coelner/hacktricks
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
c4e3a1df77
hacktricks/forensics/basic-forensic-methodology/anti-forensic-techniques.md
Translator workflow c928d8e52e Translated to Portuguese
2023-06-06 18:56:34 +00:00

3.5 KiB
Raw Blame History

Timestamps

Um invasor pode estar interessado em alterar os carimbos de data/hora dos arquivos para evitar ser detectado.
É possível encontrar os carimbos de data/hora dentro do MFT nos atributos $STANDARD_INFORMATION __ e __ $FILE_NAME.

Ambos os atributos têm 4 carimbos de data/hora: Modificação, acesso, criação e modificação do registro MFT (MACE ou MACB).

O Windows Explorer e outras ferramentas mostram as informações de $STANDARD_INFORMATION.

TimeStomp - Ferramenta Anti-forense

Esta ferramenta modifica as informações de carimbo de data/hora dentro de $STANDARD_INFORMATION mas não as informações dentro de $FILE_NAME. Portanto, é possível identificar atividades suspeitas.

Usnjrnl

O USN Journal (Update Sequence Number Journal), ou Change Journal, é um recurso do sistema de arquivos Windows NT (NTFS) que mantém um registro das alterações feitas no volume.
É possível usar a ferramenta UsnJrnl2Csv para procurar modificações neste registro.

A imagem anterior é a saída mostrada pela ferramenta onde é possível observar que algumas alterações foram realizadas no arquivo.

$LogFile

Todas as alterações de metadados em um sistema de arquivos são registradas para garantir a recuperação consistente das estruturas críticas do sistema de arquivos após uma falha do sistema. Isso é chamado de write-ahead logging.
Os metadados registrados são armazenados em um arquivo chamado “$LogFile”, que é encontrado em um diretório raiz de um sistema de arquivos NTFS.
É possível usar ferramentas como LogFileParser para analisar este arquivo e encontrar alterações.

Novamente, na saída da ferramenta, é possível ver que algumas alterações foram realizadas.

Usando a mesma ferramenta, é possível identificar a qual momento os carimbos de data/hora foram modificados:

  • CTIME: Hora de criação do arquivo
  • ATIME: Hora de modificação do arquivo
  • MTIME: Hora de modificação do registro MFT do arquivo
  • RTIME: Hora de acesso ao arquivo

Comparação entre $STANDARD_INFORMATION e $FILE_NAME

Outra maneira de identificar arquivos suspeitos modificados seria comparar o tempo em ambos os atributos procurando por incompatibilidades.

Nanosegundos

Os carimbos de data/hora do NTFS têm uma precisão de 100 nanossegundos. Então, encontrar arquivos com carimbos de data/hora como 2010-10-10 10:10:00.000:0000 é muito suspeito.

SetMace - Ferramenta Anti-forense

Esta ferramenta pode modificar ambos os atributos $STARNDAR_INFORMATION e $FILE_NAME. No entanto, a partir do Windows Vista, é necessário um sistema operacional ativo para modificar essas informações.

Ocultação de dados

O NFTS usa um cluster e o tamanho mínimo de informação. Isso significa que se um arquivo ocupa um cluster e meio, o meio restante nunca será usado até que o arquivo seja excluído. Então, é possível ocultar dados neste espaço ocioso.

Existem ferramentas como o slacker que permitem ocultar dados neste espaço "oculto". No entanto, uma análise do $logfile e $usnjrnl pode mostrar que alguns dados foram adicionados:

![](<../../.gitbook/assets/image