Anti-Forensic Techniques

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Wakati

Mshambuliaji anaweza kuwa na hamu ya kubadilisha wakati wa faili ili kuepuka kugunduliwa. Inawezekana kupata wakati ndani ya MFT katika sifa $STANDARD_INFORMATION __ na __ $FILE_NAME.

Sifa zote zina wakati 4: Mabadiliko, ufikiaji, kuundwa, na mabadiliko ya rejista ya MFT (MACE au MACB).

Windows explorer na zana nyingine zinaonyesha taarifa kutoka $STANDARD_INFORMATION.

TimeStomp - Zana ya Anti-forensic

Zana hii inabadilisha taarifa za wakati ndani ya $STANDARD_INFORMATION lakini sio taarifa ndani ya $FILE_NAME. Hivyo, inawezekana kutambua shughuli za kutatanisha.

Usnjrnl

USN Journal (Journali ya Nambari ya Mfululizo wa Sasisho) ni kipengele cha NTFS (mfumo wa faili wa Windows NT) ambacho kinashughulikia mabadiliko ya kiasi. Zana ya UsnJrnl2Csv inaruhusu uchambuzi wa mabadiliko haya.

Picha ya awali ni matokeo yanayoonyeshwa na zana ambapo inaonekana kwamba baadhi ya mabadiliko yalifanywa kwa faili.

$LogFile

Mabadiliko yote ya metadata kwa mfumo wa faili yanarekodiwa katika mchakato unaojulikana kama kuandika kabla ya kurekodi. Metadata iliyorekodiwa inahifadhiwa katika faili inayoitwa **$LogFile**, iliyoko katika saraka ya mzizi ya mfumo wa faili wa NTFS. Zana kama LogFileParser zinaweza kutumika kuchambua faili hii na kutambua mabadiliko.

Tena, katika matokeo ya zana inawezekana kuona kwamba baadhi ya mabadiliko yalifanywa.

Kwa kutumia zana hiyo hiyo inawezekana kutambua ni wakati gani wakati ulipobadilishwa:

CTIME: Wakati wa kuundwa wa faili
ATIME: Wakati wa mabadiliko ya faili
MTIME: Mabadiliko ya rejista ya MFT ya faili
RTIME: Wakati wa ufikiaji wa faili

Ulinganisho wa `$STANDARD_INFORMATION` na `$FILE_NAME`

Njia nyingine ya kutambua faili zilizobadilishwa kwa njia ya kutatanisha ingekuwa kulinganisha wakati kwenye sifa zote mbili kutafuta mismatch.

Nanoseconds

Wakati wa NTFS una usahihi wa nanoseconds 100. Hivyo, kupata faili zikiwa na wakati kama 2010-10-10 10:10:00.000:0000 ni ya kutatanisha sana.

SetMace - Zana ya Anti-forensic

Zana hii inaweza kubadilisha sifa zote mbili $STARNDAR_INFORMATION na $FILE_NAME. Hata hivyo, kuanzia Windows Vista, ni lazima kwa OS hai kubadilisha taarifa hii.

Kuficha Data

NFTS inatumia klasta na ukubwa wa taarifa wa chini. Hii inamaanisha kwamba ikiwa faili inachukua na klasta na nusu, nusu iliyobaki haitatumika kamwe hadi faili itakapofutwa. Hivyo, inawezekana kuficha data katika nafasi hii ya slack.

Kuna zana kama slacker zinazoruhusu kuficha data katika nafasi hii "iliyojificha". Hata hivyo, uchambuzi wa $logfile na $usnjrnl unaweza kuonyesha kwamba baadhi ya data iliongezwa:

Hivyo, inawezekana kurejesha nafasi ya slack kwa kutumia zana kama FTK Imager. Kumbuka kwamba aina hii ya zana inaweza kuhifadhi maudhui yaliyofichwa au hata yaliyosimbwa.

UsbKill

Hii ni zana ambayo it izima kompyuta ikiwa mabadiliko yoyote katika USB bandari yanagunduliwa. Njia moja ya kugundua hii ingekuwa kukagua michakato inayoendelea na kurejea kila script ya python inayotembea.

Usambazaji wa Linux Hai

Distro hizi zina tekelezwa ndani ya kumbukumbu ya RAM. Njia pekee ya kuzitambua ni ikiwa mfumo wa faili wa NTFS umewekwa na ruhusa za kuandika. Ikiwa umewekwa tu na ruhusa za kusoma haitakuwa rahisi kugundua uvamizi.

Kufuta Salama

https://github.com/Claudio-C/awesome-data-sanitization

Mipangilio ya Windows

Inawezekana kuzima mbinu kadhaa za kurekodi za windows ili kufanya uchunguzi wa forensics kuwa mgumu zaidi.

Zima Wakati - UserAssist

Hii ni funguo ya rejista inayoshikilia tarehe na saa wakati kila executable ilipokimbizwa na mtumiaji.

Kuzima UserAssist kunahitaji hatua mbili:

Weka funguo mbili za rejista, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs na HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, zote kuwa sifuri ili kuashiria kwamba tunataka UserAssist izimwe.
Futa subtrees zako za rejista ambazo zinaonekana kama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>.

Zima Wakati - Prefetch

Hii itahifadhi taarifa kuhusu programu zilizotekelezwa kwa lengo la kuboresha utendaji wa mfumo wa Windows. Hata hivyo, hii inaweza pia kuwa muhimu kwa mazoea ya forensics.

Tekeleza regedit
Chagua njia ya faili HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
Bonyeza kulia kwenye EnablePrefetcher na EnableSuperfetch
Chagua Badilisha kwenye kila moja ya hizi kubadilisha thamani kutoka 1 (au 3) hadi 0
Anzisha upya

Zima Wakati - Wakati wa Mwisho wa Ufikiaji

Wakati wowote folda inafunguliwa kutoka kiasi cha NTFS kwenye seva ya Windows NT, mfumo unachukua wakati wa kupdate uwanja wa wakati kwenye kila folda iliyoorodheshwa, inayoitwa wakati wa mwisho wa ufikiaji. Katika kiasi cha NTFS kinachotumiwa sana, hii inaweza kuathiri utendaji.

Fungua Mhariri wa Rejista (Regedit.exe).
Tembelea HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
Tafuta NtfsDisableLastAccessUpdate. Ikiwa haipo, ongeza hii DWORD na weka thamani yake kuwa 1, ambayo itazima mchakato.
Funga Mhariri wa Rejista, na uanzishe upya seva.

Futa Historia ya USB

Mingine yote ya USB Device Entries inahifadhiwa katika Rejista ya Windows Chini ya funguo ya USBSTOR ambayo ina funguo ndogo ambazo zinaundwa kila wakati unapoingiza Kifaa cha USB kwenye PC au Laptop yako. Unaweza kupata funguo hii hapa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Kufuta hii utafuta historia ya USB. Unaweza pia kutumia zana USBDeview kuhakikisha umekifuta (na kufuta).

Faili nyingine inayohifadhi taarifa kuhusu USB ni faili setupapi.dev.log ndani ya C:\Windows\INF. Hii pia inapaswa kufutwa.

Zima Nakala za Kivuli

Orodhesha nakala za kivuli kwa vssadmin list shadowstorage Futa kwa kuendesha vssadmin delete shadow

Unaweza pia kuzifuta kupitia GUI ukifuatia hatua zilizopendekezwa katika https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html

Ili kuzima nakala za kivuli hatua kutoka hapa:

Fungua programu za Huduma kwa kuandika "services" kwenye kisanduku cha kutafuta maandiko baada ya kubonyeza kitufe cha kuanzisha cha Windows.
Kutoka kwenye orodha, pata "Volume Shadow Copy", chagua, kisha upate Mali kwa kubonyeza kulia.
Chagua Zime kutoka kwenye orodha ya "Aina ya Kuanzisha", kisha thibitisha mabadiliko kwa kubonyeza Tumia na Sawa.

Pia inawezekana kubadilisha mipangilio ya faili zipi zitakazokopwa katika nakala ya kivuli katika rejista HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Andika tena faili zilizofutwa

Unaweza kutumia zana ya Windows: cipher /w:C Hii itamwambia cipher kuondoa data yoyote kutoka kwa nafasi isiyotumika ya diski inayopatikana ndani ya diski ya C.
Unaweza pia kutumia zana kama Eraser

Futa kumbukumbu za matukio ya Windows

Windows + R --> eventvwr.msc --> Panua "Kumbukumbu za Windows" --> Bonyeza kulia kila kikundi na uchague "Futa Kumbukumbu"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Zima kumbukumbu za matukio ya Windows

reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
Ndani ya sehemu za huduma zima huduma "Windows Event Log"
WEvtUtil.exec clear-log au WEvtUtil.exe cl