Anti-Forensic Techniques
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bir saldırgan, dosyaların zaman damgalarını değiştirmeye ilgi duyabilir.
Zaman damgalarını, $STANDARD_INFORMATION __ ve __ $FILE_NAME özniteliklerinde MFT içinde bulmak mümkündür.
Her iki öznitelik de 4 zaman damgası içerir: Değiştirme, erişim, oluşturma ve MFT kayıt değişikliği (MACE veya MACB).
Windows Gezgini ve diğer araçlar, $STANDARD_INFORMATION içindeki bilgileri gösterir.
Bu araç, $STANDARD_INFORMATION içindeki zaman damgası bilgilerini değiştirir ancak $FILE_NAME içindeki bilgileri değiştirmez. Bu nedenle, şüpheli etkinlikleri belirlemek mümkündür.
USN Journal (Güncelleme Sırası Numarası Günlüğü), NTFS'nin (Windows NT dosya sistemi) bir özelliğidir ve hacim değişikliklerini takip eder. UsnJrnl2Csv aracı, bu değişikliklerin incelenmesine olanak tanır.
Önceki resim, dosya üzerinde bazı değişikliklerin yapıldığını gözlemleyebileceğimiz aracın gösterdiği çıktıdır.
Bir dosya sistemine yapılan tüm meta veri değişiklikleri, ön yazma günlüğü olarak bilinen bir süreçte kaydedilir. Kaydedilen meta veriler, NTFS dosya sisteminin kök dizininde bulunan **$LogFile** adlı bir dosyada tutulur. LogFileParser gibi araçlar, bu dosyayı ayrıştırmak ve değişiklikleri belirlemek için kullanılabilir.
Yine, aracın çıktısında bazı değişikliklerin yapıldığını görmek mümkündür.
Aynı aracı kullanarak, zaman damgalarının ne zaman değiştirildiğini belirlemek mümkündür:
CTIME: Dosyanın oluşturulma zamanı
ATIME: Dosyanın değiştirilme zamanı
MTIME: Dosyanın MFT kayıt değişikliği
RTIME: Dosyanın erişim zamanı
$STANDARD_INFORMATION ve $FILE_NAME karşılaştırmasıŞüpheli değiştirilmiş dosyaları belirlemenin bir diğer yolu, her iki öznitelikteki zamanı karşılaştırarak uyumsuzluklar aramaktır.
NTFS zaman damgalarının kesinliği 100 nanosecond'dir. Bu nedenle, 2010-10-10 10:10:**00.000:0000 gibi zaman damgalarına sahip dosyaları bulmak çok şüphelidir.
Bu araç, hem $STARNDAR_INFORMATION hem de $FILE_NAME özniteliklerini değiştirebilir. Ancak, Windows Vista'dan itibaren, bu bilgileri değiştirmek için canlı bir işletim sistemine ihtiyaç vardır.
NFTS, bir küme ve minimum bilgi boyutu kullanır. Bu, bir dosya bir küme ve yarım kullanıyorsa, kalan yarımın asla kullanılmayacağı anlamına gelir. Bu nedenle, bu boşlukta veri gizlemek mümkündür.
Slacker gibi, bu "gizli" alanda veri gizlemeye olanak tanıyan araçlar vardır. Ancak, $logfile ve $usnjrnl analizi, bazı verilerin eklendiğini gösterebilir:
Bu nedenle, FTK Imager gibi araçlar kullanarak boş alanı geri almak mümkündür. Bu tür araçların içeriği obfuscate veya hatta şifreli olarak kaydedebileceğini unutmayın.
Bu, herhangi bir USB portunda bir değişiklik algılandığında bilgisayarı kapatan bir araçtır. Bunu keşfetmenin bir yolu, çalışan süreçleri incelemek ve her bir çalışan python betiğini gözden geçirmektir.
Bu dağıtımlar, RAM belleği içinde çalıştırılır. Onları tespit etmenin tek yolu, NTFS dosya sisteminin yazma izinleriyle monte edilmesidir. Sadece okuma izinleriyle monte edilirse, ihlali tespit etmek mümkün olmayacaktır.
https://github.com/Claudio-C/awesome-data-sanitization
Adli soruşturmayı çok daha zor hale getirmek için birçok Windows günlüğü yöntemini devre dışı bırakmak mümkündür.
Bu, her çalıştırılan yürütülebilir dosyanın tarihlerini ve saatlerini tutan bir kayıt anahtarıdır.
UserAssist'i devre dışı bırakmak iki adım gerektirir:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs ve HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled adlı iki kayıt anahtarını sıfıra ayarlamak, UserAssist'in devre dışı bırakılmasını istediğimizi belirtir.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash> gibi görünen kayıt alt ağaçlarınızı temizleyin.
Bu, Windows sisteminin performansını artırmak amacıyla çalıştırılan uygulamalar hakkında bilgi kaydedecektir. Ancak, bu aynı zamanda adli uygulamalar için de faydalı olabilir.
regedit komutunu çalıştırın
Dosya yolunu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters olarak seçin
EnablePrefetcher ve EnableSuperfetch üzerinde sağ tıklayın
Her birinin değerini 1 (veya 3) yerine 0 olarak değiştirmek için Değiştir'i seçin
Yeniden başlatın
Bir NTFS hacminden bir klasör açıldığında, sistem her listedeki klasör için bir zaman damgası alanını güncellemek için zaman alır, bu alana son erişim zamanı denir. Yoğun kullanılan bir NTFS hacminde, bu performansı etkileyebilir.
Kayıt Defteri Düzenleyicisini (Regedit.exe) açın.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem yoluna gidin.
NtfsDisableLastAccessUpdate anahtarını arayın. Eğer yoksa, bu DWORD'u ekleyin ve değerini 1 olarak ayarlayın, bu işlem sürecini devre dışı bırakacaktır.
Kayıt Defteri Düzenleyicisini kapatın ve sunucuyu yeniden başlatın.
Tüm USB Aygıt Girişleri, bir USB Aygıtını PC veya Dizüstü Bilgisayarınıza taktığınızda oluşturulan alt anahtarları içeren USBSTOR kayıt anahtarı altında Windows Kayıt Defteri'nde saklanır. Bu anahtarı burada bulabilirsiniz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Bunu silerek USB geçmişini sileceksiniz.
Ayrıca, bunları sildiğinizden emin olmak için USBDeview aracını kullanabilirsiniz (ve silmek için).
USB'ler hakkında bilgi kaydeden bir diğer dosya, C:\Windows\INF içindeki setupapi.dev.log dosyasıdır. Bu dosya da silinmelidir.
Gölge kopyalarını listele: vssadmin list shadowstorage
Sil: vssadmin delete shadow
Ayrıca, https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html adresinde önerilen adımları izleyerek GUI üzerinden de silebilirsiniz.
Gölge kopyalarını devre dışı bırakmak için buradaki adımları izleyebilirsiniz:
Windows başlat düğmesine tıkladıktan sonra metin arama kutusuna "services" yazarak Hizmetler programını açın.
Listeden "Volume Shadow Copy"yi bulun, seçin ve sağ tıklayarak Özellikler'e erişin.
"Başlangıç türü" açılır menüsünden Devre Dışı seçeneğini seçin ve ardından değişikliği onaylamak için Uygula ve Tamam'a tıklayın.
Hangi dosyaların gölge kopyasında kopyalanacağını yapılandırmayı da kayıt defterinde HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot ile değiştirmek mümkündür.
Windows aracı kullanabilirsiniz: cipher /w:C Bu, şifreleme aracına C sürücüsündeki kullanılmayan disk alanından herhangi bir veriyi kaldırmasını belirtir.
Ayrıca, Eraser gibi araçlar da kullanabilirsiniz.
Windows + R --> eventvwr.msc --> "Windows Günlükleri"ni genişletin --> Her kategoriye sağ tıklayın ve "Günlüğü Temizle" seçeneğini seçin
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
Hizmetler bölümünde "Windows Olay Günlüğü" hizmetini devre dışı bırakın
WEvtUtil.exec clear-log veya WEvtUtil.exe cl
fsutil usn deletejournal /d c:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
