•
انواع پرونده هایی را که مهاجمان معمولاً از آنها برای جمع آوری و پراکنده کردن اطلاعات استفاده می کنند ، جستجو کنید. به عنوان مثال ، اگر معمولاً از پرونده های RAR در محیط قربانی استفاده نمی شود ، جستجوی پسوندها و سرفصل های پرونده .RAR ممکن است فعالیت های مربوط به نفوذ را نشان دهد.
•
تحلیل خط زمانی یکی از قدرتمندترین تکنیک ها برای سازماندهی و تجزیه و تحلیل اطلاعات سیستم فایل است. ترکیب مهرهای تاریخ-زمان پرونده های مربوط به بدافزار و پرونده های مربوط به سیستم مانند پرونده های پیوندی و پرونده های Prefetch می تواند منجر به بازسازی روشنی از حوادث مربوط به حادثه بدافزار شود ، از جمله بردار اولیه حمله و محصور سازی بعدی و سرقت داده ها.
•
محتویات پوشه "٪ systemroot٪ \ system32" را برای پرونده های دارای مهر تاریخ در زمان وقوع حادثه یا موارد اجرایی مرتبط با ویندوز یا برنامه های شناخته شده مرور نکنید (تجزیه و تحلیل هش می تواند در این نوع بررسی کمک کند تا شناخته شود فایل ها).
•
وقتی یک بدافزار در یک پوشه خاص پیدا شود (به عنوان مثال C: \ WINNT \ Java یا یک پوشه Temp) ، بازرسی از سایر پرونده های موجود در آن پوشه ممکن است بدافزار اضافی را نشان دهد.
•
Shadow Volume در ویندوز ویستا و 7 می تواند حاوی کپی از پرونده هایی باشد که از آن زمان تاکنون از سیستم فایل حذف شده اند.
ملاحظات تحقیقاتی
•
گرچه معمولاً تمبرهای تاریخ استاندارد (SIA) توسط بدافزار اصلاح می شوند ، معمولاً File Name Attribute (FNA) به روز نمی شود. بنابراین ، اختلاف بین SIA و FNA ممکن است نشان دهد که تمبرهای تاریخ-زمان به طور مصنوعی دستکاری شده اند.
•
ژورنال NTFS ($ LogFile) شامل ارجاعاتی به سوابق MFT است که با جستجوی رشته های هدر رکورد FILE0 یا FILE * (حساس به حروف کوچک) یافت می شود. برخی از مجموعه های پزشکی قانونی مانند EnCase توانایی تجزیه ورودی $ LogFile را دارند.
•
استفاده روزافزون از تکنیک های ضد پزشکی قانونی در بدافزارها یافتن ردیابی در سیستم فایل را دشوارتر می کند. برای کاهش این چالش ، از کلیه اطلاعات موجود از منابع دیگر برای هدایت تجزیه و تحلیل پزشکی قانونی سیستم فایل ، از جمله حافظه و سیاهههای مربوط استفاده کنید.
•
محدود کردن دوره زمانی که آن فعالیت مخرب در رایانه رخ داده است ، معمولاً امکان پذیر است ، در این حالت محققان دیجیتال می توانند برای شناسایی بدافزار و م componentsلفه های مربوط به آن ، از جمله ثبت گزارش های ضبط کلید ، یک خط زمانی از وقایع را در سیستم ایجاد کنند.
پزشکی قانونی پس از مرگ
Cameron H. Malin، ... James M. Aquilina، in Malware Forensics Field Guide for Linux Systems، 2014
سیستم فایل لینوکس را بررسی کنید
the سیستم پرونده را برای ردیابی های باقی مانده از بدافزار جستجو کنید.
structures ساختار داده های سیستم فایل می تواند مقدار قابل توجهی از اطلاعات مربوط به حادثه بدافزار را شامل شود ، از جمله زمان وقایع و محتوای واقعی بدافزار. برنامه های مختلف نرم افزاری برای انجام معاینات پزشکی قانونی در دسترس هستند اما برخی از آنها هنگام استفاده در سیستم فایل های لینوکس محدودیت های قابل توجهی دارند. بنابراین ، لازم است با ابزارهایی که به طور خاص برای معاینات پزشکی قانونی لینوکس طراحی شده اند ، آشنا شوید و یافته های مهم را با استفاده از چندین ابزار بررسی مجدد کنید. علاوه بر این ، بدافزار به طور فزاینده ای برای جلوگیری از تجزیه و تحلیل سیستم فایل طراحی می شود. برخی از بدافزارها تمبرهای تاریخ را در پرونده های مخرب تغییر می دهند تا یافتن آنها با تجزیه و تحلیل خط زمان دشوارتر شود. سایر کدهای مخرب به گونه ای طراحی شده اند که فقط اطلاعات خاصی را در حافظه ذخیره می کنند تا مقدار داده های ذخیره شده در سیستم فایل را به حداقل برسانند. برای مقابله با چنین تکنیک های ضد پزشکی قانونی ، توجه دقیق به تجزیه و تحلیل خط زمان از تمبرهای تاریخ-زمان سیستم فایل و پرونده های ذخیره شده در مکان های مشترک که ممکن است بدافزار پیدا شود ، ضروری است.
•
یکی از اولین چالش ها تعیین این است که ابتدا در چه بازه های زمانی تمرکز کنید. یک روش استفاده از ویژگی هیستوگرام ماکتیم در کیت Sleuth برای یافتن سنبله های فعالیت است که در شکل 3.13 نشان داده شده است. خروجی این دستور بیشترین فعالیت سیستم فایل را در 7 آوریل 2004 ، هنگام نصب سیستم عامل نشان می دهد و در 8 آوریل 2004 ، حدود ساعت 07:00 و 08:00 ، افزایش فعالیت را نشان می دهد که مربوط به نصب است. از روت کیت
برای بارگیری تصویر در اندازه کامل وارد سیستم شوید
شکل 3.13. هیستوگرام تمبرهای تاریخ-زمان سیستم فایل با استفاده از Mactime ایجاد شده است
•
انواع پرونده هایی را که مهاجمان معمولاً از آنها برای جمع آوری و پراکنده کردن اطلاعات استفاده می کنند ، جستجو کنید. به عنوان مثال ، اگر معمولاً از پرونده های PGP در محیط قربانی استفاده نمی شود ، جستجوی پسوندهای فایل .asc و سرصفحه های PGP ممکن است فعالیت های مربوط به نفوذ را آشکار کند.
•
محتویات دایرکتوری / usr / sbin و / sbin را برای پرونده های دارای مهر تاریخ در زمان وقوع حادثه ، اسکریپت هایی که به طور معمول در این دایرکتوری ها قرار ندارند (به عنوان مثال اسکریپت های .sh یا .php) یا اجراهای موجود ، مرور نکنید مرتبط با هر برنامه شناخته شده ای (تجزیه و تحلیل هش می تواند در این نوع بررسی کمک کند تا پرونده های شناخته شده را حذف کند).
•
از آنجا که بسیاری از موارد موجود در فهرست / dev پرونده های خاصی هستند که به یک بلاک یا دستگاه کاراکتر اشاره دارند (حاوی "b" یا "c" در مجوزهای پرونده) ، محققان دیجیتال ممکن است m
در آیدت،
فایلهای
خود را به فروش بگذارید و یا
مقالاتتان
را منتشر کنید👋
پاسخ ها