Anti-Forensic Techniques
टाइमस्टैम्प
एक हमलावर फाइलों के टाइमस्टैम्प को बदलने में रुचि रख सकता है ताकि उसे पकड़ा न जा सके।
MFT के अंदर $STANDARD_INFORMATION
__ और __ $FILE_NAME
में टाइमस्टैम्प मिलना संभव है।
दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: संशोधन, पहुँच, निर्माण, और MFT रजिस्ट्रि संशोधन (MACE या MACB)।
Windows एक्सप्लोरर और अन्य उपकरण $STANDARD_INFORMATION
से जानकारी दिखाते हैं।
टाइमस्टॉम्प - एंटी-फॉरेंसिक टूल
यह उपकरण $STANDARD_INFORMATION
के अंदर टाइमस्टैम्प जानकारी को संशोधित करता है लेकिन $FILE_NAME
के अंदर की जानकारी को नहीं। इसलिए, संदिग्ध गतिविधि को पहचानना संभव है।
Usnjrnl
USN जर्नल (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। UsnJrnl2Csv उपकरण इन परिवर्तनों की जांच करने की अनुमति देता है।
पिछली छवि उपकरण द्वारा दिखाया गया आउटपुट है जहाँ देखा जा सकता है कि कुछ परिवर्तन किए गए थे।
$LogFile
फाइल सिस्टम में सभी मेटाडेटा परिवर्तनों को लॉग किया जाता है जिसे write-ahead logging के रूप में जाना जाता है। लॉग की गई मेटाडेटा एक फ़ाइल में रखी जाती है जिसका नाम **$LogFile**
है, जो NTFS फ़ाइल प्रणाली के रूट निर्देशिका में स्थित है। LogFileParser जैसे उपकरण का उपयोग इस फ़ाइल को पार्स करने और परिवर्तनों की पहचान करने के लिए किया जा सकता है।
फिर से, उपकरण के आउटपुट में यह देखना संभव है कि कुछ परिवर्तन किए गए थे।
उसी उपकरण का उपयोग करके यह पहचानना संभव है कि कब टाइमस्टैम्प संशोधित किए गए थे:
CTIME: फ़ाइल का निर्माण समय
ATIME: फ़ाइल का संशोधन समय
MTIME: फ़ाइल का MFT रजिस्ट्रि संशोधन
RTIME: फ़ाइल का पहुँच समय
$STANDARD_INFORMATION
और $FILE_NAME
तुलना
$STANDARD_INFORMATION
और $FILE_NAME
तुलनासंदिग्ध संशोधित फ़ाइलों की पहचान करने का एक और तरीका दोनों विशेषताओं पर समय की तुलना करना है और असंगतियों की तलाश करना है।
नैनोसेकंड
NTFS टाइमस्टैम्प की सटीकता 100 नैनोसेकंड है। फिर, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें बहुत संदिग्ध हैं।
SetMace - एंटी-फॉरेंसिक टूल
यह उपकरण दोनों विशेषताओं $STARNDAR_INFORMATION
और $FILE_NAME
को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।
डेटा छिपाना
NFTS एक क्लस्टर और न्यूनतम जानकारी आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो बचा हुआ आधा कभी उपयोग नहीं होगा जब तक फ़ाइल को हटा नहीं दिया जाता। फिर, इस स्लैक स्पेस में डेटा छिपाना संभव है।
ऐसे उपकरण हैं जैसे स्लैकर जो इस "छिपे हुए" स्थान में डेटा छिपाने की अनुमति देते हैं। हालाँकि, $logfile
और $usnjrnl
का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:
फिर, FTK इमेजर जैसे उपकरणों का उपयोग करके स्लैक स्पेस को पुनर्प्राप्त करना संभव है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को ओब्स्क्यूरेट या यहां तक कि एन्क्रिप्ट कर सकते हैं।
UsbKill
यह एक उपकरण है जो USB पोर्ट में किसी भी परिवर्तन का पता लगाने पर कंप्यूटर को बंद कर देगा। इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं की जांच करना और प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना है।
लाइव लिनक्स वितरण
ये डिस्ट्रीब्यूशन RAM मेमोरी के अंदर निष्पादित होते हैं। इन्हें केवल तभी पहचानना संभव है जब NTFS फ़ाइल सिस्टम को लिखने की अनुमति के साथ माउंट किया गया हो। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।
सुरक्षित हटाना
https://github.com/Claudio-C/awesome-data-sanitization
Windows कॉन्फ़िगरेशन
फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई विंडोज़ लॉगिंग विधियों को बंद करना संभव है।
टाइमस्टैम्प बंद करें - UserAssist
यह एक रजिस्ट्री कुंजी है जो उपयोगकर्ता द्वारा चलाए गए प्रत्येक निष्पादन योग्य की तारीखों और घंटों को बनाए रखती है।
UserAssist को बंद करने के लिए दो चरणों की आवश्यकता होती है:
दो रजिस्ट्री कुंजियाँ सेट करें,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs
औरHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled
, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को बंद करना चाहते हैं।अपनी रजिस्ट्री उप-ट्रीज़ को साफ़ करें जो
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>
की तरह दिखती हैं।
टाइमस्टैम्प बंद करें - Prefetch
यह उन अनुप्रयोगों के बारे में जानकारी को सहेजता है जो प्रदर्शन में सुधार के लक्ष्य के साथ निष्पादित होते हैं। हालाँकि, यह फॉरेंसिक प्रथाओं के लिए भी उपयोगी हो सकता है।
regedit
निष्पादित करेंफ़ाइल पथ का चयन करें
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
दोनों
EnablePrefetcher
औरEnableSuperfetch
पर राइट-क्लिक करेंप्रत्येक पर संशोधित करें ताकि मान 1 (या 3) से 0 में बदल जाए
पुनः प्रारंभ करें
टाइमस्टैम्प बंद करें - अंतिम पहुँच समय
जब भी एक फ़ोल्डर NTFS वॉल्यूम से Windows NT सर्वर पर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर एक टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।
रजिस्ट्री संपादक (Regedit.exe) खोलें।
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
पर जाएँ।NtfsDisableLastAccessUpdate
की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को बंद कर देगा।रजिस्ट्री संपादक बंद करें, और सर्वर को पुनः प्रारंभ करें।
USB इतिहास हटाएँ
सभी USB डिवाइस प्रविष्टियाँ Windows रजिस्ट्री में USBSTOR रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने पीसी या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
। इसे हटाने से आप USB इतिहास हटा देंगे।
आप यह सुनिश्चित करने के लिए USBDeview उपकरण का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।
एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह फ़ाइल setupapi.dev.log
है जो C:\Windows\INF
के अंदर है। इसे भी हटाया जाना चाहिए।
शैडो कॉपीज़ बंद करें
शैडो कॉपीज़ की सूची बनाएं vssadmin list shadowstorage
इन्हें हटाएँ vssadmin delete shadow
चलाकर
आप GUI के माध्यम से भी इन्हें हटा सकते हैं https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html में प्रस्तावित चरणों का पालन करके।
शैडो कॉपीज़ को बंद करने के लिए यहाँ से चरण:
Windows स्टार्ट बटन पर क्लिक करने के बाद टेक्स्ट सर्च बॉक्स में "services" टाइप करके सेवाएँ प्रोग्राम खोलें।
सूची से "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएँ।
"Startup type" ड्रॉप-डाउन मेनू से Disabled चुनें, और फिर Apply और OK पर क्लिक करके परिवर्तन की पुष्टि करें।
यह भी संभव है कि रजिस्ट्री HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
में शैडो कॉपी में कॉपी किए जाने वाले फ़ाइलों की कॉन्फ़िगरेशन को संशोधित किया जाए।
हटाई गई फ़ाइलों को ओवरराइट करें
आप एक Windows उपकरण का उपयोग कर सकते हैं:
cipher /w:C
यह सिफारिश करेगा कि सिफर C ड्राइव के अंदर उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटा दे।आप Eraser जैसे उपकरणों का भी उपयोग कर सकते हैं।
Windows इवेंट लॉग हटाएँ
Windows + R --> eventvwr.msc --> "Windows Logs" का विस्तार करें --> प्रत्येक श्रेणी पर राइट-क्लिक करें और "Clear Log" चुनें
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
Windows इवेंट लॉग बंद करें
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को बंद करें
WEvtUtil.exec clear-log
याWEvtUtil.exe cl
$UsnJrnl बंद करें
fsutil usn deletejournal /d c:
Last updated