3.2 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
-
Descubre The PEASS Family, nuestra colección de exclusivos NFTs
-
Obtén el oficial PEASS & HackTricks swag
-
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
-
Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Timestamps
Un atacante puede estar interesado en cambiar los timestamps de los archivos para evitar ser detectado.
Es posible encontrar los timestamps dentro del MFT en los atributos $STANDARD_INFORMATION
y $FILE_NAME
.
Ambos atributos tienen 4 timestamps: Modificación, acceso, creación y modificación del registro MFT (MACE o MACB).
El explorador de Windows y otras herramientas muestran la información de $STANDARD_INFORMATION
.
TimeStomp - Herramienta anti-forense
Esta herramienta modifica la información de los timestamps dentro de $STANDARD_INFORMATION
pero no la información dentro de $FILE_NAME
. Por lo tanto, es posible identificar actividad sospechosa.
Usnjrnl
El USN Journal (Update Sequence Number Journal), o Change Journal, es una característica del sistema de archivos de Windows NT (NTFS) que mantiene un registro de los cambios realizados en el volumen.
Es posible utilizar la herramienta UsnJrnl2Csv para buscar modificaciones en este registro.
La imagen anterior es la salida mostrada por la herramienta donde se puede observar que se realizaron algunos cambios al archivo.
$LogFile
Todos los cambios de metadatos en un sistema de archivos se registran para garantizar la recuperación consistente de las estructuras críticas del sistema de archivos después de un fallo del sistema. Esto se llama write-ahead logging.
Los metadatos registrados se almacenan en un archivo llamado "$LogFile", que se encuentra en un directorio raíz de