Hindi - Ht

Anti-Forensic Techniques

HackTricks का समर्थन करें

टाइमस्टैम्प

एक हमलावर फाइलों के टाइमस्टैम्प को बदलने में रुचि रख सकता है ताकि उसे पकड़ा न जा सके। MFT के अंदर $STANDARD_INFORMATION __ और __ $FILE_NAME में टाइमस्टैम्प मिलना संभव है।

दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: संशोधन, पहुँच, निर्माण, और MFT रजिस्ट्रि संशोधन (MACE या MACB)।

Windows एक्सप्लोरर और अन्य उपकरण $STANDARD_INFORMATION से जानकारी दिखाते हैं।

टाइमस्टॉम्प - एंटी-फॉरेंसिक टूल

यह उपकरण $STANDARD_INFORMATION के अंदर टाइमस्टैम्प जानकारी को संशोधित करता है लेकिन $FILE_NAME के अंदर की जानकारी को नहीं। इसलिए, संदिग्ध गतिविधि को पहचानना संभव है।

Usnjrnl

USN जर्नल (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। UsnJrnl2Csv उपकरण इन परिवर्तनों की जांच करने की अनुमति देता है।

पिछली छवि उपकरण द्वारा दिखाया गया आउटपुट है जहाँ देखा जा सकता है कि कुछ परिवर्तन किए गए थे।

$LogFile

फाइल सिस्टम में सभी मेटाडेटा परिवर्तनों को लॉग किया जाता है जिसे write-ahead logging के रूप में जाना जाता है। लॉग की गई मेटाडेटा एक फ़ाइल में रखी जाती है जिसका नाम **$LogFile** है, जो NTFS फ़ाइल प्रणाली के रूट निर्देशिका में स्थित है। LogFileParser जैसे उपकरण का उपयोग इस फ़ाइल को पार्स करने और परिवर्तनों की पहचान करने के लिए किया जा सकता है।

फिर से, उपकरण के आउटपुट में यह देखना संभव है कि कुछ परिवर्तन किए गए थे।

उसी उपकरण का उपयोग करके यह पहचानना संभव है कि कब टाइमस्टैम्प संशोधित किए गए थे:

  • CTIME: फ़ाइल का निर्माण समय

  • ATIME: फ़ाइल का संशोधन समय

  • MTIME: फ़ाइल का MFT रजिस्ट्रि संशोधन

  • RTIME: फ़ाइल का पहुँच समय

$STANDARD_INFORMATION और $FILE_NAME तुलना

संदिग्ध संशोधित फ़ाइलों की पहचान करने का एक और तरीका दोनों विशेषताओं पर समय की तुलना करना है और असंगतियों की तलाश करना है।

नैनोसेकंड

NTFS टाइमस्टैम्प की सटीकता 100 नैनोसेकंड है। फिर, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें बहुत संदिग्ध हैं।

SetMace - एंटी-फॉरेंसिक टूल

यह उपकरण दोनों विशेषताओं $STARNDAR_INFORMATION और $FILE_NAME को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।

डेटा छिपाना

NFTS एक क्लस्टर और न्यूनतम जानकारी आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो बचा हुआ आधा कभी उपयोग नहीं होगा जब तक फ़ाइल को हटा नहीं दिया जाता। फिर, इस स्लैक स्पेस में डेटा छिपाना संभव है

ऐसे उपकरण हैं जैसे स्लैकर जो इस "छिपे हुए" स्थान में डेटा छिपाने की अनुमति देते हैं। हालाँकि, $logfile और $usnjrnl का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:

फिर, FTK इमेजर जैसे उपकरणों का उपयोग करके स्लैक स्पेस को पुनर्प्राप्त करना संभव है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को ओब्स्क्यूरेट या यहां तक कि एन्क्रिप्ट कर सकते हैं।

UsbKill

यह एक उपकरण है जो USB पोर्ट में किसी भी परिवर्तन का पता लगाने पर कंप्यूटर को बंद कर देगा। इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं की जांच करना और प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना है।

लाइव लिनक्स वितरण

ये डिस्ट्रीब्यूशन RAM मेमोरी के अंदर निष्पादित होते हैं। इन्हें केवल तभी पहचानना संभव है जब NTFS फ़ाइल सिस्टम को लिखने की अनुमति के साथ माउंट किया गया हो। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।

सुरक्षित हटाना

https://github.com/Claudio-C/awesome-data-sanitization

Windows कॉन्फ़िगरेशन

फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई विंडोज़ लॉगिंग विधियों को बंद करना संभव है।

टाइमस्टैम्प बंद करें - UserAssist

यह एक रजिस्ट्री कुंजी है जो उपयोगकर्ता द्वारा चलाए गए प्रत्येक निष्पादन योग्य की तारीखों और घंटों को बनाए रखती है।

UserAssist को बंद करने के लिए दो चरणों की आवश्यकता होती है:

  1. दो रजिस्ट्री कुंजियाँ सेट करें, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs और HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को बंद करना चाहते हैं।

  2. अपनी रजिस्ट्री उप-ट्रीज़ को साफ़ करें जो HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash> की तरह दिखती हैं।

टाइमस्टैम्प बंद करें - Prefetch

यह उन अनुप्रयोगों के बारे में जानकारी को सहेजता है जो प्रदर्शन में सुधार के लक्ष्य के साथ निष्पादित होते हैं। हालाँकि, यह फॉरेंसिक प्रथाओं के लिए भी उपयोगी हो सकता है।

  • regedit निष्पादित करें

  • फ़ाइल पथ का चयन करें HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters

  • दोनों EnablePrefetcher और EnableSuperfetch पर राइट-क्लिक करें

  • प्रत्येक पर संशोधित करें ताकि मान 1 (या 3) से 0 में बदल जाए

  • पुनः प्रारंभ करें

टाइमस्टैम्प बंद करें - अंतिम पहुँच समय

जब भी एक फ़ोल्डर NTFS वॉल्यूम से Windows NT सर्वर पर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर एक टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।

  1. रजिस्ट्री संपादक (Regedit.exe) खोलें।

  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem पर जाएँ।

  3. NtfsDisableLastAccessUpdate की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को बंद कर देगा।

  4. रजिस्ट्री संपादक बंद करें, और सर्वर को पुनः प्रारंभ करें।

USB इतिहास हटाएँ

सभी USB डिवाइस प्रविष्टियाँ Windows रजिस्ट्री में USBSTOR रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने पीसी या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTORइसे हटाने से आप USB इतिहास हटा देंगे। आप यह सुनिश्चित करने के लिए USBDeview उपकरण का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।

एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह फ़ाइल setupapi.dev.log है जो C:\Windows\INF के अंदर है। इसे भी हटाया जाना चाहिए।

शैडो कॉपीज़ बंद करें

शैडो कॉपीज़ की सूची बनाएं vssadmin list shadowstorage इन्हें हटाएँ vssadmin delete shadow चलाकर

आप GUI के माध्यम से भी इन्हें हटा सकते हैं https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html में प्रस्तावित चरणों का पालन करके।

शैडो कॉपीज़ को बंद करने के लिए यहाँ से चरण:

  1. Windows स्टार्ट बटन पर क्लिक करने के बाद टेक्स्ट सर्च बॉक्स में "services" टाइप करके सेवाएँ प्रोग्राम खोलें।

  2. सूची से "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएँ।

  3. "Startup type" ड्रॉप-डाउन मेनू से Disabled चुनें, और फिर Apply और OK पर क्लिक करके परिवर्तन की पुष्टि करें।

यह भी संभव है कि रजिस्ट्री HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot में शैडो कॉपी में कॉपी किए जाने वाले फ़ाइलों की कॉन्फ़िगरेशन को संशोधित किया जाए।

हटाई गई फ़ाइलों को ओवरराइट करें

  • आप एक Windows उपकरण का उपयोग कर सकते हैं: cipher /w:C यह सिफारिश करेगा कि सिफर C ड्राइव के अंदर उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटा दे।

  • आप Eraser जैसे उपकरणों का भी उपयोग कर सकते हैं।

Windows इवेंट लॉग हटाएँ

  • Windows + R --> eventvwr.msc --> "Windows Logs" का विस्तार करें --> प्रत्येक श्रेणी पर राइट-क्लिक करें और "Clear Log" चुनें

  • for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

  • Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Windows इवेंट लॉग बंद करें

  • reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f

  • सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को बंद करें

  • WEvtUtil.exec clear-log या WEvtUtil.exe cl

$UsnJrnl बंद करें

  • fsutil usn deletejournal /d c:

HackTricks का समर्थन करें
PreviousBaseline MonitoringNextDocker Forensics

Last updated