Anti-Forensic Techniques
Last updated
Last updated
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Mshambuliaji anaweza kuwa na hamu ya kubadilisha wakati wa faili ili kuepuka kugunduliwa.
Inawezekana kupata wakati ndani ya MFT katika sifa $STANDARD_INFORMATION
__ na __ $FILE_NAME
.
Sifa zote zina wakati 4: Mabadiliko, ufikiaji, kuundwa, na mabadiliko ya rejista ya MFT (MACE au MACB).
Windows explorer na zana nyingine zinaonyesha taarifa kutoka $STANDARD_INFORMATION
.
Zana hii inabadilisha taarifa za wakati ndani ya $STANDARD_INFORMATION
lakini sio taarifa ndani ya $FILE_NAME
. Hivyo, inawezekana kutambua shughuli za kutatanisha.
USN Journal (Journali ya Nambari ya Mfululizo wa Sasisho) ni kipengele cha NTFS (mfumo wa faili wa Windows NT) ambacho kinashughulikia mabadiliko ya kiasi. Zana ya UsnJrnl2Csv inaruhusu uchambuzi wa mabadiliko haya.
Picha ya awali ni matokeo yanayoonyeshwa na zana ambapo inaonekana kwamba baadhi ya mabadiliko yalifanywa kwa faili.
Mabadiliko yote ya metadata kwa mfumo wa faili yanarekodiwa katika mchakato unaojulikana kama kuandika kabla ya kurekodi. Metadata iliyorekodiwa inahifadhiwa katika faili inayoitwa **$LogFile**
, iliyoko katika saraka ya mzizi ya mfumo wa faili wa NTFS. Zana kama LogFileParser zinaweza kutumika kuchambua faili hii na kutambua mabadiliko.
Tena, katika matokeo ya zana inawezekana kuona kwamba baadhi ya mabadiliko yalifanywa.
Kwa kutumia zana hiyo hiyo inawezekana kutambua ni wakati gani wakati ulipobadilishwa:
CTIME: Wakati wa kuundwa wa faili
ATIME: Wakati wa mabadiliko ya faili
MTIME: Mabadiliko ya rejista ya MFT ya faili
RTIME: Wakati wa ufikiaji wa faili
$STANDARD_INFORMATION
na $FILE_NAME
Njia nyingine ya kutambua faili zilizobadilishwa kwa njia ya kutatanisha ingekuwa kulinganisha wakati kwenye sifa zote mbili kutafuta mismatch.
Wakati wa NTFS una usahihi wa nanoseconds 100. Hivyo, kupata faili zikiwa na wakati kama 2010-10-10 10:10:00.000:0000 ni ya kutatanisha sana.
Zana hii inaweza kubadilisha sifa zote mbili $STARNDAR_INFORMATION
na $FILE_NAME
. Hata hivyo, kuanzia Windows Vista, ni lazima kwa OS hai kubadilisha taarifa hii.
NFTS inatumia klasta na ukubwa wa taarifa wa chini. Hii inamaanisha kwamba ikiwa faili inachukua na klasta na nusu, nusu iliyobaki haitatumika kamwe hadi faili itakapofutwa. Hivyo, inawezekana kuficha data katika nafasi hii ya slack.
Kuna zana kama slacker zinazoruhusu kuficha data katika nafasi hii "iliyojificha". Hata hivyo, uchambuzi wa $logfile
na $usnjrnl
unaweza kuonyesha kwamba baadhi ya data iliongezwa:
Hivyo, inawezekana kurejesha nafasi ya slack kwa kutumia zana kama FTK Imager. Kumbuka kwamba aina hii ya zana inaweza kuhifadhi maudhui yaliyofichwa au hata yaliyosimbwa.
Hii ni zana ambayo it izima kompyuta ikiwa mabadiliko yoyote katika USB bandari yanagunduliwa. Njia moja ya kugundua hii ingekuwa kukagua michakato inayoendelea na kurejea kila script ya python inayotembea.
Distro hizi zina tekelezwa ndani ya kumbukumbu ya RAM. Njia pekee ya kuzitambua ni ikiwa mfumo wa faili wa NTFS umewekwa na ruhusa za kuandika. Ikiwa umewekwa tu na ruhusa za kusoma haitakuwa rahisi kugundua uvamizi.
https://github.com/Claudio-C/awesome-data-sanitization
Inawezekana kuzima mbinu kadhaa za kurekodi za windows ili kufanya uchunguzi wa forensics kuwa mgumu zaidi.
Hii ni funguo ya rejista inayoshikilia tarehe na saa wakati kila executable ilipokimbizwa na mtumiaji.
Kuzima UserAssist kunahitaji hatua mbili:
Weka funguo mbili za rejista, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs
na HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled
, zote kuwa sifuri ili kuashiria kwamba tunataka UserAssist izimwe.
Futa subtrees zako za rejista ambazo zinaonekana kama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>
.
Hii itahifadhi taarifa kuhusu programu zilizotekelezwa kwa lengo la kuboresha utendaji wa mfumo wa Windows. Hata hivyo, hii inaweza pia kuwa muhimu kwa mazoea ya forensics.
Tekeleza regedit
Chagua njia ya faili HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
Bonyeza kulia kwenye EnablePrefetcher
na EnableSuperfetch
Chagua Badilisha kwenye kila moja ya hizi kubadilisha thamani kutoka 1 (au 3) hadi 0
Anzisha upya
Wakati wowote folda inafunguliwa kutoka kiasi cha NTFS kwenye seva ya Windows NT, mfumo unachukua wakati wa kupdate uwanja wa wakati kwenye kila folda iliyoorodheshwa, inayoitwa wakati wa mwisho wa ufikiaji. Katika kiasi cha NTFS kinachotumiwa sana, hii inaweza kuathiri utendaji.
Fungua Mhariri wa Rejista (Regedit.exe).
Tembelea HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
.
Tafuta NtfsDisableLastAccessUpdate
. Ikiwa haipo, ongeza hii DWORD na weka thamani yake kuwa 1, ambayo itazima mchakato.
Funga Mhariri wa Rejista, na uanzishe upya seva.
Mingine yote ya USB Device Entries inahifadhiwa katika Rejista ya Windows Chini ya funguo ya USBSTOR ambayo ina funguo ndogo ambazo zinaundwa kila wakati unapoingiza Kifaa cha USB kwenye PC au Laptop yako. Unaweza kupata funguo hii hapa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
. Kufuta hii utafuta historia ya USB.
Unaweza pia kutumia zana USBDeview kuhakikisha umekifuta (na kufuta).
Faili nyingine inayohifadhi taarifa kuhusu USB ni faili setupapi.dev.log
ndani ya C:\Windows\INF
. Hii pia inapaswa kufutwa.
Orodhesha nakala za kivuli kwa vssadmin list shadowstorage
Futa kwa kuendesha vssadmin delete shadow
Unaweza pia kuzifuta kupitia GUI ukifuatia hatua zilizopendekezwa katika https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html
Ili kuzima nakala za kivuli hatua kutoka hapa:
Fungua programu za Huduma kwa kuandika "services" kwenye kisanduku cha kutafuta maandiko baada ya kubonyeza kitufe cha kuanzisha cha Windows.
Kutoka kwenye orodha, pata "Volume Shadow Copy", chagua, kisha upate Mali kwa kubonyeza kulia.
Chagua Zime kutoka kwenye orodha ya "Aina ya Kuanzisha", kisha thibitisha mabadiliko kwa kubonyeza Tumia na Sawa.
Pia inawezekana kubadilisha mipangilio ya faili zipi zitakazokopwa katika nakala ya kivuli katika rejista HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
Unaweza kutumia zana ya Windows: cipher /w:C
Hii itamwambia cipher kuondoa data yoyote kutoka kwa nafasi isiyotumika ya diski inayopatikana ndani ya diski ya C.
Unaweza pia kutumia zana kama Eraser
Windows + R --> eventvwr.msc --> Panua "Kumbukumbu za Windows" --> Bonyeza kulia kila kikundi na uchague "Futa Kumbukumbu"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
Ndani ya sehemu za huduma zima huduma "Windows Event Log"
WEvtUtil.exec clear-log
au WEvtUtil.exe cl
fsutil usn deletejournal /d c:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)