Az időpecsétekről bővebben
Az időpecsétekről már írtunk korábbi bejegyzésekben - rövid ismétlés: NTFS alatt négyféle időbélyeg tartozik egy-egy fájlhoz: ACME (Accessed, Created, Modified, Entry modified), ezeknek kritikus szerep jut a timeline összeállítása során. A népszerű profi forensic eszközök, mint pl. az EnCase, az Autopsy az időbélyegek alapján automatikusan kigyűjtik a fájlrendszer metaadataiból a törlések, létrehozások stb. idősorrendjét.
Az NTFS időpecsétek azonban nem csak egy helyen tárolódnak: az $MFT fájlban az egyes fájlokhoz tartozó leíróban nem csak a Standard Information mezőben, hanem a File Attribute mezőben is találhatóak ACME időpecsétek: a legtöbb fájlkezelő és forensic eszköz csak a Standard Information mező tartalmát veszi figyelembe, a másikat békén hagyja. A két mező közül az SI időpecsétek minden alkalommal frissülnek, az FA csak a fájl másolásakor/áthelyezésekor - ebből annyi jön, hogy az SI pecsétek elvileg nem lehetnek korábbiak, mint az FA pecsétjei: ha mégis, akkor valószínűleg valaki játszott a pecsétekkel.
Egy példa technet blogjáról (az ntfs.txt fájl a "sima" időpecsétek szerint 1601-ben keletkezett, 1801-ben nyúltak hozzá és 2008-ban nyitották meg utoljára, viszont az NTFS $MFT-ben láthatóak az érvényes, igazi időpecsétek.)
A fájlszignatúrákról még egyszer
A fájlszignatúrákat módosító posztban mondtuk, hogy nagyon egyszerűen lehet maszkírozni a fájlunkat különféle típusok között - jöttek visszajelzések arról, hogy mutassunk példát. Lássunk egyet!
zsombor@jester:~$ cat belaEgyértelmű a kép: a bela fájl szöveget tartalmaz, a file parancs egyértelműen észre is veszi. De mi van, ha...?
Nem vagyok vegrehajthato!
zsombor@jester:~$ file bela
bela: ASCII text
zsombor@jester:~$ cat belaNocsak-nocsak. Ha megnézzük egy forensic céleszközzel az állományt:
MZ Nem vagyok vegrehajthato!
zsombor@jester:~$ file bela
bela: MS-DOS executable
Tanulság: ne bízzunk a céleszközeinkben sem!
Nincsenek megjegyzések:
Megjegyzés küldése
Kommentek