File systems and Timing

文件系统基础
NTFS 核心结构
Deleted Files 与 Unallocated / Slack
Signature Analysis
Hash Analysis
Searching Techniques
Timeline Analysis (MACB, FAT/NTFS)

NTFS

Everything is a file.

MFT FILE Record 结构:
$STANDARD_INFORMATION: MACB
$FILENAME $DATA Resident vs Non-resident

删除文件机制

  1. MFT entry
  2. $Bitmap更新
  3. 数据本身不会被删除,直到被覆盖

FAT

Unallocated & File Slack

  1. Unallocated Space
  2. File Slack (RAM Slack, Drive Slack)

Timelining

  1. FAT32 与 NTFS 时间区别
  2. FAT32 (C M A(日期,没有时间) local timezone )
  3. NTFS (MAC(MFT Change) B(Creation), UTC)
  4. rename,移动,修改权限 C

Update Rules

  1. Rename:Change, Modify(x)
  2. Move:Change, Birth(x)
  3. Copy: Birth, Modify(x)

Timestomping (Anti-forensics)

  1. 比较 $STANDARD_INFORMATION 和 $FILENAME

用 Timeline 解释行为

  • 某文件的创建
  • 随后执行清除工具
  • 又创建要给邮件附件
  • 然后复制到USB
  • 执行 CCleaner
  • 删除

Signature Analysis(文件头 vs 扩展名)

Hash Analysis (Known Good / Bad)

Timeline Analysis 总结

  • 文件系统时间(MACB)
  • registry artefacts 时间
  • prefetch 时间
  • link file 时间
  • USB mount 时间
  • execution 时间

Signature Analysis

  • 用户恶意隐藏文件
  • 文件被重新命名
  • 文件扩展名被伪造
  • 恶意程序伪装成正常文件
  • 需要快速筛选可疑 artefacts

Magic Numbers (Magic Bytes)

  • JPEG (FF D8 FF)
  • PNG (89 50 4E 47)
  • PDF (25 50 44 46)
  • EXE (4D 5A)
  • DOCX/ZIP (50 4B 03 04)
  • GIF (47 49 46 38)
  • MP3 (FF FB)
  • RAR (52 61 72 21)

Signature Analysis 常见使用情景

Signature Analysis 局限性

Hash Analysis

  • Known Bad
  • Known Good

Hash Analysis 局限性

综合取证分析方法

  1. pre-proessing
  2. Bulk Processing
  3. Quick Triage

USB Forensic

  1. USBSTOR (USB 设备的基本列表)
    SYSTEM\CurrentControlSet\Enum\USBSTOR
  • 型号
  • 序列号
  • 第一次连接时间 (setupapi.dev.log)

  1. MountedDevices (分配过哪些 drive letters) SYSTEM\MountedDevices

  2. MountedDevices2 (哪个用户加载了USB) NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Evidence of Execution (Prefetch / UserAssist)

  1. Prefetch
  • 记录程序执行次数
  • 最近一次执行时间
  • 程序名 -程序加载的DLL
  1. UserAssist(ROT13)
  • 路径: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
  • 执行次数
  • 最后执行时间
  • 程序名

  1. Links Files

  2. Shellbags

扩展知识点

  1. FAT32
  • Created
  • Modified
  • Accessed

FAT32的Created和Modified完全依赖系统当前时区

  1. NTFS 4个($STANDARD_INFORMATION)
  • Created
  • Modified
  • MFT Modified
  • Accessed

UTC

things + why
things + why
things + why

IR

  • Identify
  • Contain
  • Eradicate
  • Recover