搜索

[16833] 2021-05-27_如何使用Judge-Jury-and-Executable进行文件系统取证和威胁分析

文档创建者:s7ckTeam
浏览次数:1
最后更新:2025-01-18
2021-05-27_如何使用Judge-Jury-and-Executable进行文件系统取证和威胁分析 使 J u d g e - J u r y - a n d - E x e c u t a b l e A l p h a _ h 4 c k   F r e e B u f   2 0 2 1 - 0 5 - 2 7 J u d g e - J u r y - a n d - E x e c u t a b l e J u d g e - J u r y - a n d - E x e c u t a b l e M F T S Q L S Q L i t e C S V J u d g e - J u r y - a n d - E x e c u t a b l e S Q L 线 使 M F T / 5 1 S Q L 便 / S Q L . N E T   F r a m e w o r k   v 4 . 8 / / 访 S Q L V i s u a l   S t u d i o S Q L M F T M F T 使 A C L 使 访 A P I 访 5 1
S H A 2 5 6 M D 5 M F T & M F T / / 访 / / 访 P E D L L 5 0 9 Y A R A


/ * I D E A :   A l l   f i l e s   i n   t h e   d i r e c t o r y   C : W i n d o w s S y s t e m 3 2   s h o u l d   b e   ' o w n e d '   b y   T r u s t e d I n s t a l l e r . I f   a   f i l e   i n   t h e   S y s t e m 3 2   d i r e c t o r y   i s   o w n e d   b y   a   d i f f e r e n t   u s e r ,   t h i s   i n d i c a t e s   a n   a n o m a l y , a n d   t h a t   u s e r   i s   l i k e l y   t h e   u s e r   t h a t   c r e a t e d   t h a t   f i l e .
a n d   t h a t   u s e r   i s   l i k e l y   t h e   u s e r   t h a t   c r e a t e d   t h a t   f i l e . M a l w a r e   l i k e s   t o   m a s q u e r a d e   a r o u n d   a s   v a l i d   W i n d o w s   s y s t e m   f i l e s . E x e c u t a b l e s   t h a t   a r e   p l a c e d   i n   t h e   S y s t e m 3 2   d i r e c t o r y   n o t   o n l y   l o o k   m o r e   o f f i c i a l ,   a s   i t   i s   a   c o m m o n   p a t h   f o r s y s t e m   f i l e s ,   b u t   a n   e x p l i c i t   p a t h   t o   t h a t   e x e c u t a b l e   d o e s   n o t   n e e d   t o   b e   s u p p l i e d   t o   e x e c u t e   i t   f r o m   t h e c o m m a n d   l i n e ,   w i n d o w s   ' R u n '   d i a l o g   b o x   o f   t h e   s t a r t   m e n u ,   o r   t h e   w i n 3 2   A P I   c a l l   S h e l l E x e c u t e . * / S E L E C T T O P   1 0 0 0   * F R O M     [ F i l e P r o p e r t i e s ] W H E R E                 [ F i l e O w n e r ]   < >   ' T r u s t e d I n s t a l l e r '         A N D   [ D i r e c t o r y L o c a t i o n ]   =   ' : W i n d o w s S y s t e m 3 2 '         A N D   I s S i g n e d   =   0 O R D E R   B Y   [ P r e v a l e n c e C o u n t ]   D E S C / * I D E A :   T h e   M F T   c r e a t i o n   t i m e s t a m p   a n d   t h e   O S   c r e a t i o n   t i m e s t a m p   s h o u l d   m a t c h . I f   t h e   M F T   c r e a t i o n   t i m e s t a m p   o c c u r s   a f t e r   t h e   c r e a t i o n   t i m e   r e p o r t e d   b y   t h e   O S   m e t a - d a t a , t h i s   i n d i c a t e s   a n   a n o m a l y . T i m e s t o m p   i s   a   t o o l   t h a t   i s   p a r t   o f   t h e   M e t a s p l o i t   F r a m e w o r k   t h a t   a l l o w s   a   u s e r   t o   b a c k d a t e   a   f i l e t o   a n   a r b i t r a r y   t i m e   o f   t h e i r   c h o o s i n g .   T h e r e   r e a l l y   i s n ' t   a   g o o d   l e g i t i m a t e   r e a s o n   f o r   d o i n g   t h i s ( l e t   m e   k n o w   i f   y o u   c a n   t h i n k   o f   o n e ) ,   a n d   i s   c o n s i d e r e d   a n   a n t i - f o r e n s i c s   t e c h n i q u e . * / S E L E C T T O P   1 0 0 0   * F R O M     [ F i l e P r o p e r t i e s ] W H E R E ( [ M f t T i m e A c c e s s e d ]   < >   [ L a s t A c c e s s T i m e ] )   O R ( [ M f t T i m e C r e a t i o n ]   < >   [ C r e a t i o n T i m e ] )   O R ( [ M f t T i m e M f t M o d i f i e d ]   < >   [ L a s t W r i t e T i m e ] ) O R D E R   B Y   [ D a t e S e e n ]   D E S C
/ * I D E A :   T h e   ' C o m p i l e D a t e '   p r o p e r t y   o f   a n y   e x e c u t a b l e   o r   d l l   s h o u l d   a l w a y s   c o m e   b e f o r e   t h e   c r e a t i o n   t i m e s t a m p   f o r   t h a t   f i l e . S i m i l a r   l o g i c   a p p l i e s   a s   f o r   t h e   M F T   c r e a t i o n   t i m e s t a m p   o c c u r i n g   a f t e r   t h e   c r e a t i o n   t i m e s t a m p .   H o w   c o u l d   a   p r o g r a m   h a v e   b e e n c o m p i l e d   A F T E R   t h e   f i l e   t h a t   h o l d s   i t   w a s   c r e a t e d ?   T h i s   a n o m a l y   i n d i c a t e s   b a c k d a t i n g   o r   t i m e s t o m p i n g   h a s   o c c u r r e d . * / S E L E C T T O P   1 0 0 0   * F R O M     [ F i l e P r o p e r t i e s ] W H E R E ( [ M f t T i m e C r e a t i o n ]   <   [ C o m p i l e D a t e ] )   O R ( [ C r e a t i o n T i m e ]   <   [ C o m p i l e D a t e ] ) O R D E R   B Y   [ D a t e S e e n ]   D E S C

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理