Created
October 15, 2023 17:50
-
-
Save v0s/75514c7abd7524dca92bd790b502fd45 to your computer and use it in GitHub Desktop.
SPbCTF Pro — форенсика образов Windows
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| ===== Форенсика и incident response, винда ===== | |
| Цель — установить ход инцидента | |
| Подход: смотрим на всё, записываем интересное, собираем в голове картинку | |
| === Монтирование и автосбор === | |
| Под виндой | |
| FTK?? | |
| FTK Imager | |
| Block Device | |
| File System | |
| Запуск | |
| Создать виртуалку, жёсткие диски всех типов | |
| Под Kali | |
| qemu-nbd | |
| modprobe nbd | |
| qemu-nbd -c /dev/nbd0 -r \[clean\]\ Windows\ 10\ x64\ LTSC\ 2019-cl1.vmdk | |
| file -Ls /dev/nbd0 | |
| ... | |
| qemu-nbd -d /dev/nbd0 | |
| kpartx | |
| kpartx -a /dev/nbd0 | |
| ... | |
| kpartx -d /dev/nbd0 | |
| mount | |
| mount -o ro /dev/mapper/nbd0p3 /opt/ | |
| ... | |
| umount /opt/ | |
| fls -r -m C: /dev/mapper/nbd0p3 > fls.txt | |
| mactime -b fls.txt > mactime.txt | |
| pv -d 116813 → смотреть прогресс доступа к файлам | |
| icat | |
| icat /dev/mapper/nbd0p3 107922-128-3 > recovered.file | |
| regripper → запустить плагины для конкретного куста | |
| SYSTEM: services сервисы, devclass mountdev usbdevices usbstor подключённые usb-девайсы, (network nic nic2 адаптеры и айпи, compname имя компа) | |
| SOFTWARE: soft_run автозапуск, regback кеш тасков шедулера, removdev юзб-девайсы, (apppaths imagefile перехваты ехешников, installer msis product uninstall установленные проги, networklist vista_wireless вайфайки, winver версия винды) | |
| NTUSER.DAT: user_run автозапуск, UserAssist запущенные ехешники, recentdocs открытые файлы | |
| php > $f = file("f:/tasks.txt"); | |
| php > foreach ($f as $ln) { preg_match('#Path\s+:\s+(.+?)\|LastWrite\s+:\s+(.+?) \(UTC#s', $ln, $mt); $date = strtotime($mt[2]); echo date("r", $date) . " " . $mt[1] . "\n"; } | |
| photorec → карвинг из свободного пространства | |
| log2timeline?? | |
| https://code.google.com/archive/p/log2timeline/ | |
| log2timeline -r -p -o mactime -w l2t.txt /opt/ | |
| === Где файлы === | |
| Юзера | |
| C:\Users\ | |
| C:\Users\...\NTUSER.DAT — реестр | |
| C:\Users\...\AppData\ — от софта | |
| C:\Users\...\AppData\Local\Temp — временные | |
| Системы | |
| C:\$Recycle.Bin\ — корзина | |
| 08.07.2019 13:29 118 $IUKYRXB.conf ← метаданные | |
| 07.07.2019 15:56 251 $RUKYRXB.conf ← выкинутый файл | |
| C:\ProgramData\ — от софта | |
| C:\Windows\System32\config — реестр | |
| C:\Windows\Temp — временные | |
| C:\Windows\System32\winevt\Logs — логи | |
| === Ручной анализ === | |
| Как происходит инцидент: | |
| Попадание малвари — действие извне (прозохали), либо действие изнутри (сам запустил) | |
| Закрепление — прописывается в автозагрузку | |
| Деятельность — следы на файловой системе | |
| Последствия — что малварь сделала, что утекло | |
| IOC — хеши (md5), пути к файлам, сетевая активность, ключи реестра | |
| Файлы | |
| автозагрузка и сервисы в реестре | |
| автозагрузка в таймлайне (Startup, Tasks) | |
| Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk | |
| Windows\System32\Tasks\*\* | |
| Windows\SysWOW64\Tasks\*\* | |
| .exe в таймлайне | |
| Temp | |
| Логи | |
| запущенные ехешники | |
| логи аутхов Security.evtx | |
| 4625 = неудачный вход | |
| 4624 = успешный вход | |
| 4634 = выход | |
| логи psexec System.evtx | |
| 7045 = создан сервис | |
| Артефакты | |
| Internet Explorer | |
| Кеш — AppData\Local\Microsoft\Windows\Temporary Internet Files, AppData\Local\Microsoft\Windows\INetCache\IE\ | |
| История — AppData\Local\Microsoft\Windows\History, AppData\Local\Microsoft\Windows\WebCache | |
| Куки — Users\...\Cookies, AppData\Local\Microsoft\Windows\INetCookies | |
| Firefox | |
| Кеш — AppData\Local\Mozilla\Firefox\Profiles\*\cache2\entries | |
| История — AppData\Roaming\Mozilla\Firefox\Profiles\*\places.sqlite (select * from moz_places;) | |
| Куки — AppData\Roaming\Mozilla\Firefox\Profiles\*\cookies.sqlite (select * from moz_cookies;) | |
| Chrome | |
| Кеш — AppData\Local\Google\Chrome\User Data\Default\Cache | |
| История — AppData\Local\Google\Chrome\User Data\Default\History (select * from urls;) | |
| Куки — AppData\Local\Google\Chrome\User Data\Default\Cookies (select * from cookies;) | |
| Thunderbird | |
| AppData\Roaming\Thunderbird\Profiles\*\Mail ImapMail | |
| Outlook | |
| AppData\Local\Microsoft\Outlook (readpst) | |
| === Дополнительно === | |
| reglookup-timeline → таймлайн ключей реестра | |
| reglookup-recover → удалённые записи в реестре | |
| dir /s /r c:\ | find ":$DATA" | |
| [ZoneTransfer] | |
| ZoneId=3 | |
| HostUrl=https://www.aethereternity.com/coolprogram.exe |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment