精华 Windows 取证分析系列预告
发布于 2 年前 阅读权限 无需登录 作者 darkray 3196 次浏览 来自 Hunting专场

Windows Forensics

"You cant protect what you dont know about … "

Index

  1. 证据固化与数据精简
  2. 常规反病毒检查
  3. 基线搜索
  4. 自动化内存分析
  5. 可持续性控制分析
  6. 未知数据包熵值分析
  7. 日志分析
  8. 攻击时间轴回溯
  9. 手工内存分析
  10. 手工样本分析
  11. MFT记录异常检查
  12. 文件时间异常检测

etc …

Intro

本系列将围绕以上索引展开讨论,介绍一些关于Windows取证方面的基础方法,以及如何从攻击者角度出发来看取证的整个过程,以期将此类防御视角的技术系统化完整化。

18 回复

恩,厉害。。内容呢

是否有好的方法拿到cmd和powershell的历史记录?

@cunlin 我记得powershell的日志是可以看到的. 就在Windows系统日志,应用日志 那个"栏目"看的.

www.adsecurity.org 我记得在这里面看到的.

@wooyun-Evil 多谢! app event 和 security event在apt的时候都很容易被认为清掉。 目前CMD和powershell的历史记录我们都是从内存里面获取。 但是有缺陷: 1. 重启后就没有了; 2. 运行时间长的话,内存容易被覆盖; 3. 获取到的记录没有时间戳, 生成不了timeline。 所以一直还没有比较好的,稳定的方法来获取这些信息。 有兴趣可以一起讨论。 在此感谢!

@cunlin 希望可以科普下相关方法啊,我们在准备日志分析的文章,但是日志来源是个问题,还有就是hunting的点,还需要大家多出出主意啊

@iswin 好的。 我有空来整理一下。 能有人一起讨论很高兴啊~

@wooyun-Evil Powershell 5.0 后带了很多更为详细的日志信息,同时可以在组策略中开启 ScriptBlock 的选项,这样会记录脚本的使用块. @cunlin 可以尝试实时日志同步的方式,即使不全部清掉,参考 https://threathunter.org/topic/593eb1bbb33ad233198afcfa 使用类似技巧增加日志分析的成本。 Windows的话可以参考下Event Tracing API,同时组策略中是有很多审计开关的,这些审计开关在Windows上充当了一些“暗桩”的作用,不过他们通常也是记录到Event Log中的,只是文件的存储路径不同。 关于Command的运行历史,你可以参考下Sysmon的实现(实际是一个驱动,有些类似HIPS了,只是不拦截做记录) 很多东西上升到对抗层面的话,尤其你说的APT,实际上就是利用信息不对等来做防御的,如果攻击者知道你的检测点,是可以有针对性的进行污染或者绕过的。

最近工作比较忙,文章写了部分,慢慢发 🤣

快点出啊,我的鼠标已经饥渴难耐了

@darkray 多谢。受教了。 真实场景中的取证,很多情况下这些主机都没能有机会做这些。 这几年的做过几次真实APT的溯源取证, 很多时候受感染的主机都裸奔。全靠磁盘镜像和内存分析。头大啊~

接下来再推出续集。反取证系列

谢谢师傅的分享!

一直感觉powershell可以做取证所有的事

两年了,教程呢?

回到顶部