Anti-Forensic Techniques

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud στο github.

Χρονικές σημάνσεις

Ένας επιτιθέμενος μπορεί να ενδιαφέρεται να αλλάξει τις χρονικές σημάνσεις των αρχείων για να αποφύγει την ανίχνευσή του. Είναι δυνατόν να βρεθούν οι χρονικές σημάνσεις μέσα στο MFT στα χαρακτηριστικά $STANDARD_INFORMATION και __$FILE_NAME.

Και τα δύο χαρακτηριστικά έχουν 4 χρονικές σημάνσεις: Τροποποίηση, πρόσβαση, δημιουργία και τροποποίηση καταγραφής MFT (MACE ή MACB).

Ο Windows explorer και άλλα εργαλεία εμφανίζουν τις πληροφορίες από το $STANDARD_INFORMATION.

TimeStomp - Εργαλείο αντι-ανακριτικής

Αυτό το εργαλείο τροποποιεί τις πληροφορίες των χρονικών σημάνσεων μέσα στο $STANDARD_INFORMATION αλλά όχι τις πληροφορίες μέσα στο $FILE_NAME. Επομένως, είναι δυνατόν να ανιχνευθεί ύποπτη δραστηριότητα.

Usnjrnl

Το USN Journal (Update Sequence Number Journal) είναι μια λειτουργία του NTFS (σύστημα αρχείων Windows NT) που καταγράφει τις αλλαγές του όγκου. Το εργαλείο UsnJrnl2Csv επιτρέπει την εξέταση αυτών των αλλαγών.

Η προηγούμενη εικόνα είναι το αποτέλεσμα που εμφανίζεται από το εργαλείο όπου μπορεί να παρατηρηθεί ότι έγιναν κάποιες αλλαγές στο αρχείο.

$LogFile

Όλες οι αλλαγές μεταδεδομένων σε ένα σύστημα αρχείων καταγράφονται σε ένα διαδικασία που ονομάζεται write-ahead logging. Τα καταγεγραμμένα μεταδεδομένα κρατούνται σε ένα αρχείο με το όνομα **$LogFile**, που βρίσκεται στον ριζικό κατάλογο ενός συστήματος αρχείων NTFS. Εργαλεία όπως το LogFileParser μπορούν να χρησιμοποιηθούν για να αναλύσουν αυτό το αρχείο και να ανιχνεύσουν αλλαγές.

Και πάλι, στην έξοδο του εργαλείου είναι δυνατόν να δείτε ότι έγιναν κάποιες αλλαγές.

Χρησιμοποιώντας το ίδιο εργαλείο είναι δυνατόν να ανιχνευθεί σε ποια χρονική στιγμή τροποποιήθηκαν οι χρονικές σημάνσεις:

CTIME: Χρόνος δημιουργίας του αρχείου
ATIME: Χρόνος τροποποίησης του αρχείου
MTIME: Χρόνος τροποποίησης του μητρώου MFT του αρχείου
RTIME: Χρόνος πρόσβασης στο αρχείο

Σύγκριση `$STANDARD_INFORMATION` και `$FILE_NAME`

Ένας άλλος τ

Διαγραφή Ιστορικού USB

Όλες οι καταχωρήσεις συσκευών USB αποθηκεύονται στο Μητρώο των Windows κάτω από το κλειδί μητρώου USBSTOR, το οποίο περιέχει υποκλειδιά που δημιουργούνται κάθε φορά που συνδέετε μια συσκευή USB στον υπολογιστή ή το laptop σας. Μπορείτε να βρείτε αυτό το κλειδί εδώ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Διαγράφοντας αυτό, θα διαγράψετε το ιστορικό USB. Μπορείτε επίσης να χρησιμοποιήσετε το εργαλείο USBDeview για να είστε βέβαιοι ότι τα έχετε διαγράψει (και για να τα διαγράψετε).

Ένα άλλο αρχείο που αποθηκεύει πληροφορίες σχετικά με τις USB είναι το αρχείο setupapi.dev.log μέσα στο C:\Windows\INF. Αυτό πρέπει επίσης να διαγραφεί.

Απενεργοποίηση Αντιγράφων Σκιάς

Λίστα αντιγράφων σκιάς με την εντολή vssadmin list shadowstorage Διαγραφή τους με την εντολή vssadmin delete shadow

Μπορείτε επίσης να τα διαγράψετε μέσω του γραφικού περιβάλλοντος ακολουθώντας τα βήματα που προτείνονται στην https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html

Για να απενεργοποιήσετε τα αντίγραφα σκιάς βήματα από εδώ:

Ανοίξτε το πρόγραμμα Υπηρεσιών πληκτρολογώντας "services" στο πλαίσιο αναζήτησης κειμένου μετά από κλικ στο κουμπί Έναρξη των Windows.
Από τη λίστα, βρείτε την "Volume Shadow Copy", επιλέξτε την και στη συνέχεια αποκτήστε πρόσβαση στις Ιδιότητες κάνοντας δεξί κλικ.
Επιλέξτε την επιλογή "Disabled" από το αναπτυσσόμενο μενού "Τύπος εκκίνησης" και επιβεβαιώστε την αλλαγή κάνοντας κλικ στο Εφαρμογή και ΟΚ.

Είναι επίσης δυνατή η τροποποίηση της διαμόρφωσης των αρχείων που θα αντιγραφούν στο αντίγραφο σκιάς στο μητρώο HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Αντικατάσταση διαγραμμένων αρχείων

Μπορείτε να χρησιμοποιήσετε ένα εργαλείο των Windows: cipher /w:C Αυτό θα οδηγήσει το cipher να αφαιρέσει οποιαδήποτε δεδομένα από το διαθέσιμο αχρησιμοποίητο χώρο στον δίσκο C.
Μπορείτε επίσης να χρησιμοποιήσετε εργαλεία όπως το Eraser

Διαγραφή αρχείων καταγραφής συμβάντων των Windows

Windows + R --> eventvwr.msc --> Ανάπτυξη "Καταγραφές των Windows" --> Δεξί κλικ σε κάθε κατηγορία και επιλογή "Εκκαθάριση καταγραφής"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Απενεργοποίηση καταγραφής συμβάντων των Windows

reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
Εντός της ενότητας υπηρεσιών, απενεργοποιήστε την υπηρεσία "Windows Event Log"
WEvtUtil.exec clear-log ή WEvtUtil.exe cl

Απενεργοποίηση $UsnJrnl

fsutil usn deletejournal /d c:

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF Ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Συμμετάσχετε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα κόλπα σας για το hacking υποβάλλοντας PRs στα αποθετήρια του HackTricks και του HackTricks Cloud github.