16 KiB
{% hint style="success" %}
सीखें और प्रैक्टिस करें AWS हैकिंग:
HackTricks प्रशिक्षण AWS रेड टीम एक्सपर्ट (ARTE)
सीखें और प्रैक्टिस करें GCP हैकिंग: 
HackTricks प्रशिक्षण GCP रेड टीम एक्सपर्ट (GRTE)
हैकट्रिक्स का समर्थन करें
- सदस्यता योजनाएं की जाँच करें!
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
- हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके HackTricks और HackTricks Cloud github रेपो में।
{% embed url="https://websec.nl/" %}
टाइमस्टैम्प
एक हमलावता फ़ाइलों के टाइमस्टैम्प को बदलने में रुचि रख सकता है।
एमएफटी में टाइमस्टैम्प्स को खोजना संभव है जो विशेषता $STANDARD_INFORMATION __ और __ $FILE_NAME में हैं।
दोनों विशेषताएँ 4 टाइमस्टैम्प्स रखती हैं: संशोधन, पहुंच, निर्माण, और एमएफटी रजिस्ट्री संशोधन (MACE या MACB)।
Windows एक्सप्लोरर और अन्य उपकरण $STANDARD_INFORMATION से जानकारी दिखाते हैं।
टाइमस्टॉम्प - एंटी-फोरेंसिक टूल
यह टूल $STANDARD_INFORMATION के भीतर टाइमस्टैम्प जानकारी को संशोधित करता है लेकिन $FILE_NAME के भीतर जानकारी को नहीं। इसलिए, यह संदेहास्पद गतिविधि की पहचान करना संभव है।
Usnjrnl
USN जर्नल (अपडेट सीक्वेंस नंबर जर्नल) एनटीएफएस (विंडोज एनटी एफएस फ़ाइल सिस्टम) की एक विशेषता है जो वॉल्यूम परिवर्तनों का पता रखती है। UsnJrnl2Csv टूल इन परिवर्तनों की जांच करने की अनुमति देता है।
पिछली छवि टूल द्वारा दिखाई गई आउटपुट है जहां देखा जा सकता है कि कुछ परिवर्तन किए गए थे फ़ाइल में।
$LogFile
एक फ़ाइल सिस्टम में सभी मेटाडेटा परिवर्तनों को एक प्रक्रिया में लॉग किया जाता है जिसे राइट-अहेड लॉगिंग के रूप में जाना जाता है। लॉग किए गए मेटाडेटा को **$LogFile** नामक एक फ़ाइल में रखा जाता है, जो एनटीएफएस फ़ाइल सिस्टम के मूल निर्देशिका में स्थित है। LogFileParser जैसे उपकरण का उपयोग इस फ़ाइल को पार्स करने और परिवर्तनों की पहचान करने के लिए किया जा सकता है।
फिर से, उपकरण के आउटपुट में देखा जा सकता है कि कुछ परिवर्तन किए गए थे।
इसी उपकरण का उपयोग करके टाइमस्टैम्प्स को किस समय संशोधित किया गया था की पहचान करना संभव है:
- CTIME: फ़ाइल का निर्माण समय
- ATIME: फ़ाइल का संशोधन समय
- MTIME: फ़ाइल का एमएफटी रजिस्ट्री संशोधन
- RTIME: फ़ाइल का पहुंच समय
$STANDARD_INFORMATION और $FILE_NAME तुलना
संदेहास्पद संशोधित फ़ाइलों की पहचान करने का एक और तरीका होगा कि दोनों विशेषताओं पर समय की तुलना करें और मिलान के लिए देखें असंगतियाँ।
नैनोसेकंड
एनटीएफएस टाइमस्टैम्प्स का एक प्रेसिजन है 100 नैनोसेकंड। फिर, 2010-10-10 10:10:00.000:0000 जैसे टाइमस्टैम्प्स वाली फ़ाइलें खोजना बहुत संदेहास्पद है।
SetMace - एंटी-फोरेंसिक टूल
यह उपकरण दोनों विशेषताएँ $STARNDAR_INFORMATION और $FILE_NAME को संशोधित कर सकता है। हालांकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव ओएस की आवश्यकता है।
डेटा छुपाना
एनएफटीएस एक क्लस्टर और न्यूनतम जानकारी आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो शेष आधा कभी भी उपयोग नहीं होगा जब तक फ़ाइल हटाई नहीं जाती। फिर, इस "छुपी" जगह में डेटा छुपाना संभव है।
इस तरह के "छुपे" स्थान में डेटा छुपाने की अनुमति देने वाले उपकरण जैसे slacker हैं। हालांकि, $logfile और $usnjrnl का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:
फिर, FTK इमेजर जैसे उपकरण का उपयोग करके छुपे स्थान को पुनः प्राप्त किया जा सकता है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को अस्पष्ट या यहाँ तक कि एन्क्रिप्टेड भी सहेज सकते हैं।
UsbKill
यह एक उपकरण है जो कंप्यूटर को USB पोर्ट में किसी भी परिवर्तन को डिटेक्ट करता है तो बंद कर देगा।
इसे खोजने का एक तरीका है कि चल रहे प्रक्रियाओं की जांच करें और प्रत्येक पायथन स्क्रिप्ट की जांच करें।
लाइव लिनक्स वितरण
ये डिस्ट्रो रैम मेमोरी के अंदर चलाए जाते हैं। इन्हें पहचानने का एकमात्र तरीका है यदि एनटीएफएस फाइल-सिस्टम को लेखन अनुमतियों के साथ माउंट किया गया है। यदि यह केवल पढ़ने की अनुमति के साथ माउंट किया गया है तो उपद्रव का पता लगाना संभव नहीं होगा।
सुरक्षित मिटाना
https://github.com/Claudio-C/awesome-data-sanitization
विंडोज कॉन्फ़िगरेशन
फोरेंसिक्स जांच को कठिन बनाने के लिए कई विंडोज लॉगिंग विधियों को अक्षम करना संभव है।
टाइमस्टैम्प्स को अक्षम करें - UserAssist
यह एक रजिस्ट्री कुंजी है जो प्रत्येक एक्जीक्यूटेबल को उपयोगकर्ता द्वारा चलाया गया था जब तारीख और समय बनाए रखती है।
UserAssist को अक्षम करने के लिए दो
हटाएं USB इतिहास
सभी USB डिवाइस एंट्रीज Windows रजिस्ट्री में USBSTOR रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप-कुंजी होती हैं जो जब भी आप अपने PC या लैपटॉप में USB डिवाइस प्लग करते हैं तो बनाई जाती हैं। आप इस कुंजी को यहाँ पा सकते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR। इसे हटाने से आप USB इतिहास को हटा देंगे।
आप इसे हटाने के लिए उपकरण USBDeview का भी उपयोग कर सकते हैं (और उन्हें हटाने के लिए)।
एक और फ़ाइल जो USBs के बारे में जानकारी सहेजती है वह है setupapi.dev.log जो C:\Windows\INF के अंदर होती है। इसे भी हटाना चाहिए।
शैडो कॉपियों को अक्षम करें
vssadmin list shadowstorage के साथ शैडो कॉपियों की सूची बनाएं
उन्हें रन करके vssadmin delete shadow को हटाएं
आप GUI के माध्यम से भी उन्हें हटा सकते हैं जिसके लिए https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html में प्रस्तावित चरणों का पालन करें।
शैडो कॉपियों को अक्षम करने के लिए यहाँ से चरण:
- "सेवाएं" कार्यक्रम खोलें जिसे विंडोज स्टार्ट बटन पर क्लिक करने के बाद "सेवाएं" लिखकर टेक्स्ट खोज बॉक्स में टाइप करके खोल सकते हैं।
- सूची से "वॉल्यूम शैडो कॉपी" ढूंढें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ तक पहुंचें।
- "स्टार्टअप प्रकार" ड्रॉप-डाउन मेनू से "डिसेबल्ड" चुनें, और फिर बदलाव की पुष्टि करने के लिए "एप्लाई" और "ओके" पर क्लिक करें।
यह भी संभव है कि रजिस्ट्री में HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot में कौन सी फ़ाइलें शैडो कॉपी में कॉपी की जाएंगी उनके विन्यास को संशोधित किया जा सके।
हटाएं हटाए गए फ़ाइलें
- आप एक Windows उपकरण का उपयोग कर सकते हैं:
cipher /w:Cयह cipher को सी ड्राइव के उपलब्ध अप्रयुक्त डिस्क स्थान से किसी भी डेटा को हटाने के लिए संकेत देगा। - आप Eraser जैसे उपकरण भी उपयोग कर सकते हैं
हटाएं विंडोज घटना लॉग
- विंडोज + R --> eventvwr.msc --> "विंडोज लॉग" को विस्तारित करें --> प्रत्येक श्रेणी पर राइट क्लिक करें और "क्लियर लॉग" चुनें
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
विंडोज घटना लॉग को अक्षम करें
reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f- सेवाओं के भीतर सेवा "विंडोज घटना लॉग" को अक्षम करें
WEvtUtil.exec clear-logयाWEvtUtil.exe cl
$UsnJrnl को अक्षम करें
fsutil usn deletejournal /d c:
{% embed url="https://websec.nl/" %}