Numeru Sekwencyjnego Aktualizacji) to funkcja NTFS (system plików Windows NT), która śledzi zmiany w woluminie. Narzędzie UsnJrnl2Csv umożliwia badanie tych zmian.
Poprzedni obrazek to wyjście pokazane przez narzędzie, gdzie można zaobserwować, że wprowadzono pewne zmiany w pliku.
Wszystkie zmiany metadanych w systemie plików są rejestrowane w procesie znanym jako logowanie przed zapisaniem. Zarejestrowane metadane są przechowywane w pliku o nazwie **$LogFile**, znajdującym się w katalogu głównym systemu plików NTFS. Narzędzia takie jak LogFileParser mogą być używane do analizy tego pliku i identyfikacji zmian.
Ponownie, w wyjściu narzędzia można zobaczyć, że wprowadzono pewne zmiany.
Używając tego samego narzędzia, można zidentyfikować, do którego czasu zmieniono znaczniki czasu:
CTIME: Czas utworzenia pliku
ATIME: Czas modyfikacji pliku
MTIME: Modyfikacja rejestru MFT pliku
RTIME: Czas dostępu do pliku
$STANDARD_INFORMATION i $FILE_NAMEInnym sposobem na zidentyfikowanie podejrzanych zmodyfikowanych plików byłoby porównanie czasu w obu atrybutach w poszukiwaniu rozbieżności.
Znaczniki czasu NTFS mają precyzję 100 nanosekund. Dlatego znalezienie plików z znacznikami czasu takimi jak 2010-10-10 10:10:00.000:0000 jest bardzo podejrzane.
To narzędzie może modyfikować oba atrybuty $STARNDAR_INFORMATION i $FILE_NAME. Jednak od Windows Vista, konieczne jest, aby system operacyjny na żywo mógł modyfikować te informacje.
NFTS używa klastra i minimalnego rozmiaru informacji. Oznacza to, że jeśli plik zajmuje i używa klastra i pół, pozostała połowa nigdy nie będzie używana aż do usunięcia pliku. Wtedy możliwe jest ukrycie danych w tej przestrzeni slack.
Istnieją narzędzia takie jak slacker, które pozwalają na ukrywanie danych w tej "ukrytej" przestrzeni. Jednak analiza $logfile i $usnjrnl może pokazać, że dodano pewne dane:
Wtedy możliwe jest odzyskanie przestrzeni slack za pomocą narzędzi takich jak FTK Imager. Zauważ, że tego rodzaju narzędzie może zapisać zawartość w sposób zniekształcony lub nawet zaszyfrowany.
To narzędzie, które wyłączy komputer, jeśli wykryje jakiekolwiek zmiany w portach USB. Sposobem na odkrycie tego byłoby sprawdzenie uruchomionych procesów i przejrzenie każdego uruchomionego skryptu python.
Te dystrybucje są uruchamiane w pamięci RAM. Jedynym sposobem na ich wykrycie jest jeśli system plików NTFS jest zamontowany z uprawnieniami do zapisu. Jeśli jest zamontowany tylko z uprawnieniami do odczytu, nie będzie możliwe wykrycie intruzji.
https://github.com/Claudio-C/awesome-data-sanitization
Możliwe jest wyłączenie kilku metod logowania w systemie Windows, aby znacznie utrudnić dochodzenie forensyczne.
To klucz rejestru, który utrzymuje daty i godziny, kiedy każdy plik wykonywalny był uruchamiany przez użytkownika.
Wyłączenie UserAssist wymaga dwóch kroków:
Ustaw dwa klucze rejestru, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs i HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, oba na zero, aby sygnalizować, że chcemy wyłączyć UserAssist.
Wyczyść swoje poddrzewa rejestru, które wyglądają jak HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>.
To zapisze informacje o aplikacjach uruchamianych w celu poprawy wydajności systemu Windows. Jednak może to być również przydatne w praktykach forensycznych.
Uruchom regedit
Wybierz ścieżkę pliku HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
Kliknij prawym przyciskiem myszy na EnablePrefetcher i EnableSuperfetch
Wybierz Modyfikuj dla każdego z nich, aby zmienić wartość z 1 (lub 3) na 0
Uruchom ponownie
Kiedy folder jest otwierany z woluminu NTFS na serwerze Windows NT, system zajmuje czas na aktualizację pola znacznika czasu dla każdego wymienionego folderu, nazywanego czasem ostatniego dostępu. Na mocno używanym woluminie NTFS może to wpływać na wydajność.
Otwórz Edytor Rejestru (Regedit.exe).
Przejdź do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
Poszukaj NtfsDisableLastAccessUpdate. Jeśli nie istnieje, dodaj ten DWORD i ustaw jego wartość na 1, co wyłączy ten proces.
Zamknij Edytor Rejestru i uruchom ponownie serwer.
Wszystkie Wpisy Urządzeń USB są przechowywane w Rejestrze Windows pod kluczem USBSTOR, który zawiera podklucze tworzone za każdym razem, gdy podłączasz urządzenie USB do swojego komputera lub laptopa. Możesz znaleźć ten klucz tutaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Usunięcie tego spowoduje usunięcie historii USB.
Możesz również użyć narzędzia USBDeview, aby upewnić się, że je usunąłeś (i aby je usunąć).
Innym plikiem, który zapisuje informacje o USB, jest plik setupapi.dev.log w C:\Windows\INF. Ten plik również powinien zostać usunięty.
Wylistuj kopie cieni za pomocą vssadmin list shadowstorage
Usuń je, uruchamiając vssadmin delete shadow
Możesz również usunąć je za pomocą GUI, postępując zgodnie z krokami opisanymi w https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html
Aby wyłączyć kopie cieni kroki stąd:
Otwórz program Usługi, wpisując "usługi" w polu wyszukiwania tekstowego po kliknięciu przycisku start w Windows.
Z listy znajdź "Kopia Cienia Woluminu", wybierz ją, a następnie uzyskaj dostęp do Właściwości, klikając prawym przyciskiem myszy.
Wybierz Wyłączone z rozwijanego menu "Typ uruchomienia", a następnie potwierdź zmianę, klikając Zastosuj i OK.
Możliwe jest również modyfikowanie konfiguracji, które pliki będą kopiowane w kopii cienia w rejestrze HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
Możesz użyć narzędzia Windows: cipher /w:C To polecenie wskaże cipherowi, aby usunął wszelkie dane z dostępnej nieużywanej przestrzeni dyskowej w dysku C.
Możesz również użyć narzędzi takich jak Eraser
Windows + R --> eventvwr.msc --> Rozwiń "Dzienniki Windows" --> Kliknij prawym przyciskiem myszy na każdą kategorię i wybierz "Wyczyść dziennik"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
W sekcji usług wyłącz usługę "Dziennik Zdarzeń Windows"
WEvtUtil.exec clear-log lub WEvtUtil.exe cl
fsutil usn deletejournal /d c:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
