mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/generic-methodologies-and-resources/basic-forensic-meth
This commit is contained in:
Translator
parent
e23306e38d
commit
f9726ab176
@ -1,4 +1,4 @@
|
||||
# Анти-судово-техніки
|
||||
# Анти-слідчі техніки
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
@ -11,7 +11,7 @@
|
||||
|
||||
**Windows explorer** та інші інструменти показують інформацію з **`$STANDARD_INFORMATION`**.
|
||||
|
||||
### TimeStomp - Анти-судовий інструмент
|
||||
### TimeStomp - Анти-слідчий інструмент
|
||||
|
||||
Цей інструмент **модифікує** інформацію про часові мітки всередині **`$STANDARD_INFORMATION`**, **але** **не** інформацію всередині **`$FILE_NAME`**. Тому можливо **виявити** **підозрілу** **активність**.
|
||||
|
||||
@ -48,19 +48,19 @@
|
||||
|
||||
**NTFS** часові мітки мають **точність** **100 наносекунд**. Тому знаходження файлів з часовими мітками, такими як 2010-10-10 10:10:**00.000:0000, є дуже підозрілим**.
|
||||
|
||||
### SetMace - Анти-судовий інструмент
|
||||
### SetMace - Анти-слідчий інструмент
|
||||
|
||||
Цей інструмент може модифікувати обидва атрибути `$STARNDAR_INFORMATION` та `$FILE_NAME`. Однак, починаючи з Windows Vista, для зміни цієї інформації необхідна активна ОС.
|
||||
|
||||
## Сховані дані
|
||||
|
||||
NFTS використовує кластер і мінімальний розмір інформації. Це означає, що якщо файл займає кластер і півтора, **залишкова половина ніколи не буде використана** до видалення файлу. Тоді можливо **сховати дані в цьому слек-просторі**.
|
||||
NFTS використовує кластер і мінімальний розмір інформації. Це означає, що якщо файл займає кластер і півтора, **залишкова половина ніколи не буде використана**, поки файл не буде видалено. Тоді можливо **сховати дані в цьому слек-просторі**.
|
||||
|
||||
Існують інструменти, такі як slacker, які дозволяють ховати дані в цьому "схованому" просторі. Однак аналіз `$logfile` та `$usnjrnl` може показати, що деякі дані були додані:
|
||||
|
||||
.png>)
|
||||
|
||||
Тоді можливо відновити слек-простір, використовуючи інструменти, такі як FTK Imager. Зверніть увагу, що цей тип інструменту може зберігати вміст у зашифрованому або навіть зашифрованому вигляді.
|
||||
Тоді можливо відновити слек-простір, використовуючи інструменти, такі як FTK Imager. Зверніть увагу, що цей тип інструменту може зберігати вміст в обфусцированому або навіть зашифрованому вигляді.
|
||||
|
||||
## UsbKill
|
||||
|
||||
@ -77,7 +77,7 @@ NFTS використовує кластер і мінімальний розм
|
||||
|
||||
## Налаштування Windows
|
||||
|
||||
Можна вимкнути кілька методів ведення журналів Windows, щоб ускладнити судово-слідчу перевірку.
|
||||
Можна вимкнути кілька методів ведення журналів Windows, щоб ускладнити слідчу перевірку.
|
||||
|
||||
### Вимкнути часові мітки - UserAssist
|
||||
|
||||
@ -90,7 +90,7 @@ NFTS використовує кластер і мінімальний розм
|
||||
|
||||
### Вимкнути часові мітки - Prefetch
|
||||
|
||||
Це зберігатиме інформацію про виконувані програми з метою покращення продуктивності системи Windows. Однак це також може бути корисним для судово-слідчих практик.
|
||||
Це зберігатиме інформацію про виконувані програми з метою покращення продуктивності системи Windows. Однак це також може бути корисним для слідчих практик.
|
||||
|
||||
- Виконайте `regedit`
|
||||
- Виберіть шлях файлу `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters`
|
||||
@ -109,7 +109,7 @@ NFTS використовує кластер і мінімальний розм
|
||||
|
||||
### Видалити історію USB
|
||||
|
||||
Всі **USB-пристрої** зберігаються в реєстрі Windows під ключем **USBSTOR**, який містить підключі, які створюються щоразу, коли ви підключаєте USB-пристрій до свого ПК або ноутбука. Ви можете знайти цей ключ тут H`KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Видаливши це**, ви видалите історію USB.\
|
||||
Всі **USB Device Entries** зберігаються в реєстрі Windows під ключем **USBSTOR**, який містить підключі, які створюються щоразу, коли ви підключаєте USB-пристрій до свого ПК або ноутбука. Ви можете знайти цей ключ тут H`KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Видаливши це**, ви видалите історію USB.\
|
||||
Ви також можете використовувати інструмент [**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html), щоб переконатися, що ви їх видалили (і щоб видалити їх).
|
||||
|
||||
Ще один файл, який зберігає інформацію про USB, - це файл `setupapi.dev.log` всередині `C:\Windows\INF`. Цей файл також слід видалити.
|
||||
@ -131,7 +131,7 @@ NFTS використовує кластер і мінімальний розм
|
||||
|
||||
### Перезаписати видалені файли
|
||||
|
||||
- Ви можете використовувати **інструмент Windows**: `cipher /w:C` Це вказує шифрувати, щоб видалити будь-які дані з доступного невикористаного дискового простору всередині диска C.
|
||||
- Ви можете використовувати **інструмент Windows**: `cipher /w:C`. Це вказує шифрувати, щоб видалити будь-які дані з доступного невикористаного дискового простору всередині диска C.
|
||||
- Ви також можете використовувати інструменти, такі як [**Eraser**](https://eraser.heidi.ie)
|
||||
|
||||
### Видалити журнали подій Windows
|
||||
@ -142,7 +142,7 @@ NFTS використовує кластер і мінімальний розм
|
||||
|
||||
### Вимкнути журнали подій Windows
|
||||
|
||||
- `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f`
|
||||
- `reg add 'HKLM\\SYSTEM\\CurrentControlSet\\Services\\eventlog' /v Start /t REG_DWORD /d 4 /f`
|
||||
- У розділі служб вимкніть службу "Windows Event Log"
|
||||
- `WEvtUtil.exec clear-log` або `WEvtUtil.exe cl`
|
||||
|
||||
@ -150,4 +150,71 @@ NFTS використовує кластер і мінімальний розм
|
||||
|
||||
- `fsutil usn deletejournal /d c:`
|
||||
|
||||
---
|
||||
|
||||
## Розширене ведення журналів та підробка трас (2023-2025)
|
||||
|
||||
### Ведення журналів PowerShell ScriptBlock/Module
|
||||
|
||||
Останні версії Windows 10/11 та Windows Server зберігають **багаті слідчі артефакти PowerShell** під
|
||||
`Microsoft-Windows-PowerShell/Operational` (події 4104/4105/4106).
|
||||
Атакуючі можуть вимкнути або стерти їх на льоту:
|
||||
```powershell
|
||||
# Turn OFF ScriptBlock & Module logging (registry persistence)
|
||||
New-ItemProperty -Path "HKLM:\\SOFTWARE\\Microsoft\\PowerShell\\3\\PowerShellEngine" \
|
||||
-Name EnableScriptBlockLogging -Value 0 -PropertyType DWord -Force
|
||||
New-ItemProperty -Path "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ModuleLogging" \
|
||||
-Name EnableModuleLogging -Value 0 -PropertyType DWord -Force
|
||||
|
||||
# In-memory wipe of recent PowerShell logs
|
||||
Get-WinEvent -LogName 'Microsoft-Windows-PowerShell/Operational' |
|
||||
Remove-WinEvent # requires admin & Win11 23H2+
|
||||
```
|
||||
Захисники повинні стежити за змінами в цих ключах реєстру та за великим обсягом видалення подій PowerShell.
|
||||
|
||||
### ETW (Event Tracing for Windows) Патч
|
||||
|
||||
Продукти безпеки кінцевих точок сильно покладаються на ETW. Популярний метод ухилення 2024 року полягає в патчуванні `ntdll!EtwEventWrite`/`EtwEventWriteFull` в пам'яті, щоб кожен виклик ETW повертав `STATUS_SUCCESS` без виведення події:
|
||||
```c
|
||||
// 0xC3 = RET on x64
|
||||
unsigned char patch[1] = { 0xC3 };
|
||||
WriteProcessMemory(GetCurrentProcess(),
|
||||
GetProcAddress(GetModuleHandleA("ntdll.dll"), "EtwEventWrite"),
|
||||
patch, sizeof(patch), NULL);
|
||||
```
|
||||
Public PoCs (e.g. `EtwTiSwallow`) реалізують ту ж саму примітиву в PowerShell або C++.
|
||||
Оскільки патч є **локальним для процесу**, EDR, що працюють в інших процесах, можуть його пропустити.
|
||||
Виявлення: порівняйте `ntdll` в пам'яті з диском або перехопіть перед режимом користувача.
|
||||
|
||||
### Відродження альтернативних потоків даних (ADS)
|
||||
|
||||
Кампанії шкідливого ПЗ у 2023 році (наприклад, **FIN12** завантажувачі) були помічені, коли другорядні бінарні файли розміщувалися всередині ADS, щоб залишитися поза увагою традиційних сканерів:
|
||||
```cmd
|
||||
rem Hide cobalt.bin inside an ADS of a PDF
|
||||
type cobalt.bin > report.pdf:win32res.dll
|
||||
rem Execute directly
|
||||
wmic process call create "cmd /c report.pdf:win32res.dll"
|
||||
```
|
||||
Перерахуйте потоки за допомогою `dir /R`, `Get-Item -Stream *` або Sysinternals `streams64.exe`. Копіювання файлу хоста на FAT/exFAT або через SMB видалить прихований потік і може бути використано слідчими для відновлення вантажу.
|
||||
|
||||
### BYOVD & “AuKill” (2023)
|
||||
|
||||
Bring-Your-Own-Vulnerable-Driver тепер регулярно використовується для **антифорензіки** в атаках програм-вимагачів. Відкритий інструмент **AuKill** завантажує підписаний, але вразливий драйвер (`procexp152.sys`), щоб призупинити або завершити EDR та судово-слідчі датчики **перед шифруванням та знищенням журналів**:
|
||||
```cmd
|
||||
AuKill.exe -e "C:\\Program Files\\Windows Defender\\MsMpEng.exe"
|
||||
AuKill.exe -k CrowdStrike
|
||||
```
|
||||
Драйвер видаляється після цього, залишаючи мінімальні артефакти.
|
||||
Заходи пом'якшення: увімкніть чорний список вразливих драйверів Microsoft (HVCI/SAC)
|
||||
та сповіщайте про створення служб ядра з шляхів, доступних для запису користувачем.
|
||||
|
||||
---
|
||||
|
||||
## Посилання
|
||||
|
||||
- Sophos X-Ops – “AuKill: Зброя для вразливого драйвера для відключення EDR” (березень 2023)
|
||||
https://news.sophos.com/en-us/2023/03/07/aukill-a-weaponized-vulnerable-driver-for-disabling-edr
|
||||
- Red Canary – “Виправлення EtwEventWrite для прихованості: Виявлення та полювання” (червень 2024)
|
||||
https://redcanary.com/blog/etw-patching-detection
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user