Файлҳои пайгирӣ ё файлҳои Prefetch дар Windows аз замони XP вуҷуд доранд. Аз он вақт инҷониб, онҳо ба криминалистии рақамӣ ва мутахассисони вокуниш ба ҳодисаҳои компютерӣ дар пайдо кардани осори нармафзор, аз ҷумла нармафзори зараровар кӯмак карданд. Мутахассиси пешбари соҳаи криминалистии компютерӣ Group-IB Олег Скулкин ба шумо мегӯяд, ки шумо бо истифода аз файлҳои Prefetch чӣ ёфта метавонед ва чӣ тавр онро иҷро кунед.
Файлҳои Prefetch дар директория нигоҳ дошта мешаванд % SystemRoot% Prefetch ва барои тезондани процесси ба кор андохтани программахо хизмат мекунанд. Агар ба яке аз ин файлҳо назар андозем, мебинем, ки номи он аз ду қисм иборат аст: номи файли иҷрошаванда ва ҷамъи назорати ҳашт аломат аз роҳ ба он.
Файлҳои Prefetch маълумоти зиёдеро дар бар мегиранд, ки аз нуқтаи назари криминалистӣ муфиданд: номи файли иҷрошаванда, шумораи маротиба иҷро шудани он, рӯйхати файлҳо ва директорияҳое, ки файли иҷрошаванда бо онҳо ҳамкорӣ мекард ва албатта, тамғаҳои вақт. Одатан, олимони криминалистӣ санаи офариниши як файли мушаххаси Prefetchро барои муайян кардани санаи бори аввал оғоз шудани барнома истифода мебаранд. Илова бар ин, ин файлҳо санаи оғози охирини онро нигоҳ медоранд ва аз версияи 26 (Windows 8.1) - тамғаҳои вақтҳои ҳафт давраи охиринро нигоҳ медоранд.
Биёед яке аз файлҳои Prefetch-ро гирем, аз он маълумотро бо истифода аз PECmd-и Эрик Зиммерман истихроҷ кунем ва ба ҳар як қисми он назар андозем. Барои нишон додан, ман аз файл маълумот мегирам CCLEANER64.EXE-DE05DBE1.pf.
Пас биёед аз боло сар кунем. Албатта, мо тамғаҳои эҷод, тағир ва дастрасӣ ба файл дорем:
Пас аз онҳо номи файли иҷрошаванда, маблағи назоратии роҳ ба он, андозаи файли иҷрошаванда ва версияи файли Prefetch меоянд:
Азбаски мо бо Windows 10 сару кор дорем, дар оянда мо шумораи оғозҳо, сана ва вақти оғози охирин ва ҳафт тамғаи дигарро мебинем, ки санаҳои қаблии оғозёбиро нишон медиҳанд:
Пас аз онҳо маълумот дар бораи ҳаҷм, аз ҷумла рақами силсилавӣ ва санаи таъсиси он оварда мешавад:
Охирин, вале на камтар аз он рӯйхати директорияҳо ва файлҳое мебошад, ки файли иҷрошаванда бо онҳо ҳамкорӣ мекард:
Ҳамин тавр, директорияҳо ва файлҳое, ки файли иҷрошаванда бо онҳо ҳамкорӣ мекард, маҳз ҳамон чизест, ки ман имрӯз ба он таваҷҷӯҳ кардан мехоҳам. Маҳз ин маълумот ба мутахассисони соҳаи криминалистии рақамӣ, вокуниш ба ҳодисаҳои компютерӣ ё шикори пешгирикунанда имкон медиҳад, ки на танҳо далели иҷрои як файлро муайян кунанд, балки дар баъзе мавридҳо тактика ва усулҳои мушаххаси ҳамлагаронро барқарор кунанд. Имрӯз, ҳамлагарон аксар вақт асбобҳоро барои ба таври доимӣ нест кардани маълумот истифода мебаранд, масалан, SDelete, аз ин рӯ қобилияти барқарор кардани ҳадди аққал нишонаҳои истифодаи тактика ва усулҳои муайян барои ҳар як муҳофизи муосир зарур аст - мутахассиси криминалистии компютерӣ, мутахассиси вокуниш ба ҳодисаҳо, ThreatHunter мутахассис.
Биёед бо тактикаи Дастрасии ибтидоӣ (TA0001) ва техникаи маъмултарин, Замимаи Spearphishing (T1193) оғоз кунем. Баъзе гурӯҳҳои киберҷинояткор дар интихоби сармоягузорӣ хеле эҷодкоранд. Масалан, гурӯҳи Silence барои ин файлҳоро дар формати CHM (Microsoft Compiled HTML Help) истифода бурд. Ҳамин тариқ, мо дар пеши мо як техникаи дигар дорем - Файли HTML тартибдодашуда (T1223). Чунин файлҳо бо истифода аз hh.exe, бинобар ин, агар мо маълумотро аз файли Prefetch он хориҷ кунем, мо мефаҳмем, ки кадом файл аз ҷониби қурбонӣ кушода шудааст:
Биёед корро бо мисолҳо аз ҳолатҳои воқеӣ идома диҳем ва ба тактикаи навбатии Иҷро (TA0002) ва техникаи CSMTP (T1191) гузарем. Насбкунандаи профили Microsoft Connection Manager (CMSTP.exe) метавонад аз ҷониби ҳамлагарон барои иҷро кардани скриптҳои зараровар истифода шавад. Мисоли хуб ин гурӯҳи Кобалт мебошад. Агар мо маълумотро аз файли Prefetch барорем cmstp.exe, он гоҳ мо метавонем боз фаҳмем, ки маҳз чӣ кор карда шудааст:
Дигар техникаи маъмул Regsvr32 (T1117) мебошад. Regsvr32.exe инчунин аксар вақт аз ҷониби ҳамлагарон барои оғоз кардан истифода мешавад. Ин аст мисоли дигар аз гурӯҳи Cobalt: агар мо маълумотро аз файли Prefetch истихроҷ кунем regsvr32.exe, пас боз мо мебинем, ки чӣ кор карда шудааст:
Тактикаи навбатӣ инҳоянд: Исботӣ (TA0003) ва Афзоиши имтиёз (TA0004), бо истифодаи Shimming (T1138) ҳамчун усул. Ин техника аз ҷониби Carbanak/FIN7 барои лангар кардани система истифода шудааст. Одатан барои кор бо пойгоҳи додаҳои мутобиқати барномаҳо (.sdb) истифода мешавад. sdbinst.exe. Аз ин рӯ, файли Prefetch ин файли иҷрошаванда метавонад ба мо кӯмак кунад, ки номҳои чунин пойгоҳи додаҳо ва ҷойгиршавии онҳоро пайдо кунем:
Тавре ки шумо дар расм мебинед, мо на танҳо номи файле, ки барои насб истифода мешавад, балки номи базаи насбшуда низ дорем.
Биёед ба яке аз намунаҳои маъмултарини паҳнкунии шабака (TA0008), PsExec, бо истифода аз саҳмияҳои маъмурӣ (T1077) назар андозем. Хидмат бо номи PSEXECSVC (албатта, ҳама гуна номи дигарро метавон истифода бурд, агар ҳамлагарон ин параметрро истифода баранд -r) дар системаи мақсаднок сохта мешавад, бинобар ин, агар мо маълумотро аз файли Prefetch хориҷ кунем, мо мебинем, ки чӣ кор карда шудааст:
Эҳтимол ман дар он ҷое, ки оғоз кардам, хотима хоҳам дод - нест кардани файлҳо (T1107). Тавре ки ман аллакай қайд кардам, бисёре аз ҳамлагарон SDelete-ро барои ба таври доимӣ нест кардани файлҳо дар марҳилаҳои гуногуни давраи ҳамла истифода мебаранд. Агар мо ба маълумоти файли Prefetch назар кунем sdelete.exe, пас мо мебинем, ки маҳз чӣ нест карда шудааст:
Албатта, ин рӯйхати мукаммали усулҳое нест, ки ҳангоми таҳлили файлҳои Prefetch пайдо кардан мумкин аст, аммо ин бояд барои фаҳмидани он кифоя аст, ки чунин файлҳо на танҳо дар пайдо кардани нишонаҳои оғози кор, балки инчунин барқарор кардани тактика ва усулҳои мушаххаси ҳамлагарон кӯмак мекунанд. .
Манбаъ: will.com