Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00

Translator 17e0cdeb5b Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/

2024-05-02 15:11:25 +00:00

9.6 KiB

Raw Blame History

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRETPLATU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

{% embed url="https://websec.nl/" %}

Vremenske oznake

Napadač može biti zainteresovan za menjanje vremenskih oznaka fajlova kako bi izbegao otkrivanje.
Moguće je pronaći vremenske oznake unutar MFT-a u atributima $STANDARD_INFORMATION __ i __ $FILE_NAME.

Oba atributa imaju 4 vremenske oznake: Modifikacija, pristup, kreacija, i modifikacija MFT registra (MACE ili MACB).

Windows explorer i drugi alati prikazuju informacije iz $STANDARD_INFORMATION.

TimeStomp - Anti-forenzički alat

Ovaj alat menja informacije o vremenskim oznakama unutar $STANDARD_INFORMATION ali ne informacije unutar $FILE_NAME. Stoga je moguće identifikovati sumnjivu aktivnost.

Usnjrnl

USN Journal (Update Sequence Number Journal) je funkcija NTFS-a (Windows NT fajl sistem) koja prati promene na volumenu. Alat UsnJrnl2Csv omogućava pregled ovih promena.

Prethodna slika je izlaz prikazan od strane alata gde se može primetiti da su neke promene izvršene na fajlu.

$LogFile

Sve promene metapodataka na fajl sistemu se beleže u procesu poznatom kao write-ahead logging. Beleženi metapodaci se čuvaju u fajlu nazvanom **$LogFile**, smeštenom u korenskom direktorijumu NTFS fajl sistema. Alati poput LogFileParser mogu se koristiti za parsiranje ovog fajla i identifikaciju promena.

Ponovo, u izlazu alata moguće je videti da su izvršene neke promene.

Korišćenjem istog alata moguće je identifikovati u koje vreme su vremenske oznake modifikovane:

CTIME: Vreme kreiranja fajla
ATIME: Vreme modifikacije fajla
MTIME: Modifikacija MFT registra fajla
RTIME: Vreme pristupa fajlu

Poređenje `$STANDARD_INFORMATION` i `$FILE_NAME`

Još jedan način identifikovanja sumnjivih modifikovanih fajlova bio bi upoređivanje vremena na oba atributa u potrazi za neslaganjima.

Nanosekunde

NTFS vremenske oznake imaju preciznost od 100 nanosekundi. Zato je veoma sumnjivo pronaći fajlove sa vremenima oznaka kao što su 2010-10-10 10:10:00.000:0000.

SetMace - Anti-forenzički alat

Ovaj alat može modifikovati oba atributa $STARNDAR_INFORMATION i $FILE_NAME. Međutim, od Windows Vista, potrebno je da operativni sistem uživo modifikuje ove informacije.

Skrivanje podataka

NTFS koristi klaster i minimalnu veličinu informacija. To znači da ako fajl zauzima klaster i po, preostali deo nikada neće biti korišćen dok fajl ne bude obrisan. Zato je moguće sakriti podatke u ovom praznom prostoru.

Postoje alati poput slacker koji omogućavaju skrivanje podataka u ovom "skrivenom" prostoru. Međutim, analiza $logfile i $usnjrnl može pokazati da su dodati neki podaci:

Zatim je moguće povratiti prazan prostor korišćenjem alata poput FTK Imager. Imajte na umu da ovaj tip alata može sačuvati sadržaj zamućen ili čak šifrovan.

UsbKill

Ovo je alat koji će isključiti računar ako se detektuje bilo kakva promena u USB portovima.
Način da se ovo otkrije je inspekcija pokrenutih procesa i pregled svakog Python skripta koji se izvršava.

Linux distribucije uživo

Ove distribucije se izvršavaju unutar RAM memorije. Jedini način da se otkriju je ukoliko je NTFS fajl-sistem montiran sa dozvolama za pisanje. Ako je montiran samo sa dozvolama za čitanje, neće biti moguće otkriti upad.

Bezbedno brisanje

https://github.com/Claudio-C/awesome-data-sanitization

Windows konfiguracija

Moguće je onemogućiti nekoliko metoda beleženja Windows-a kako bi forenzička istraga bila mnogo teža.

Onemogući vremenske oznake - UserAssist

Ovo je registarski ključ koji čuva datume i sate kada je svaki izvršni fajl pokrenut od strane korisnika.

Onemogućavanje UserAssist-a zahteva dva koraka:

Postavite dva registarska ključa, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs i HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, oba na nulu kako biste signalizirali da želite onemogućiti UserAssist.
Obrišite podstabla registra koja izgledaju kao HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash>.

Onemogući vremenske oznake - Prefetch

Ovo će sačuvati informacije o aplikacijama koje su izvršene sa ciljem poboljšanja performansi Windows sistema. Međutim, ovo može biti korisno i za forenzičke prakse.

Izvršite regedit
Izaberite putanju fajla HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
Desni klik na EnablePrefetcher i EnableSuperfetch
Izaberite Izmeni na svakom od njih da promenite vrednost sa 1 (ili 3) na 0
Ponovo pokrenite

Onemogući vremenske oznake - Vreme poslednjeg pristupa

Kada se folder otvori sa NTFS volumena na Windows NT serveru, sistem uzima vreme da ažurira polje vremenske oznake na svakom navedenom folderu, nazvano vreme poslednjeg pristupa. Na veoma korišćenom NTFS volumenu, ovo može uticati na performanse.

Otvorite Registry Editor (Regedit.exe).
Pretražite HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem.
Potražite NtfsDisableLastAccessUpdate. Ako ne postoji, dodajte ovaj DWORD i postavite vrednost na 1, što će onemogućiti proces.
Zatvorite Registry Editor i ponovo pokrenite server.

Obriši USB istoriju

Svi unosu uređaja USB-a se čuvaju u Windows registru pod ključem USBSTOR koji sadrži podključeve koji se kreiraju svaki put kada priključite USB uređaj na računar ili laptop. Možete pronaći ovaj ključ ovde HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Brisanjem ovoga ćete obrisati USB istoriju.
Takođe možete koristiti alat USBDeview da biste bili sigurni da ste ih obrisali (i da ih obrišete).

Drugi fajl koji čuva informacije o USB uređajima je fajl setupapi.dev.log unutar C:\Windows\INF. I ovaj fajl treba obrisati.

Onemogući senke kopija

Prikaži senke kopija sa vssadmin list shadowstorage
Obriši ih pokretanjem vssadmin delete shadow

Takođe ih možete obrisati putem GUI prateći korake predložene na https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html

Za onemogućavanje senki kopija koraci odavde:

Otvorite program Services kucanjem "services" u polje za pretragu teksta nakon što kliknete na Windows start dugme.
Iz liste pronađite "Volume Shadow Copy", izaberite ga, a zatim pristupite Properties desnim klikom.
Izaberite Disabled iz padajućeg menija "Startup type", a zatim potvrdite promenu klikom na Apply i OK.

Takođe je moguće izmeniti konfiguraciju koje datoteke će biti kopirane u senki kopiji u registru HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Prepisi obrisane fajlove

Možete koristiti Windows alat: cipher /w:C Ovo će narediti cifri da ukloni sve podatke sa dostupnog neiskorišćenog prostora na disku C.
Takođe možete koristiti alate poput Eraser

Obriši Windows događajne zapise

Windows + R --> eventvwr.msc --> Proširi "Windows Logs" --> Desni klik na svaku kategoriju i izaberi "Clear Log"
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Onemogući Windows događajne zapise

reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
Unutar sekcije servisa onemogućite servis "Windows Event Log"
WEvtUtil.exec clear-log ili WEvtUtil.exe cl

Onemogući $UsnJrnl

fsutil usn deletejournal /d c: