ٽريس فائلون، يا اڳواٽ فائلون، XP کان وٺي ونڊوز ۾ موجود آهن. ان وقت کان وٺي، انهن مدد ڪئي آهي ڊجيٽل فارنزڪس ۽ ڪمپيوٽر جي واقعن جي جوابن جي ماهرن کي سافٽ ويئر جا نشان ڳولڻ، بشمول مالويئر. ڪمپيوٽر فارنڪس گروپ-IB ۾ معروف ماهر اوليگ اسڪلڪن توهان کي ٻڌائي ٿو ته توهان Prefetch فائلون استعمال ڪندي ڇا ڳولي سگهو ٿا ۽ اهو ڪيئن ڪجي.
Prefetch فائلون ڊاريڪٽري ۾ ذخيرو ٿيل آهن %SystemRoot%Prefetch ۽ پروگرام شروع ڪرڻ جي عمل کي تيز ڪرڻ جي خدمت ڪريو. جيڪڏهن اسان انهن فائلن مان ڪنهن تي نظر وجهون ٿا، اسان ڏسنداسين ته ان جو نالو ٻن حصن تي مشتمل آهي: ايگزيڪيوٽيبل فائل جو نالو ۽ ان جي رستي کان اٺ-ڪردار چيڪسم.
Prefetch فائلن ۾ تمام گهڻي معلومات شامل آهي فارنزڪ نقطي نظر کان مفيد: ايگزيڪيوٽيبل فائل جو نالو، ان تي عمل ڪرڻ جو تعداد، فائلن ۽ ڊائريڪٽرن جي لسٽ جنهن سان ايگزيڪيوٽيبل فائل رابطو ڪيو، ۽ يقيناً ٽائم اسٽيمپ. عام طور تي، فارنزڪ سائنسدان استعمال ڪندا آهن هڪ خاص Prefetch فائل جي ٺهڻ جي تاريخ انهي تاريخ جو تعين ڪرڻ لاءِ جنهن پروگرام کي پهريون ڀيرو شروع ڪيو ويو هو. ان کان علاوه، اهي فائلون ان جي آخري لانچ جي تاريخ کي محفوظ ڪن ٿيون، ۽ ورجن 26 (ونڊوز 8.1) کان شروع ٿيندڙ - ست تازن رن جي ٽائم اسٽيمپ.
اچو ته هڪ Prefetch فائلون وٺون، ان مان ڊيٽا ڪڍيون استعمال ڪندي Eric Zimmerman جي PECmd ۽ ان جي هر حصي کي ڏسو. ظاهر ڪرڻ لاءِ، مان فائل مان ڊيٽا ڪڍندس CCEANER64.EXE-DE05DBE1.pf.
سو اچو ته مٿي کان شروع ڪريون. يقينن، اسان وٽ فائل ٺاھڻ، ترميم، ۽ ٽائم اسٽيمپ تائين رسائي آھي:
اهي عمل ڪندڙ فائل جي نالي جي پٺيان آهن، ان جي رستي جي چيڪسم، قابل عمل فائل جي سائيز، ۽ Prefetch فائل جو نسخو:
جيئن ته اسان سان ڊيل ڪري رهيا آهيون Windows 10، اڳتي اسان ڏسنداسين شروع جو تعداد، آخري شروعات جي تاريخ ۽ وقت، ۽ ست وڌيڪ ٽائم اسٽيمپ اڳئين لانچ جي تاريخن کي ظاهر ڪندي:
اهي حجم جي باري ۾ معلومات جي پٺيان آهن، بشمول ان جي سيريل نمبر ۽ پيدائش جي تاريخ:
آخري نه پر گهٽ ۾ گهٽ ڊاريڪٽريز ۽ فائلن جي هڪ فهرست آهي جنهن سان عمل ڪندڙ سان رابطو ڪيو ويو آهي:
تنهن ڪري، اهي ڊائريڪٽريون ۽ فائلون جيڪي عملدار سان لهه وچڙ ۾ آهن اهي ئي آهن جيڪي آئون اڄ تي ڌيان ڏيڻ چاهيان ٿو. اها اها ڊيٽا آهي جيڪا ماهرن کي اجازت ڏئي ٿي ڊجيٽل فارنزڪس، ڪمپيوٽر جي واقعن جي جواب، يا فعال خطري جي شڪار ۾، نه رڳو هڪ خاص فائل جي عمل جي حقيقت کي قائم ڪرڻ، پر ڪجهه حالتن ۾، مخصوص حڪمت عملين ۽ حملي ڪندڙن جي ٽيڪنالاجي کي ٻيهر ترتيب ڏيڻ لاء. اڄ، حملو ڪندڙ اڪثر ڪري اوزار استعمال ڪندا آهن ڊيٽا کي مستقل طور تي حذف ڪرڻ لاءِ، مثال طور، SDelete، تنهن ڪري ڪجهه خاص حڪمت عملين ۽ طريقن جي استعمال جي گهٽ ۾ گهٽ نشانين کي بحال ڪرڻ جي صلاحيت صرف ڪنهن به جديد محافظ لاءِ ضروري آهي - هڪ ڪمپيوٽر فارنڪس ماهر، هڪ واقعن جي جوابي ماهر. ، هڪ ThreatHunter ماهر.
اچو ته شروعاتي رسائي واري حڪمت عملي (TA0001) ۽ سڀ کان وڌيڪ مشهور ٽيڪنڪ، اسپيئر فشنگ اٽيچمينٽ (T1193) سان شروع ڪريون. ڪجهه سائبر ڏوهن وارا گروهه ڪافي تخليقي آهن انهن جي سيڙپڪاري جي چونڊ ۾. مثال طور، سائلنس گروپ ان لاءِ CHM (Microsoft Compiled HTML Help) فارميٽ ۾ فائلون استعمال ڪيو. اهڙيء طرح، اسان وٽ اسان جي اڳيان هڪ ٻيو ٽيڪنڪ آهي - مرتب ڪيل HTML فائل (T1223). اهڙيون فائلون استعمال ڪندي شروع ڪيون ويون آهن hh.exeتنهن ڪري، جيڪڏهن اسان ان جي Prefetch فائل مان ڊيٽا ڪڍون ٿا، اسان اهو معلوم ڪنداسين ته قرباني طرفان ڪهڙي فائل کوليو ويو آهي:
اچو ته حقيقي ڪيسن مان مثالن سان ڪم جاري رکون ۽ اڳتي وڌون ايندڙ Execution tactic (TA0002) ۽ CSMTP ٽيڪنڪ (T1191). Microsoft Connection Manager Profile Installer (CMSTP.exe) استعمال ڪري سگھجن ٿا حملو ڪندڙ بدسلوڪي اسڪرپٽ کي هلائڻ لاءِ. هڪ سٺو مثال ڪوبالٽ گروپ آهي. جيڪڏهن اسان Prefetch فائل مان ڊيٽا ڪڍون ٿا cmstp.exe، پوءِ اسان ٻيهر ڳولي سگهون ٿا ته ڇا واقعي شروع ڪيو ويو:
ٻيو مشهور ٽيڪنڪ آهي Regsvr32 (T1117). regsvr32.exe عام طور تي حملي ڪندڙن پاران لانچ ڪرڻ لاء پڻ استعمال ڪيو ويندو آهي. هتي ڪوبالٽ گروپ مان هڪ ٻيو مثال آهي: جيڪڏهن اسان ڊيٽا ڪڍيون ٿا Prefetch فائل مان regsvr32.exe، پوءِ ٻيهر اسان ڏسنداسين ته ڇا شروع ڪيو ويو:
ايندڙ حڪمت عمليون آهن Persistence (TA0003) ۽ پرائيليج اسڪيليشن (TA0004)، ايپليڪيشن شيمنگ (T1138) سان ٽيڪنڪ جي طور تي. هي ٽيڪنڪ استعمال ڪيو ويو ڪاربنڪ / FIN7 سسٽم کي لنگر ڏيڻ لاء. عام طور تي پروگرام مطابقت ڊيٽابيس (.sdb) سان ڪم ڪرڻ لاء استعمال ڪيو ويندو آهي sdbinst.exe. تنهن ڪري، هن executable جي Prefetch فائل اسان کي اهڙن ڊيٽابيسن جا نالا ۽ انهن جي جڳهن کي ڳولڻ ۾ مدد ڪري سگهي ٿي:
جيئن توهان تصوير ۾ ڏسي سگهو ٿا، اسان وٽ نه رڳو انسٽاليشن لاءِ استعمال ٿيل فائل جو نالو آهي، پر انسٽال ٿيل ڊيٽابيس جو نالو پڻ.
اچو ته نيٽ ورڪ پروپيگيشن (TA0008) جي سڀ کان عام مثالن مان هڪ تي هڪ نظر رکون، PsExec، انتظامي شيئر استعمال ڪندي (T1077). خدمت جو نالو PSEXECSVC (يقيناً، ڪو ٻيو نالو استعمال ڪري سگھجي ٿو جيڪڏھن حملو ڪندڙ پيرا ميٽر استعمال ڪن -r) ٽارگيٽ سسٽم تي ٺاهي ويندي، تنهن ڪري، جيڪڏهن اسان Prefetch فائل مان ڊيٽا ڪڍون ٿا، اسان ڏسنداسين ته ڇا شروع ڪيو ويو:
مان شايد ختم ڪندس جتي مون شروع ڪيو - فائلن کي حذف ڪرڻ (T1107). جيئن ته مون اڳ ۾ ئي نوٽ ڪيو آهي، ڪيترائي حملو ڪندڙ SDelete استعمال ڪندا آهن مستقل طور تي فائلن کي حذف ڪرڻ لاءِ حملي جي زندگي جي مختلف مرحلن تي. جيڪڏهن اسان ڊيٽا کي ڏسو Prefetch فائل مان sdelete.exe، پوءِ اسان ڏسنداسين ته ڇا واقعي حذف ڪيو ويو:
يقينن، هي ٽيڪنڪ جي هڪ مڪمل فهرست نه آهي جيڪا دريافت ڪري سگهجي ٿي Prefetch فائلن جي تجزيي دوران، پر اهو سمجهڻ لاء ڪافي هجڻ گهرجي ته اهڙيون فائلون نه رڳو لانچ جا نشان ڳولڻ ۾ مدد ڪري سگهن ٿيون، پر مخصوص حملي جي حڪمت عملي ۽ ٽيڪنالاجي کي پڻ بحال ڪري سگھن ٿيون. .
جو ذريعو: www.habr.com