የመከታተያ ፋይሎች ወይም Prefetch ፋይሎች ከኤፒፒ ጀምሮ በዊንዶውስ ውስጥ አሉ። ከዚያን ጊዜ ጀምሮ፣ የዲጂታል ፎረንሲኮች እና የኮምፒዩተር ክስተት ምላሽ ስፔሻሊስቶች ማልዌርን ጨምሮ የሶፍትዌር ዱካዎችን እንዲያገኙ ረድተዋል። በኮምፒውተር ፎረንሲክስ ቡድን-IB ውስጥ ግንባር ቀደም ስፔሻሊስት Oleg Skulkin Prefetch ፋይሎችን በመጠቀም ምን ማግኘት እንደሚችሉ እና እንዴት እንደሚሰሩ ይነግርዎታል።
Prefetch ፋይሎች በማውጫው ውስጥ ተከማችተዋል። %SystemRoot% Prefetch እና ፕሮግራሞችን ለመጀመር ሂደቱን ለማፋጠን ያገለግላሉ. ከእነዚህ ፋይሎች ውስጥ አንዱን ከተመለከትን, ስሙ ሁለት ክፍሎችን ያቀፈ መሆኑን እንመለከታለን: የሚፈፀመው ፋይል ስም እና ወደ እሱ ከሚወስደው መንገድ ስምንት ቁምፊዎች ያለው ቼክ.
ፕሪፌች ፋይሎች ከፎረንሲክ እይታ አንጻር ብዙ ጠቃሚ መረጃዎችን ይይዛሉ፡- የሚፈፀመው ፋይል ስም፣ የተጀመረበት ጊዜ ብዛት፣ ተፈፃሚው ፋይል የተገናኘባቸው የፋይሎች እና ማውጫዎች ዝርዝር እና በእርግጥ የጊዜ ማህተም። በተለምዶ የፎረንሲክ ሳይንቲስቶች ፕሮግራሙ መጀመሪያ የተጀመረበትን ቀን ለመወሰን የአንድ የተወሰነ የፕሪፌች ፋይል የተፈጠረበትን ቀን ይጠቀማሉ። በተጨማሪም, እነዚህ ፋይሎች የመጨረሻውን የጀመረበትን ቀን ያከማቻሉ, እና ከስሪት 26 (ዊንዶውስ 8.1) ጀምሮ - የሰባቱ የቅርብ ጊዜ ሩጫዎች የጊዜ ማህተም.
ከ Prefetch ፋይሎች ውስጥ አንዱን እንውሰድ፣ ከ Eric Zimmerman's PECmd በመጠቀም መረጃን እናውጣ እና እያንዳንዱን ክፍል እንይ። ለማሳየት፣ መረጃን ከፋይል አወጣለሁ። CCLEANER64.EXE-DE05DBE1.pf.
ስለዚህ ከላይ እንጀምር. በእርግጥ የፋይል መፍጠር፣ ማሻሻያ እና የጊዜ ማህተም መዳረሻ አለን።
የሚተገበረው ፋይል ስም፣ ወደ እሱ የሚወስደው መንገድ ቼክ ድምር፣ የሚፈፀመው ፋይል መጠን እና የፕሪፌች ፋይል ስሪት ይከተላሉ፡
ከዊንዶውስ 10 ጋር እየተገናኘን ስለሆነ ቀጥሎ የጅማሬዎችን ብዛት ፣የመጨረሻው ጅምር ቀን እና ሰዓት እና ሌሎች ሰባት ጊዜ ማህተሞች ከዚህ በፊት የሚጀመሩበትን ቀናት እናያለን፡
የመለያ ቁጥሩን እና የፍጥረት ቀንን ጨምሮ ስለ ድምጹ መረጃ ይከተላል።
የመጨረሻው ግን ቢያንስ ተፈጻሚው ከነሱ ጋር የተገናኘባቸው የማውጫ እና የፋይሎች ዝርዝር ነው።
ስለዚህ፣ ፈጻሚው የተገናኘባቸው ማውጫዎች እና ፋይሎች ልክ ዛሬ ላይ ማተኮር የምፈልገው ናቸው። በዲጂታል ፎረንሲክስ፣ በኮምፒዩተር ክስተት ምላሽ ወይም በቅድመ ዛቻ አደን ውስጥ ያሉ ስፔሻሊስቶች የአንድን ፋይል አፈፃፀም እውነታ ብቻ ሳይሆን በአንዳንድ ሁኔታዎችም የአጥቂዎችን ልዩ ስልቶች እና ቴክኒኮችን እንደገና እንዲገነቡ የሚያስችል ይህ መረጃ ነው። ዛሬ አጥቂዎች ብዙውን ጊዜ መረጃን እስከመጨረሻው ለመሰረዝ መሳሪያዎችን ይጠቀማሉ ፣ ለምሳሌ ፣ SDelete ፣ ስለሆነም ቢያንስ የተወሰኑ ዘዴዎችን እና ቴክኒኮችን ወደነበረበት የመመለስ ችሎታ ለማንኛውም ዘመናዊ ተከላካይ - የኮምፒዩተር የፎረንሲክስ ባለሙያ ፣ የአደጋ ምላሽ ባለሙያ , አንድ ThreatHunter ባለሙያ.
በቅድመ መዳረሻ ታክቲክ (TA0001) እና በጣም ታዋቂ በሆነው ቴክኒክ ስፓይሽንግ አባሪ (T1193) እንጀምር። አንዳንድ የሳይበር ወንጀለኞች ቡድኖች በኢንቨስትመንት ምርጫቸው በጣም ፈጠራ ናቸው። ለምሳሌ የዝምታ ቡድኑ በ CHM (ማይክሮሶፍት የተጠናቀረ ኤችቲኤምኤል እገዛ) ቅርጸት ተጠቅሟል። ስለዚህ, ከእኛ በፊት ሌላ ዘዴ አለን - የተጠናቀረ HTML ፋይል (T1223). እንደነዚህ ያሉ ፋይሎች የሚጀመሩት በመጠቀም ነው። hh.exe, ስለዚህ ከ Prefetch ፋይሉ ላይ መረጃን ካወጣን, የትኛው ፋይል በተጠቂው እንደተከፈተ እናገኛለን:
ከትክክለኛ ጉዳዮች ምሳሌዎች ጋር መስራታችንን እንቀጥል እና ወደ ቀጣዩ የማስፈጸሚያ ታክቲክ (TA0002) እና CSMTP ቴክኒክ (T1191) እንሂድ። የማይክሮሶፍት ግንኙነት አስተዳዳሪ መገለጫ ጫኝ (CMSTP.exe) ተንኮል አዘል ስክሪፕቶችን ለማሄድ በአጥቂዎች መጠቀም ይችላል። ጥሩ ምሳሌ የኮባልት ቡድን ነው። ከ Prefetch ፋይል ውስጥ ውሂብ ካወጣን cmstp.exe, ከዚያ በትክክል ምን እንደተጀመረ እንደገና ማወቅ እንችላለን-
ሌላው ታዋቂ ዘዴ Regsvr32 (T1117) ነው. Regsvr32.exe ብዙውን ጊዜ ለማጥቃት በአጥቂዎችም ይጠቀማል። ከኮባልት ቡድን ሌላ ምሳሌ ይኸውና፡ ከ Prefetch ፋይል ላይ መረጃን ካወጣን። regsvr32.exe, ከዚያ እንደገና የተጀመረውን እናያለን-
የሚቀጥሉት ስልቶች ጽናት (TA0003) እና ፕራይቬሌጅ ማሳደግ (TA0004)፣ ከመተግበሪያ ሺሚንግ (T1138) እንደ ቴክኒክ ናቸው። ስርዓቱን ለመሰካት ይህ ዘዴ በCarbanak/FIN7 ጥቅም ላይ ውሏል። በተለምዶ ከፕሮግራም ተኳሃኝነት ዳታቤዝ (.sdb) ጋር ለመስራት ይጠቅማል። sdbinst.exe. ስለዚህ፣ የዚህ ፈጻሚው የPrefetch ፋይል የእነዚህን የውሂብ ጎታዎች ስም እና ቦታ ለማወቅ ይረዳናል፡-
በምሳሌው ላይ እንደሚታየው ለመጫን የሚያገለግል የፋይል ስም ብቻ ሳይሆን የተጫነው የውሂብ ጎታ ስምም አለን.
የአስተዳደር ማጋራቶችን (T0008) በመጠቀም የአውታረ መረብ ስርጭት (TA1077) PsExec በጣም የተለመዱ ምሳሌዎችን እንመልከት። PSEXECSVC የተሰየመ አገልግሎት (በእርግጥ አጥቂዎች መለኪያውን ከተጠቀሙ ሌላ ማንኛውንም ስም መጠቀም ይቻላል። -r) በዒላማው ሥርዓት ላይ ይፈጠራል፣ ስለዚህ ውሂቡን ከ Prefetch ፋይል ካወጣን ፣ የተጀመረውን እናያለን፡-
ምናልባት በጀመርኩበት እጨርሳለሁ - ፋይሎችን መሰረዝ (T1107). አስቀድሜ እንደገለጽኩት፣ ብዙ አጥቂዎች በተለያዩ የጥቃቱ የህይወት ኡደት ደረጃዎች ላይ ያሉ ፋይሎችን በቋሚነት ለመሰረዝ SDeleteን ይጠቀማሉ። መረጃውን ከ Prefetch ፋይል ከተመለከትን sdelete.exe, ከዚያ በትክክል የተሰረዘውን እናያለን-
በእርግጥ ይህ በ Prefetch ፋይሎች ላይ በሚተነተንበት ጊዜ ሊገኙ የሚችሉ ቴክኒኮች የተሟላ ዝርዝር አይደለም ፣ ግን እንደዚህ ያሉ ፋይሎች የማስጀመሪያውን ዱካዎች ለማግኘት ብቻ ሳይሆን የተወሰኑ የአጥቂ ዘዴዎችን እና ቴክኒኮችን እንደገና መገንባት እንደሚችሉ ለመረዳት በቂ መሆን አለበት። .
ምንጭ: hab.com