Translated ['src/generic-methodologies-and-resources/basic-forensic-meth

2025-10-10 18:36:50 +00:00 · 2025-08-14 02:48:27 +00:00 · 2025-08-14 02:48:27 +00:00 · 91d4687e1a
commit 91d4687e1a
parent 902a3f9ab8
1 changed files with 109 additions and 44 deletions
--- a/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md
+++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md
@ -5,23 +5,23 @@
 ## टाइमस्टैम्प

 एक हमलावर **फाइलों के टाइमस्टैम्प को बदलने** में रुचि रख सकता है ताकि उसे पकड़ा न जा सके।\
-यह संभव है कि टाइमस्टैम्प को MFT के अंदर `$STANDARD_INFORMATION` \_\_ और \_\_ `$FILE_NAME` में पाया जा सके।
+यह संभव है कि MFT के अंदर `$STANDARD_INFORMATION` \_\_ और \_\_ `$FILE_NAME` में टाइमस्टैम्प पाए जाएं।

-दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: **संशोधन**, **पहुँच**, **निर्माण**, और **MFT रजिस्ट्र्री संशोधन** (MACE या MACB)।
+दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: **संशोधन**, **पहुँच**, **निर्माण**, और **MFT रजिस्ट्रि संशोधन** (MACE या MACB)।

 **Windows explorer** और अन्य उपकरण **`$STANDARD_INFORMATION`** से जानकारी दिखाते हैं।

-### TimeStomp - एंटी-फॉरेंसिक टूल
+### TimeStomp - एंटी-फॉरेंसिक उपकरण

-यह टूल **`$STANDARD_INFORMATION`** के अंदर टाइमस्टैम्प जानकारी को **संशोधित** करता है **लेकिन** **`$FILE_NAME`** के अंदर की जानकारी को **नहीं**। इसलिए, यह **संदिग्ध** **गतिविधि** को **पहचानने** के लिए संभव है।
+यह उपकरण **`$STANDARD_INFORMATION`** के अंदर टाइमस्टैम्प जानकारी को **संशोधित** करता है **लेकिन** **`$FILE_NAME`** के अंदर की जानकारी को **नहीं**। इसलिए, यह **संदिग्ध** **गतिविधि** को **पहचानना** संभव है।

 ### Usnjrnl

-**USN जर्नल** (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) टूल इन परिवर्तनों की जांच करने की अनुमति देता है।
+**USN जर्नल** (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। [**UsnJrnl2Csv**](https://github.com/jschicht/UsnJrnl2Csv) उपकरण इन परिवर्तनों की जांच करने की अनुमति देता है।

 ![](<../../images/image (801).png>)

-पिछली छवि **टूल** द्वारा दिखाया गया **आउटपुट** है जहाँ देखा जा सकता है कि कुछ **परिवर्तन किए गए** थे।
+पिछली छवि **उपकरण** द्वारा दिखाए गए **आउटपुट** है जहाँ देखा जा सकता है कि कुछ **परिवर्तन किए गए** थे।

 ### $LogFile

@ -29,15 +29,15 @@

 ![](<../../images/image (137).png>)

-फिर से, टूल के आउटपुट में यह देखना संभव है कि **कुछ परिवर्तन किए गए** थे।
+फिर से, उपकरण के आउटपुट में यह देखना संभव है कि **कुछ परिवर्तन किए गए** थे।

-उसी टूल का उपयोग करके यह पहचानना संभव है कि **कब टाइमस्टैम्प संशोधित किए गए** थे:
+उसी उपकरण का उपयोग करके यह पहचानना संभव है कि **कब टाइमस्टैम्प संशोधित किए गए** थे:

 ![](<../../images/image (1089).png>)

 - CTIME: फ़ाइल का निर्माण समय
 - ATIME: फ़ाइल का संशोधन समय
- MTIME: फ़ाइल का MFT रजिस्ट्र्री संशोधन
+- MTIME: फ़ाइल का MFT रजिस्ट्रि संशोधन
 - RTIME: फ़ाइल का पहुँच समय

 ### `$STANDARD_INFORMATION` और `$FILE_NAME` तुलना
@ -46,15 +46,15 @@

 ### नैनोसेकंड

-**NTFS** टाइमस्टैम्प की **सटीकता** **100 नैनोसेकंड** है। फिर, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें **बहुत संदिग्ध** हैं।
+**NTFS** टाइमस्टैम्प की **सटीकता** **100 नैनोसेकंड** है। इसलिए, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें **बहुत संदिग्ध** हैं।

-### SetMace - एंटी-फॉरेंसिक टूल
+### SetMace - एंटी-फॉरेंसिक उपकरण

-यह टूल दोनों विशेषताओं `$STARNDAR_INFORMATION` और `$FILE_NAME` को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।
+यह उपकरण दोनों विशेषताओं `$STARNDAR_INFORMATION` और `$FILE_NAME` को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।

 ## डेटा छिपाना

-NFTS एक क्लस्टर और न्यूनतम जानकारी के आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो **बची हुई आधी कभी उपयोग नहीं की जाएगी** जब तक फ़ाइल को हटा नहीं दिया जाता। फिर, इस स्लैक स्पेस में **डेटा छिपाना संभव है**।
+NFTS एक क्लस्टर और न्यूनतम जानकारी के आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक और आधे क्लस्टर का उपयोग करती है, तो **बाकी आधा कभी उपयोग नहीं होगा** जब तक फ़ाइल को हटाया नहीं जाता। फिर, इस स्लैक स्पेस में **डेटा छिपाना** संभव है।

 ऐसे उपकरण हैं जैसे स्लैकर जो इस "छिपे हुए" स्थान में डेटा छिपाने की अनुमति देते हैं। हालाँकि, `$logfile` और `$usnjrnl` का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:

@ -64,12 +64,12 @@ NFTS एक क्लस्टर और न्यूनतम जानका

 ## UsbKill

-यह एक टूल है जो **USB** पोर्ट में किसी भी परिवर्तन का पता लगाने पर कंप्यूटर को **बंद** कर देगा।\
-इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं की जांच करना और **प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना** है।
+यह एक उपकरण है जो **USB** पोर्ट में किसी भी परिवर्तन का पता लगाने पर **कंप्यूटर को बंद** कर देगा।\
+इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं का निरीक्षण करना और **प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना** है।

 ## लाइव लिनक्स वितरण

-ये डिस्ट्रीब्यूशन **RAM** मेमोरी के अंदर **निष्पादित** होते हैं। इन्हें केवल तभी पहचानना संभव है जब **NTFS फ़ाइल सिस्टम को लिखने की अनुमति के साथ माउंट किया गया हो**। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।
+ये डिस्ट्रीब्यूशन **RAM** मेमोरी के अंदर **निष्पादित** होते हैं। इन्हें केवल तभी पहचानना संभव है जब **NTFS फ़ाइल-प्रणाली को लिखने की अनुमति के साथ माउंट किया गया हो**। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।

 ## सुरक्षित विलोपन

@ -77,18 +77,18 @@ NFTS एक क्लस्टर और न्यूनतम जानका

 ## Windows कॉन्फ़िगरेशन

-फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई विंडोज़ लॉगिंग विधियों को बंद करना संभव है।
+फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई Windows लॉगिंग विधियों को अक्षम करना संभव है।

-### टाइमस्टैम्प बंद करें - UserAssist
+### टाइमस्टैम्प अक्षम करें - UserAssist

 यह एक रजिस्ट्री कुंजी है जो उपयोगकर्ता द्वारा चलाए गए प्रत्येक निष्पादन योग्य की तारीखों और घंटों को बनाए रखती है।

-UserAssist को बंद करने के लिए दो चरणों की आवश्यकता होती है:
+UserAssist को अक्षम करने के लिए दो चरणों की आवश्यकता होती है:

-1. दो रजिस्ट्री कुंजी सेट करें, `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs` और `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled`, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को बंद करना चाहते हैं।
-2. अपनी रजिस्ट्री उप-ट्री को साफ करें जो `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>` की तरह दिखती हैं।
+1. दो रजिस्ट्री कुंजियाँ सेट करें, `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs` और `HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled`, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को अक्षम करना चाहते हैं।
+2. अपनी रजिस्ट्री उप-ट्री को साफ करें जो `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>` की तरह दिखती है।

-### टाइमस्टैम्प बंद करें - Prefetch
+### टाइमस्टैम्प अक्षम करें - Prefetch

 यह उन अनुप्रयोगों के बारे में जानकारी सहेजता है जो Windows सिस्टम के प्रदर्शन में सुधार के लक्ष्य के साथ निष्पादित होते हैं। हालाँकि, यह फॉरेंसिक प्रथाओं के लिए भी उपयोगी हो सकता है।

@ -96,58 +96,123 @@ UserAssist को बंद करने के लिए दो चरणों
 - फ़ाइल पथ का चयन करें `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`
 - दोनों `EnablePrefetcher` और `EnableSuperfetch` पर राइट-क्लिक करें
 - प्रत्येक पर संशोधित करें ताकि मान 1 (या 3) से 0 में बदल जाए
- पुनरारंभ करें
+- पुनः आरंभ करें

-### टाइमस्टैम्प बंद करें - अंतिम पहुँच समय
+### टाइमस्टैम्प अक्षम करें - अंतिम पहुँच समय

-जब भी एक फ़ोल्डर NTFS वॉल्यूम से Windows NT सर्वर पर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर **टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है**, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।
+जब भी एक फ़ोल्डर NTFS वॉल्यूम से Windows NT सर्वर पर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर **एक टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है**, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।

 1. रजिस्ट्री संपादक (Regedit.exe) खोलें।
-2. `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem` पर जाएं।
-3. `NtfsDisableLastAccessUpdate` की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को बंद कर देगा।
+2. `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem` पर जाएँ।
+3. `NtfsDisableLastAccessUpdate` की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को अक्षम कर देगा।
 4. रजिस्ट्री संपादक बंद करें, और सर्वर को पुनरारंभ करें।

-### USB इतिहास हटाएं
+### USB इतिहास हटाएँ

-सभी **USB डिवाइस प्रविष्टियाँ** Windows रजिस्ट्री में **USBSTOR** रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने पीसी या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`। **इसे हटाने से** आप USB इतिहास को हटा देंगे।\
-आप यह सुनिश्चित करने के लिए [**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html) टूल का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।
+सभी **USB डिवाइस प्रविष्टियाँ** Windows रजिस्ट्री में **USBSTOR** रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने PC या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`। **इसे हटाने से** आप USB इतिहास को हटा देंगे।\
+आप यह सुनिश्चित करने के लिए [**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html) उपकरण का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।

-एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह फ़ाइल `setupapi.dev.log` है जो `C:\Windows\INF` के अंदर है। इसे भी हटाया जाना चाहिए।
+एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह है फ़ाइल `setupapi.dev.log` जो `C:\Windows\INF` के अंदर है। इसे भी हटाया जाना चाहिए।

-### शैडो कॉपीज़ बंद करें
+### शैडो कॉपीज़ अक्षम करें

 **शैडो कॉपीज़** की सूची बनाएं `vssadmin list shadowstorage`\
-**उन्हें हटाएं** `vssadmin delete shadow` चलाकर
+**इन्हें हटाएँ** `vssadmin delete shadow` चलाकर

-आप GUI के माध्यम से भी उन्हें हटा सकते हैं [https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html) में प्रस्तावित चरणों का पालन करके।
+आप GUI के माध्यम से भी इन्हें हटा सकते हैं [https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html](https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html) में प्रस्तावित चरणों का पालन करके।

-शैडो कॉपीज़ को बंद करने के लिए [यहाँ से चरण](https://support.waters.com/KB_Inf/Other/WKB15560_How_to_disable_Volume_Shadow_Copy_Service_VSS_in_Windows):
+शैडो कॉपीज़ को अक्षम करने के लिए [यहाँ से चरण](https://support.waters.com/KB_Inf/Other/WKB15560_How_to_disable_Volume_Shadow_Copy_Service_VSS_in_Windows):

 1. Windows स्टार्ट बटन पर क्लिक करने के बाद टेक्स्ट सर्च बॉक्स में "services" टाइप करके सेवाएँ प्रोग्राम खोलें।
-2. सूची में "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएं।
+2. सूची में "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएँ।
 3. "Startup type" ड्रॉप-डाउन मेनू से Disabled चुनें, और फिर Apply और OK पर क्लिक करके परिवर्तन की पुष्टि करें।

-यह भी संभव है कि रजिस्ट्री `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot` में उन फ़ाइलों की कॉन्फ़िगरेशन को संशोधित किया जाए जिन्हें शैडो कॉपी में कॉपी किया जाएगा।
+यह भी संभव है कि रजिस्ट्री `HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot` में शैडो कॉपी में कौन सी फ़ाइलें कॉपी की जाएँगी, उसकी कॉन्फ़िगरेशन को संशोधित किया जाए।

-### हटाए गए फ़ाइलों को ओवरराइट करें
+### हटाई गई फ़ाइलों को ओवरराइट करें

- आप एक **Windows टूल** का उपयोग कर सकते हैं: `cipher /w:C` यह सिग्नल करेगा कि सिफर C ड्राइव के अंदर उपलब्ध अनयूज्ड डिस्क स्पेस से किसी भी डेटा को हटा दे।
+- आप एक **Windows उपकरण** का उपयोग कर सकते हैं: `cipher /w:C` यह सिफारिश करेगा कि सिफर C ड्राइव के अंदर उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटा दे।
 - आप [**Eraser**](https://eraser.heidi.ie) जैसे उपकरणों का भी उपयोग कर सकते हैं।

-### Windows इवेंट लॉग हटाएं
+### Windows इवेंट लॉग हटाएँ

 - Windows + R --> eventvwr.msc --> "Windows Logs" का विस्तार करें --> प्रत्येक श्रेणी पर राइट-क्लिक करें और "Clear Log" चुनें
 - `for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"`
 - `Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }`

-### Windows इवेंट लॉग बंद करें
+### Windows इवेंट लॉग अक्षम करें

- `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f`
- सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को बंद करें
+- `reg add 'HKLM\\SYSTEM\\CurrentControlSet\\Services\\eventlog' /v Start /t REG_DWORD /d 4 /f`
+- सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को अक्षम करें
 - `WEvtUtil.exec clear-log` या `WEvtUtil.exe cl`

-### $UsnJrnl बंद करें
+### $UsnJrnl अक्षम करें

 - `fsutil usn deletejournal /d c:`

+---
+
+## उन्नत लॉगिंग और ट्रेस छेड़छाड़ (2023-2025)
+
+### PowerShell ScriptBlock/Module Logging
+
+Windows 10/11 और Windows Server के हाल के संस्करण **समृद्ध PowerShell फॉरेंसिक कलाकृतियों** को बनाए रखते हैं
+`Microsoft-Windows-PowerShell/Operational` (इवेंट 4104/4105/4106) के तहत।
+हमलावर इन्हें ऑन-द-फ्लाई अक्षम या मिटा सकते हैं:
+```powershell
+# Turn OFF ScriptBlock & Module logging (registry persistence)
+New-ItemProperty -Path "HKLM:\\SOFTWARE\\Microsoft\\PowerShell\\3\\PowerShellEngine" \
+-Name EnableScriptBlockLogging -Value 0 -PropertyType DWord -Force
+New-ItemProperty -Path "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ModuleLogging" \
+-Name EnableModuleLogging -Value 0 -PropertyType DWord -Force
+
+# In-memory wipe of recent PowerShell logs
+Get-WinEvent -LogName 'Microsoft-Windows-PowerShell/Operational' |
+Remove-WinEvent               # requires admin & Win11 23H2+
+```
+रक्षक को उन रजिस्ट्री कुंजियों में परिवर्तनों और PowerShell घटनाओं के उच्च मात्रा में हटाने की निगरानी करनी चाहिए।
+
+### ETW (Windows के लिए इवेंट ट्रेसिंग) पैच
+
+एंडपॉइंट सुरक्षा उत्पाद ETW पर बहुत निर्भर करते हैं। एक लोकप्रिय 2024 बचाव विधि है कि मेमोरी में `ntdll!EtwEventWrite`/`EtwEventWriteFull` को पैच किया जाए ताकि हर ETW कॉल `STATUS_SUCCESS` लौटाए बिना घटना को उत्पन्न किए।
+```c
+// 0xC3 = RET on x64
+unsigned char patch[1] = { 0xC3 };
+WriteProcessMemory(GetCurrentProcess(),
+GetProcAddress(GetModuleHandleA("ntdll.dll"), "EtwEventWrite"),
+patch, sizeof(patch), NULL);
+```
+Public PoCs (e.g. `EtwTiSwallow`) PowerShell या C++ में वही प्राइमिटिव लागू करते हैं। चूंकि पैच **प्रोसेस-लोकल** है, अन्य प्रोसेस के अंदर चल रहे EDRs इसे मिस कर सकते हैं। पहचान: मेमोरी में `ntdll` की तुलना करें बनाम डिस्क पर, या यूजर-मोड से पहले हुक करें।
+
+### Alternate Data Streams (ADS) Revival
+
+2023 में मैलवेयर अभियान (जैसे **FIN12** लोडर्स) को पारंपरिक स्कैनरों की नज़र से बचने के लिए ADS के अंदर दूसरे चरण के बाइनरी स्टेज करते हुए देखा गया है:
+```cmd
+rem Hide cobalt.bin inside an ADS of a PDF
+type cobalt.bin > report.pdf:win32res.dll
+rem Execute directly
+wmic process call create "cmd /c report.pdf:win32res.dll"
+```
+`dir /R`, `Get-Item -Stream *`, या Sysinternals `streams64.exe` के साथ स्ट्रीम्स की गणना करें। होस्ट फ़ाइल को FAT/exFAT या SMB के माध्यम से कॉपी करने से छिपी स्ट्रीम हटा दी जाएगी और इसका उपयोग जांचकर्ताओं द्वारा पेलोड को पुनर्प्राप्त करने के लिए किया जा सकता है।
+
+### BYOVD & “AuKill” (2023)
+
+Bring-Your-Own-Vulnerable-Driver अब रैंसमवेयर घुसपैठ में **एंटी-फॉरेंसिक्स** के लिए नियमित रूप से उपयोग किया जाता है। ओपन-सोर्स टूल **AuKill** एक साइन किया हुआ लेकिन कमजोर ड्राइवर (`procexp152.sys`) लोड करता है ताकि EDR और फॉरेंसिक सेंसर को **एन्क्रिप्शन और लॉग विनाश से पहले** निलंबित या समाप्त किया जा सके:
+```cmd
+AuKill.exe -e "C:\\Program Files\\Windows Defender\\MsMpEng.exe"
+AuKill.exe -k CrowdStrike
+```
+ड्राइवर को बाद में हटा दिया जाता है, जिससे न्यूनतम अवशेष रहते हैं।  
+निवारण: Microsoft कमजोर-ड्राइवर ब्लॉकलिस्ट (HVCI/SAC) सक्षम करें,  
+और उपयोगकर्ता-लिखने योग्य पथों से कर्नेल-सेवा निर्माण पर अलर्ट करें।  
+
+---
+
+## संदर्भ
+
+- Sophos X-Ops – “AuKill: A Weaponized Vulnerable Driver for Disabling EDR” (मार्च 2023)  
+https://news.sophos.com/en-us/2023/03/07/aukill-a-weaponized-vulnerable-driver-for-disabling-edr  
+- Red Canary – “Patching EtwEventWrite for Stealth: Detection & Hunting” (जून 2024)  
+https://redcanary.com/blog/etw-patching-detection  
+
 {{#include ../../banners/hacktricks-training.md}}