From f9726ab176fb27ea6628fde56280e7813075f57b Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 14 Aug 2025 02:48:26 +0000 Subject: [PATCH] Translated ['src/generic-methodologies-and-resources/basic-forensic-meth --- .../anti-forensic-techniques.md | 87 ++++++++++++++++--- 1 file changed, 77 insertions(+), 10 deletions(-) diff --git a/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md b/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md index 168cad25e..a8382239f 100644 --- a/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md +++ b/src/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques.md @@ -1,4 +1,4 @@ -# Анти-судово-техніки +# Анти-слідчі техніки {{#include ../../banners/hacktricks-training.md}} @@ -11,7 +11,7 @@ **Windows explorer** та інші інструменти показують інформацію з **`$STANDARD_INFORMATION`**. -### TimeStomp - Анти-судовий інструмент +### TimeStomp - Анти-слідчий інструмент Цей інструмент **модифікує** інформацію про часові мітки всередині **`$STANDARD_INFORMATION`**, **але** **не** інформацію всередині **`$FILE_NAME`**. Тому можливо **виявити** **підозрілу** **активність**. @@ -48,19 +48,19 @@ **NTFS** часові мітки мають **точність** **100 наносекунд**. Тому знаходження файлів з часовими мітками, такими як 2010-10-10 10:10:**00.000:0000, є дуже підозрілим**. -### SetMace - Анти-судовий інструмент +### SetMace - Анти-слідчий інструмент Цей інструмент може модифікувати обидва атрибути `$STARNDAR_INFORMATION` та `$FILE_NAME`. Однак, починаючи з Windows Vista, для зміни цієї інформації необхідна активна ОС. ## Сховані дані -NFTS використовує кластер і мінімальний розмір інформації. Це означає, що якщо файл займає кластер і півтора, **залишкова половина ніколи не буде використана** до видалення файлу. Тоді можливо **сховати дані в цьому слек-просторі**. +NFTS використовує кластер і мінімальний розмір інформації. Це означає, що якщо файл займає кластер і півтора, **залишкова половина ніколи не буде використана**, поки файл не буде видалено. Тоді можливо **сховати дані в цьому слек-просторі**. Існують інструменти, такі як slacker, які дозволяють ховати дані в цьому "схованому" просторі. Однак аналіз `$logfile` та `$usnjrnl` може показати, що деякі дані були додані: ![](<../../images/image (1060).png>) -Тоді можливо відновити слек-простір, використовуючи інструменти, такі як FTK Imager. Зверніть увагу, що цей тип інструменту може зберігати вміст у зашифрованому або навіть зашифрованому вигляді. +Тоді можливо відновити слек-простір, використовуючи інструменти, такі як FTK Imager. Зверніть увагу, що цей тип інструменту може зберігати вміст в обфусцированому або навіть зашифрованому вигляді. ## UsbKill @@ -77,7 +77,7 @@ NFTS використовує кластер і мінімальний розм ## Налаштування Windows -Можна вимкнути кілька методів ведення журналів Windows, щоб ускладнити судово-слідчу перевірку. +Можна вимкнути кілька методів ведення журналів Windows, щоб ускладнити слідчу перевірку. ### Вимкнути часові мітки - UserAssist @@ -90,7 +90,7 @@ NFTS використовує кластер і мінімальний розм ### Вимкнути часові мітки - Prefetch -Це зберігатиме інформацію про виконувані програми з метою покращення продуктивності системи Windows. Однак це також може бути корисним для судово-слідчих практик. +Це зберігатиме інформацію про виконувані програми з метою покращення продуктивності системи Windows. Однак це також може бути корисним для слідчих практик. - Виконайте `regedit` - Виберіть шлях файлу `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters` @@ -109,7 +109,7 @@ NFTS використовує кластер і мінімальний розм ### Видалити історію USB -Всі **USB-пристрої** зберігаються в реєстрі Windows під ключем **USBSTOR**, який містить підключі, які створюються щоразу, коли ви підключаєте USB-пристрій до свого ПК або ноутбука. Ви можете знайти цей ключ тут H`KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Видаливши це**, ви видалите історію USB.\ +Всі **USB Device Entries** зберігаються в реєстрі Windows під ключем **USBSTOR**, який містить підключі, які створюються щоразу, коли ви підключаєте USB-пристрій до свого ПК або ноутбука. Ви можете знайти цей ключ тут H`KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`. **Видаливши це**, ви видалите історію USB.\ Ви також можете використовувати інструмент [**USBDeview**](https://www.nirsoft.net/utils/usb_devices_view.html), щоб переконатися, що ви їх видалили (і щоб видалити їх). Ще один файл, який зберігає інформацію про USB, - це файл `setupapi.dev.log` всередині `C:\Windows\INF`. Цей файл також слід видалити. @@ -131,7 +131,7 @@ NFTS використовує кластер і мінімальний розм ### Перезаписати видалені файли -- Ви можете використовувати **інструмент Windows**: `cipher /w:C` Це вказує шифрувати, щоб видалити будь-які дані з доступного невикористаного дискового простору всередині диска C. +- Ви можете використовувати **інструмент Windows**: `cipher /w:C`. Це вказує шифрувати, щоб видалити будь-які дані з доступного невикористаного дискового простору всередині диска C. - Ви також можете використовувати інструменти, такі як [**Eraser**](https://eraser.heidi.ie) ### Видалити журнали подій Windows @@ -142,7 +142,7 @@ NFTS використовує кластер і мінімальний розм ### Вимкнути журнали подій Windows -- `reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f` +- `reg add 'HKLM\\SYSTEM\\CurrentControlSet\\Services\\eventlog' /v Start /t REG_DWORD /d 4 /f` - У розділі служб вимкніть службу "Windows Event Log" - `WEvtUtil.exec clear-log` або `WEvtUtil.exe cl` @@ -150,4 +150,71 @@ NFTS використовує кластер і мінімальний розм - `fsutil usn deletejournal /d c:` +--- + +## Розширене ведення журналів та підробка трас (2023-2025) + +### Ведення журналів PowerShell ScriptBlock/Module + +Останні версії Windows 10/11 та Windows Server зберігають **багаті слідчі артефакти PowerShell** під +`Microsoft-Windows-PowerShell/Operational` (події 4104/4105/4106). +Атакуючі можуть вимкнути або стерти їх на льоту: +```powershell +# Turn OFF ScriptBlock & Module logging (registry persistence) +New-ItemProperty -Path "HKLM:\\SOFTWARE\\Microsoft\\PowerShell\\3\\PowerShellEngine" \ +-Name EnableScriptBlockLogging -Value 0 -PropertyType DWord -Force +New-ItemProperty -Path "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\PowerShell\\ModuleLogging" \ +-Name EnableModuleLogging -Value 0 -PropertyType DWord -Force + +# In-memory wipe of recent PowerShell logs +Get-WinEvent -LogName 'Microsoft-Windows-PowerShell/Operational' | +Remove-WinEvent # requires admin & Win11 23H2+ +``` +Захисники повинні стежити за змінами в цих ключах реєстру та за великим обсягом видалення подій PowerShell. + +### ETW (Event Tracing for Windows) Патч + +Продукти безпеки кінцевих точок сильно покладаються на ETW. Популярний метод ухилення 2024 року полягає в патчуванні `ntdll!EtwEventWrite`/`EtwEventWriteFull` в пам'яті, щоб кожен виклик ETW повертав `STATUS_SUCCESS` без виведення події: +```c +// 0xC3 = RET on x64 +unsigned char patch[1] = { 0xC3 }; +WriteProcessMemory(GetCurrentProcess(), +GetProcAddress(GetModuleHandleA("ntdll.dll"), "EtwEventWrite"), +patch, sizeof(patch), NULL); +``` +Public PoCs (e.g. `EtwTiSwallow`) реалізують ту ж саму примітиву в PowerShell або C++. +Оскільки патч є **локальним для процесу**, EDR, що працюють в інших процесах, можуть його пропустити. +Виявлення: порівняйте `ntdll` в пам'яті з диском або перехопіть перед режимом користувача. + +### Відродження альтернативних потоків даних (ADS) + +Кампанії шкідливого ПЗ у 2023 році (наприклад, **FIN12** завантажувачі) були помічені, коли другорядні бінарні файли розміщувалися всередині ADS, щоб залишитися поза увагою традиційних сканерів: +```cmd +rem Hide cobalt.bin inside an ADS of a PDF +type cobalt.bin > report.pdf:win32res.dll +rem Execute directly +wmic process call create "cmd /c report.pdf:win32res.dll" +``` +Перерахуйте потоки за допомогою `dir /R`, `Get-Item -Stream *` або Sysinternals `streams64.exe`. Копіювання файлу хоста на FAT/exFAT або через SMB видалить прихований потік і може бути використано слідчими для відновлення вантажу. + +### BYOVD & “AuKill” (2023) + +Bring-Your-Own-Vulnerable-Driver тепер регулярно використовується для **антифорензіки** в атаках програм-вимагачів. Відкритий інструмент **AuKill** завантажує підписаний, але вразливий драйвер (`procexp152.sys`), щоб призупинити або завершити EDR та судово-слідчі датчики **перед шифруванням та знищенням журналів**: +```cmd +AuKill.exe -e "C:\\Program Files\\Windows Defender\\MsMpEng.exe" +AuKill.exe -k CrowdStrike +``` +Драйвер видаляється після цього, залишаючи мінімальні артефакти. +Заходи пом'якшення: увімкніть чорний список вразливих драйверів Microsoft (HVCI/SAC) +та сповіщайте про створення служб ядра з шляхів, доступних для запису користувачем. + +--- + +## Посилання + +- Sophos X-Ops – “AuKill: Зброя для вразливого драйвера для відключення EDR” (березень 2023) +https://news.sophos.com/en-us/2023/03/07/aukill-a-weaponized-vulnerable-driver-for-disabling-edr +- Red Canary – “Виправлення EtwEventWrite для прихованості: Виявлення та полювання” (червень 2024) +https://redcanary.com/blog/etw-patching-detection + {{#include ../../banners/hacktricks-training.md}}