Wir haben den zweiten Teil der Windows-Betriebssystemforensik behandelt, in dem wir das Sammeln von Artefakten aus dem Dateisystem demonstrierten. Wir haben das Extrahieren von Artefakten durch Wiederherstellen gelöschter Daten, Untersuchen und Analysieren von Prefetch-Dateien, der Windows 10-Zeitleiste, Sprunglisten, Verknüpfungen und USB-Geräten behandelt. Wir haben Forensik-Tools wie Autopsy EZ Tools verwendet. Dies war Teil des Cyber Defense-Pfades. Dies war Teil von TryHackMe Windows Forenscis 2 Cyber-Defense-Track.

Notizen zur Computerforensik abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Beschreibung der Herausforderung

Erfahren Sie mehr über gängige Windows-Dateisysteme und forensische Artefakte in den Dateisystemen.

Video-Highlights

Wir werden an anderer Stelle etwas über forensische Artefakte lernen. Wir werden etwas über die verschiedenen Dateisysteme lernen, die üblicherweise von Windows verwendet werden, und wo in diesen Dateisystemen nach Artefakten gesucht werden muss. Wir werden Standorte und Artefakte identifizieren, um Beweise für Ausführung, Datei-/Ordnernutzung oder -kenntnis und Nutzung externer Geräte zu erbringen. Wir werden auch die Grundlagen der Wiederherstellung gelöschter Dateien behandeln. Wir werden Eric Zimmermans Werkzeuge um die in den Artefakten vorhandenen Informationen für den Großteil dieses Raums zu analysieren. Wir haben bereits Registry Explorer und ShellBags Explorer im vorherigen Raum verwendet. Für einige der Aufgaben werden wir Autopsy verwenden.

Wenn Sie die Dateisysteme verstehen, können Sie leichter nachvollziehen, wie Dateien gelöscht, wiederhergestellt und gelöscht werden. Wie wir in den beiden vorherigen Aufgaben gelernt haben, speichert ein Dateisystem den Speicherort einer Datei auf der Festplatte in einer Tabelle oder einer Datenbank. Wenn wir eine Datei aus dem Dateisystem löschen, löscht das Dateisystem die Einträge, die den Speicherort der Datei auf der Festplatte speichern. Für das Dateisystem ist der Speicherort, an dem die Datei vorhanden war, jetzt zum Schreiben verfügbar oder nicht zugeordnet. Die Dateiinhalte auf der Festplatte sind jedoch immer noch vorhanden, solange sie nicht vom Dateisystem beim Kopieren einer anderen Datei oder von der Festplatten-Firmware bei Wartungsarbeiten an der Festplatte überschrieben werden.

Ebenso befinden sich Daten auf der Festplatte in verschiedenen nicht zugeordneten Clustern, die möglicherweise wiederhergestellt werden können. Um diese Daten wiederherzustellen, müssen wir die Dateistruktur verschiedener Dateitypen verstehen, um die spezifische Datei anhand der Daten zu identifizieren, die wir in einem Hex-Editor sehen. Darauf werden wir in diesem Raum jedoch nicht eingehen. Wir werden ein Tool verwenden, das diese Arbeit für uns übernimmt und gelöschte Dateien in einer Disk-Image-Datei identifiziert.

Windows Prefetch-Dateien

Wenn ein Programm in Windows ausgeführt wird, speichert es seine Informationen für die zukünftige Verwendung. Diese gespeicherten Informationen werden verwendet, um das Programm bei häufiger Verwendung schnell zu laden. Diese Informationen werden in Prefetch-Dateien gespeichert, die sich im C:\Windows\Prefetch Verzeichnis.

Prefetch-Dateien haben die Erweiterung .pf. Prefetch-Dateien enthalten die letzten Ausführungszeiten der Anwendung, die Anzahl der Ausführungen der Anwendung sowie alle von der Datei verwendeten Dateien und Gerätehandles. Sie sind somit eine hervorragende Informationsquelle über die zuletzt ausgeführten Programme und Dateien.

Wir können den Prefetch Parser (PECmd.exe) aus den Tools von Eric Zimmerman zum Parsen von Prefetch-Dateien und Extrahieren von Daten verwenden.

Verknüpfungsdateien

Windows erstellt für jede lokal oder remote geöffnete Datei eine Verknüpfungsdatei. Die Verknüpfungsdateien enthalten Informationen zum ersten und letzten Öffnungszeitpunkt der Datei und den Pfad der geöffneten Datei sowie einige andere Daten. Verknüpfungsdateien finden Sie an den folgenden Speicherorten:

C:\Benutzer\ \AppData\Roaming\Microsoft\Windows\Recent\

C:\Benutzer\ \AppData\Roaming\Microsoft\Office\Recent\

Wir können LECmd.exe (Lnk Explorer) von Eric Zimmerman verwenden, um Shortcut-Dateien zu analysieren.

Raumantworten

Wie viele adressierbare Bits gibt es im FAT32-Dateisystem?

Was ist die maximale Dateigröße, die vom FAT32-Dateisystem unterstützt wird?

Welches Dateisystem wird von Digitalkameras und SD-Karten verwendet?
Analysieren Sie die Datei $MFT in C:\Benutzer\THM-4n6\Desktop\triage\C\ und analysieren Sie es. Wie groß ist die Datei unter .\Windows\Security\logs\SceSetupLog.etl

Wie groß ist der Cluster für das Volumen, aus dem diese Triage entnommen wurde?

Es gibt eine weitere XLSX-Datei, die gelöscht wurde. Wie lautet der vollständige Name dieser Datei?

Wie lautet der Name der TXT-Datei, die von der Festplatte gelöscht wurde?

Stellen Sie die TXT-Datei aus Frage #2 wieder her. Was wurde in dieser TXT-Datei geschrieben?

Wie oft wurde gkape.exe ausgeführt?

Was ist die letzte Ausführungszeit von gkape.exe?

Als Notepad.exe am 30.11.2021 um 10:56 Uhr geöffnet wurde, wie lange blieb es im Fokus?

Welches Programm wurde zum Öffnen von C:\Users\THM-4n6\Desktop\KAPE\KAPE\ChangeLog.txt verwendet?

Wann wurde der Ordner C:\Users\THM-4n6\Desktop\regripper zuletzt geöffnet?

Wann wurde der oben genannte Ordner zum ersten Mal geöffnet?

Welches Artefakt zeigt uns die ersten und letzten Verbindungszeiten eines Wechseldatenträgers an?

Video-Komplettlösung

,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen