ټریس فایلونه، یا د پری فیچ فایلونه، د XP راهیسې په وینډوز کې شاوخوا دي. له هغه وخت راهیسې، دوی د ډیجیټل عدلي او کمپیوټر پیښو غبرګون متخصصینو سره د سافټویر نښې موندلو کې مرسته کړې، په شمول د مالویر. د کمپیوټر فارنزیک ګروپ - IB کې مخکښ متخصص اولیګ سکلکین تاسو ته وايي چې تاسو د Prefetch فایلونو په کارولو سره څه موندلی شئ او دا څنګه ترسره کړئ.
د پریفچ فایلونه په لارښود کې زیرمه شوي %SystemRoot%پرې ترلاسه کول او د پروګرامونو د پیل کولو پروسې ګړندۍ کولو لپاره خدمت وکړئ. که موږ د دې فایلونو څخه هر یو ته وګورو، نو موږ به وګورو چې نوم یې دوه برخې لري: د اجرا وړ فایل نوم او د هغې د لارې څخه اته کریکټ چکسم.
د پریفچ فایلونه ډیری معلومات لري چې د عدلي نقطه نظر څخه ګټور دي: د اجرا وړ فایل نوم، هغه وخت چې دا اعدام شوی، د فایلونو او لارښودونو لیست چې د اجرا وړ فایل سره اړیکه لري، او البته، د وخت سټیمپونه. په عموم کې ، عدلي ساینس پوهان د ځانګړي Prefetch فایل رامینځته کولو نیټه کاروي ترڅو هغه نیټه معلومه کړي چې برنامه په لومړي ځل پیل شوې وه. برسېره پردې، دا فایلونه د خپل وروستي لانچ نیټه ذخیره کوي، او د 26 نسخه (Windows 8.1) څخه پیل کیږي - د اوو وروستي منډو مهال ویشونه.
راځئ چې یو له Prefetch فایلونو څخه واخلو، د ایریک زیمرمن PECmd په کارولو سره له هغې څخه ډاټا راوباسئ او د هغې هرې برخې ته وګورئ. د ښودلو لپاره، زه به د فایل څخه ډاټا استخراج کړم CCEANER64.EXE-DE05DBE1.pf.
نو راځئ چې له پورته څخه پیل وکړو. البته، موږ د فایل جوړول، تعدیل، او د لاسرسي مهال ویش لرو:
دوی د اجرا وړ فایل نوم، دې ته د لارې چکسم، د اجرا وړ فایل اندازه، او د Prefetch فایل نسخه تعقیبوي:
له هغه ځایه چې موږ د وینډوز 10 سره معامله کوو، نو بیا به موږ د پیل شمیره، د وروستي پیل نیټه او وخت وګورو، او اوه نور ټایم سټیمپونه چې پخوانۍ لانچ نیټې په ګوته کوي:
دا د حجم په اړه معلومات تعقیبوي، پشمول د هغې سیریل نمبر او د جوړولو نیټه:
وروستی مګر لږترلږه د لارښودونو او فایلونو لیست دی چې اجرایوي ورسره اړیکه لري:
نو، هغه لارښوونې او فایلونه چې اجرایوي ورسره اړیکه لري هغه څه دي چې زه غواړم نن ورځ تمرکز وکړم. دا هغه معلومات دي چې د ډیجیټل فارنزیک، د کمپیوټر پیښو غبرګون، یا د ګواښ فعاله ښکار کې متخصصینو ته اجازه ورکوي چې نه یوازې د یوې ځانګړې فایل د اجرا کولو حقیقت رامینځته کړي، بلکې په ځینو مواردو کې، د برید کونکو ځانګړي تاکتیکونه او تخنیکونه بیا جوړ کړي. نن ورځ ، برید کونکي ډیری وختونه د تل لپاره د معلوماتو حذف کولو لپاره وسیلې کاروي ، د مثال په توګه ، SDelete ، نو د ځانګړي تاکتیکونو او تخنیکونو کارولو لږترلږه نښې بحالولو وړتیا د هر عصري مدافع لپاره اړینه ده - د کمپیوټر عدلي متخصص ، د پیښې غبرګون متخصص ، ThreatHunter. ماهر
راځئ چې د لومړني لاسرسي تاکتیک (TA0001) او خورا مشهور تخنیک سره پیل وکړو، د سپیرفشینګ ضمیمه (T1193). ځینې سایبر جرمي ډلې د دوی د پانګوونې په انتخاب کې خورا تخلیقي دي. د مثال په توګه، د خاموش ګروپ د دې لپاره د CHM (Microsoft Compiled HTML Help) بڼه کې فایلونه کارولي. په دې توګه، موږ زموږ څخه مخکې یو بل تخنیک لرو - تالیف شوی HTML فایل (T1223). دا ډول فایلونه په کارولو سره پیل شوي hh.exeنو له همدې امله، که موږ د دې د Prefetch فایل څخه ډاټا راوباسئ، موږ به معلومه کړو چې کوم فایل د قرباني لخوا پرانیستل شوی و:
راځئ چې د اصلي قضیو مثالونو سره کار کولو ته دوام ورکړو او راتلونکي اجرایی تاکتیک (TA0002) او CSMTP تخنیک (T1191) ته لاړ شو. د مایکروسافټ کنکشن مدیر پروفایل انسټالر (CMSTP.exe) د برید کونکو لخوا د ناوړه سکریپټونو چلولو لپاره کارول کیدی شي. یو ښه مثال د کوبالټ ګروپ دی. که موږ د Prefetch فایل څخه ډاټا استخراج کړو cmstp.exe، بیا موږ بیا کولی شو معلومه کړو چې واقعیا څه پیل شوي وو:
بل مشهور تخنیک دی Regsvr32 (T1117). regsvr32.exe همدارنګه ډیری وختونه د برید کونکو لخوا د پیل کولو لپاره کارول کیږي. دلته د کوبالټ ګروپ څخه یو بل مثال دی: که موږ د Prefetch فایل څخه ډاټا استخراج کړو regsvr32.exe، بیا به موږ وګورو چې څه پیل شوي:
راتلونکی تاکتیکونه دوام (TA0003) او د امتیاز تېښته (TA0004) دي، د غوښتنلیک شیمینګ (T1138) سره د تخنیک په توګه. دا تخنیک د کاربناک/FIN7 لخوا د سیسټم لنگر کولو لپاره کارول شوی و. معمولا د برنامه مطابقت ډیټابیس (.sdb) سره کار کولو لپاره کارول کیږي sdbinst.exe. له همدې امله، د دې اجرا وړ Prefetch فایل کولی شي موږ سره د داسې ډیټابیسونو نومونو او د دوی ځایونو په موندلو کې مرسته وکړي:
لکه څنګه چې تاسو په انځور کې لیدلی شئ، موږ نه یوازې د نصب کولو لپاره کارول شوي فایل نوم، بلکې د نصب شوي ډیټابیس نوم هم لرو.
راځئ چې د شبکې تبلیغاتو (TA0008) یو له خورا عام مثالونو څخه یو نظر وګورو ، PsExec ، د اداري ونډو (T1077) په کارولو سره. د PSEXECSVC په نوم خدمت (البته ، کوم بل نوم کارول کیدی شي که برید کونکي پیرامیټر کاروي -r) به په نښه شوي سیسټم کې رامینځته شي، له همدې امله، که موږ د Prefetch فایل څخه ډاټا راوباسئ، موږ به وګورو چې څه پیل شوي:
زه به شاید پای ته ورسوم چیرې چې ما پیل کړی - د فایلونو حذف کول (T1107). لکه څنګه چې ما دمخه یادونه کړې ، ډیری برید کونکي د برید ژوند دورې مختلف مرحلو کې د تل لپاره فایلونو حذف کولو لپاره SDelete کاروي. که موږ د Prefetch فایل څخه ډاټا وګورو sdelete.exe، بیا به موږ وګورو چې واقعیا څه حذف شوي وو:
البته، دا د تخنیکونو بشپړ لیست نه دی چې د Prefetch فایلونو د تحلیل په جریان کې کشف کیدی شي، مګر دا باید د پوهیدو لپاره کافي وي چې دا ډول فایلونه نه یوازې د لانچ نښې موندلو کې مرسته کولی شي، بلکې د ځانګړي برید کونکي تاکتیکونو او تخنیکونو بیا رغونه هم کوي. .
سرچینه: www.habr.com