hacktricks/forensics/basic-forensic-methodology/anti-forensic-techniques.md
2023-06-03 01:46:23 +00:00

3.2 KiB

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Timestamps

Un atacante puede estar interesado en cambiar los timestamps de los archivos para evitar ser detectado.
Es posible encontrar los timestamps dentro del MFT en los atributos $STANDARD_INFORMATION y $FILE_NAME.

Ambos atributos tienen 4 timestamps: Modificación, acceso, creación y modificación del registro MFT (MACE o MACB).

El explorador de Windows y otras herramientas muestran la información de $STANDARD_INFORMATION.

TimeStomp - Herramienta anti-forense

Esta herramienta modifica la información de los timestamps dentro de $STANDARD_INFORMATION pero no la información dentro de $FILE_NAME. Por lo tanto, es posible identificar actividad sospechosa.

Usnjrnl

El USN Journal (Update Sequence Number Journal), o Change Journal, es una característica del sistema de archivos de Windows NT (NTFS) que mantiene un registro de los cambios realizados en el volumen.
Es posible utilizar la herramienta UsnJrnl2Csv para buscar modificaciones en este registro.

La imagen anterior es la salida mostrada por la herramienta donde se puede observar que se realizaron algunos cambios al archivo.

$LogFile

Todos los cambios de metadatos en un sistema de archivos se registran para garantizar la recuperación consistente de las estructuras críticas del sistema de archivos después de un fallo del sistema. Esto se llama write-ahead logging.
Los metadatos registrados se almacenan en un archivo llamado "$LogFile", que se encuentra en un directorio raíz de