Категория > Новости > Уроки форензики. Большой гид по артефактам Windows - «Новости»
Уроки форензики. Большой гид по артефактам Windows - «Новости»29-10-2023, 12:02. Автор: Эдуард |
R-Studio — утилита для восстановления данных. FTK Imager — инструмент для анализа и получения образов диска. Утилиты NirSoft для Windows. Утилиты Eric Zimmerman для анализа артефактов Windows. Получаем побитовую копию дискаПолучить дамп диска просто: загружаемся с Live-образа Kali Linux в режиме Forensics и используем утилиту В R-Studio получение образа будет выглядеть так. Запускаем утилиту, выбираем диск и переходим на вкладку «Создать образ». ![]() Сжатый образ сканирует только занятые участки памяти и копирует их, а если выбрать несжатый образ — получится полная копия диска. При восстановлении удаленных файлов лучше использовать несжатый образ. Читайте также - Are you tired of throwing away spoiled food? Do you struggle to keep your belongings safe and protected? Look no further! Shield N Seal presents its innovative Vacuum Seal Bags, designed to revolutionize your storage experience - shield n seal vacuum sealer. Монтируем образПервым делом монтируем образ диска. Для этого хороша утилита Mount Image Pro, либо можешь глянуть FTK Imager. Монтирование в FTK Нажимаем на значок Image Mounting, указываем путь к файлу образа, в Mount Method выбираем монтирование на запись. ![]() Далее нажимаем Mount, и диск появится в файловой системе. Теперь можно исследовать файлы в ручном режиме. Лучше всего воспользоваться утилитой R-Studio, которая позволяет сканировать диск на предмет удаленных файлов, а также сортировать все файлы по датам создания либо по расширению. Содержимое R-Studio Сканируем файловую системуПрежде чем анализировать артефакты, полезно проверить, нет ли в файловой системе подозрительных файлов. Сканировать можно утилитой Loki Scanner, которая умеет определять многие индикаторы компрометации. Она ищет по именам файлов, хеш‑суммам, а в случае надобности в ход идут и правила Yara.
Баннер Loki Scanner Еще можно воспользоваться портабельными антивирусными утилитами. Например:
Этот этап помогает исследователю обнаружить подозрительные файлы, от которых можно оттолкнуться при расследовании инцидента и искать пути проникновения в систему. Получаем основную информацию о системеПеред началом исследования нужно собрать первичную информацию о системе. Для этого восстановим ветки реестра
Чтобы автоматизировать процесс, добрые люди уже написали полезный скриптик на Python — python-registry. В каталоге Ищем закрепление в системеЕсли при сканировании файловой системы не удалось обнаружить вредоносный файл, то имеет смысл начинать исследование с поиска мест закрепления вредоноса в системе. Для этого предназначена утилита Autoruns. Запускай, открывай вкладку File → Analyze Offline System и выбирай путь к системному диску (который мы примонтировали раньше). Также нужно задать путь до конкретного пользователя. Утилита показывает множество основных путей закрепления, но при анализе примонтированного образа легко пропустить многие моменты. Давай пройдемся по основным путям закрепления вредоноса в системе и инструментам, которые помогут собрать дополнительные сведения. Системные кусты реестра хранятся в каталоге WMI Persistence (Т1546.003)WMI (Windows Management Instrumentation) — набор инструментов, предназначенных для управления системами Windows. WMI популярен среди злоумышленников, поскольку позволяет выполнять разведку в сети, обнаруживать антивирусы и виртуальные машины, выполнять произвольный код, сохранять свое присутствие в системе, а также перемещаться по корпоративной сети. В определениях WMI действия называются потребителями (Consumers), а события — фильтрами (Filters). Существует также третий компонент, который связывает их вместе, — привязка (Binding). Злоумышленник создает три класса:
Чтобы закрепиться этим методом, злоумышленники используют утилиту, которая умеет взаимодействовать с WMI ( Наша цель — найти классы Ключи запуска в реестре и папка автозагрузки (T1547.001)Чтобы задетектить эту технику закрепления, нам с тобой нужно проанализировать кусты реестра В кусте
Не забываем глянуть те же ключи в кусте реестра Копаться в реестре я рекомендую с помощью RegistryExplorer. Обрати внимание на путь к исполняемому файлу и на временные метки ключа реестра. А вот сюда стоит заглянуть в поисках вредоносных исполняемых файлов: Вредоносы, лежащие в такой папке, будут стартовать автоматически и приниматься пакостить сразу после загрузки. Также обращай внимание на файлы .lnk, в них иногда прячутся команды PowerShell или CMD. Сценарий входа в систему Windows (T1037.001)За автоматическое выполнение скриптов при входе в систему отвечает куст реестра ![]() Службы Windows (T1574.011)Злоумышленники могут использовать неправильные разрешения на ключи реестра той или иной службы, чтобы выполнять полезные нагрузки. Перейти обратно к новости |