خبرهای مهم: سریعا ویندوز خود را آپدیت کنید!

تاریخ امروز برابر است با [ دوشنبه ۳ مهر ۱۳۹۶ ]

در قسمت قبلی آشنایی اولیه پیدا کردیم با جرم یابی دیجیتال از طریق فایل و کلیدهای رجیستری، در این قسمت به بررسی مختصر پکیج Windows Sysinternals و وارسی فایلهای Prefetch در ویندوز میپردازیم.

 

 

Sysinternals Suite

مجموعه ای از نرم افزارهای است که بیشتر برای عیب یابی بکار برده میشوند و میتونید کل بسته رو از اینجا دانلود کنید، در اینجا به معرفی بعضی از این ابزار در که روند انجام جرم یابی ممکنه به ما کمک کنند میپردازیم:

 

  • BgInfo

نمایش مشخصات سیستم روی دسکتاپ

 

 

  • Autoruns

نمایش برنامه های که در موقع استارت آپ اجرا می شوند

 

  • AccessEnum

ابزاری که نشان می دهد چه کسی و چه سطح دسترسی دایرکتوری ها، فایل ها و کلیدهای رجیستری دارد

 

 

  • DiskMon

نمایش دهنده تمام فعالیت های که روی دیسک سخت صورت گرفته

 

  • EFSDump

به شما اجازه میدهد ببینید که چه کسانی به فایلهای رمزنگاری شده دسترسی دارد

 

 

  • ListDLLs

لیستی از تمام دی ال ال های که با فایلهار در حال اجرا مرتبط می باشند

 

  • NTFSInfo

اطلاعات حجمی مربوط به درایو ان تی اف اس شما را نمایش می دهد

 

  • Process Monitor

نظارت و مشاهده روند اجرایی فایلها و دی ال ال ها در لحظه

 

 

  • TCPView

نمایش زنده تمامی مشخصات پورت های تی سی پی و یو دی پی فعال روی سیستم شما

 

 

کاوش در Prefetch

Prefetch قابلیتی است که اگر چه به منظور جرم یابی در ویندوز گنجانده نشده و در اصل هدفش تسریع و سرعت دادن به برنامه ها در زمان اجرا است اما بدلیل ذخیره برخی اطلاعات ما می تونیم یکسری داده های مفید رو ازش استخراج کنیم.
دقت کنید که قابلیت Prefetch به صورت پیشفرض روی سیستم عامل شما فعال است

 

همچنین شما از طریق رجیستری و در آدرس زیر هم می توانید قابلیت prefetch رو فعال یا غیر فعال کنید:

  • مقدار ۰ غیر فعال
  • مقدار ۱ فقط برای برنامه ها
  • مقدار ۲ فقط برای بوت
  • مقدار ۳ برنامه ها و بوت رو شامل میشه

 

فایل های پیش فرض prefetch حاوی برنامه های مورد استفاده شده، آخرین تاریخ استفاده و جایی که برنامه ذخیره شده و نهایتا تعداد دفعات استفاده از برنامه است.

محل قرارگیری این فایلها در آدرس زیر است:

همونطور که میبینید وقتی فایل رو با یک ویرایشگر متنی ساده مثل نوت پد باز میکنیم یکسری از اطلاعات قابل مشاهده است

 

 

اما این همه اون چیزی نیست که در این فایلها موجوده، ما میتونیم از نرم افزارهای مختلفی برای آنالیز و بررسی استفاده کنیم که من به سراغ windows file analyzer رفتم، بعد از اینکه عمل واکاوی تموم میشه میتونیم ببینیم که برای مثال ابزار CMD آخرین بار در چه تاریخی (۵/۲۶) مورد استفاده قرار گرفته و یا اینکه چندبار (۳۶۴) مورد استفاده بوده است.

 

نرم افزار دیگه ایی که اطلاعات prefetch رو به صورت کاملتری در اختیار ما میذاره Windows prefetch view، ما در بررسی موارد موجود متوجه فایلی با نام fwpupdate.exe میشیم که با توجه به آدرسدهی و همینطور DLL ها و فایلهای مرتبطش بنظر نمیرسه جزو پروسس های استاندارد و عادی باشه.

 

اگر اسم فایل رو در گوگل جستجو کنید میبینید که هیچ نتیجه ای یافت نمیشه و بهتون پیشنهاد میده شاید داشتید دنبال fwupdate.exe (که مربوط به نرم افزارهای شرکت LG است) میگشتید، خوب اگر ما به آدرس

بریم و بعد از راست کلیک روی گزینه properties کلیک کنیم و به تب امضای دیجیتال بریم متوجه یک اسم خواهیم شد که با جستجوی این اسم در گوگل از ماهیت فایل مذکور میتوان اطلاعاتی را کسب نمود:

 

 

همچنین میتونیم از برنامه WinMD5 استفاده کنیم و معادل md5 فایل رو مورد جستجو قرار بدیم که در هر دو حالت نتیجه یکسان خواهد بود:

 

همونطور که مشخص شده فایل fwupdate همون netcat است و احتمالا با هدف شنود و به عنوان یک درب پشتی روی سیستم بارگذاری شده و مورد استفاده قرار میگرفته است.

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*