Anti-Forensic Techniques
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
攻击者可能会对更改文件的时间戳感兴趣,以避免被检测。
可以在 MFT 中的属性 $STANDARD_INFORMATION
__ 和 __ $FILE_NAME
中找到时间戳。
这两个属性都有 4 个时间戳:修改、访问、创建和 MFT 注册修改(MACE 或 MACB)。
Windows 资源管理器和其他工具显示来自 $STANDARD_INFORMATION
的信息。
该工具修改 $STANDARD_INFORMATION
中的时间戳信息但不修改 $FILE_NAME
中的信息。因此,可以识别** 可疑 活动。
USN 日志(更新序列号日志)是 NTFS(Windows NT 文件系统)的一个特性,用于跟踪卷更改。 UsnJrnl2Csv 工具允许检查这些更改。
上图是工具显示的输出,可以观察到对文件进行了某些更改。
对文件系统的所有元数据更改都被记录在一个称为 写前日志 的过程中。记录的元数据保存在名为 **$LogFile**
的文件中,该文件位于 NTFS 文件系统的根目录。可以使用 LogFileParser 等工具解析此文件并识别更改。
同样,在工具的输出中可以看到进行了某些更改。
使用同一工具可以识别时间戳被修改到哪个时间:
CTIME:文件的创建时间
ATIME:文件的修改时间
MTIME:文件的 MFT 注册修改
RTIME:文件的访问时间
$STANDARD_INFORMATION
和 $FILE_NAME
比较识别可疑修改文件的另一种方法是比较两个属性上的时间,寻找不匹配。
NTFS 时间戳的精度为100 纳秒。因此,找到时间戳如 2010-10-10 10:10:00.000:0000 的文件是非常可疑的。
该工具可以修改两个属性 $STARNDAR_INFORMATION
和 $FILE_NAME
。然而,从 Windows Vista 开始,必须在活动操作系统中才能修改此信息。
NFTS 使用集群和最小信息大小。这意味着如果一个文件占用一个半集群,剩余的一半将永远不会被使用,直到文件被删除。因此,可以在这个松弛空间中隐藏数据。
有像 slacker 这样的工具可以在这个“隐藏”空间中隐藏数据。然而,对 $logfile
和 $usnjrnl
的分析可以显示某些数据被添加:
然后,可以使用像 FTK Imager 这样的工具检索松弛空间。请注意,这种工具可以保存内容为模糊或甚至加密的形式。
这是一个工具,如果检测到 USB 端口的任何更改,将关闭计算机。 发现这一点的一种方法是检查正在运行的进程并审查每个正在运行的 python 脚本。
这些发行版在RAM内存中执行。检测它们的唯一方法是如果 NTFS 文件系统以写入权限挂载。如果仅以读取权限挂载,则无法检测到入侵。
https://github.com/Claudio-C/awesome-data-sanitization
可以禁用多种 Windows 日志记录方法,以使取证调查变得更加困难。
这是一个注册表项,维护用户运行每个可执行文件的日期和时间。
禁用 UserAssist 需要两个步骤:
设置两个注册表项,HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs
和 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled
,都设置为零,以表示我们希望禁用 UserAssist。
清除看起来像 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>
的注册表子树。
这将保存有关执行的应用程序的信息,目的是提高 Windows 系统的性能。然而,这对于取证实践也可能有用。
执行 regedit
选择文件路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
右键单击 EnablePrefetcher
和 EnableSuperfetch
选择修改,将每个值从 1(或 3)更改为 0
重启
每当从 NTFS 卷打开文件夹时,系统会花时间更新每个列出文件夹的时间戳字段,称为最后访问时间。在一个使用频繁的 NTFS 卷上,这可能会影响性能。
打开注册表编辑器 (Regedit.exe)。
浏览到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
。
查找 NtfsDisableLastAccessUpdate
。如果不存在,请添加此 DWORD 并将其值设置为 1,这将禁用该过程。
关闭注册表编辑器,并重启服务器。
所有USB 设备条目都存储在 Windows 注册表中的 USBSTOR 注册表项下,该项包含在您将 USB 设备插入 PC 或笔记本电脑时创建的子键。您可以在这里找到此键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
。删除此项将删除 USB 历史。
您还可以使用工具 USBDeview 确保您已删除它们(并删除它们)。
另一个保存 USB 信息的文件是 C:\Windows\INF
中的 setupapi.dev.log
。这也应该被删除。
列出影子副本使用 vssadmin list shadowstorage
删除它们运行 vssadmin delete shadow
您还可以通过 GUI 删除它们,按照 https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html 中提出的步骤进行操作。
要禁用影子副本,请参见 这里的步骤:
通过在单击 Windows 开始按钮后在文本搜索框中输入“services”打开服务程序。
从列表中找到“卷影复制”,选择它,然后通过右键单击访问属性。
从“启动类型”下拉菜单中选择“禁用”,然后通过单击“应用”和“确定”确认更改。
还可以在注册表 HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot
中修改将要在影子副本中复制的文件的配置。
您可以使用Windows 工具:cipher /w:C
这将指示 cipher 从 C 盘的可用未使用磁盘空间中删除任何数据。
您还可以使用像 Eraser 这样的工具。
Windows + R --> eventvwr.msc --> 展开“Windows 日志” --> 右键单击每个类别并选择“清除日志”
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
在服务部分禁用“Windows 事件日志”服务
WEvtUtil.exec clear-log
或 WEvtUtil.exe cl
fsutil usn deletejournal /d c:
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)