एंटी-फॉरेंसिक तकनीकें

Reading time: 8 minutes

टाइमस्टैम्प

एक हमलावर फाइलों के टाइमस्टैम्प को बदलने में रुचि रख सकता है ताकि उसे पकड़ा न जा सके।
यह संभव है कि टाइमस्टैम्प को MFT के अंदर $STANDARD_INFORMATION __ और __ $FILE_NAME में पाया जा सके।

दोनों विशेषताओं में 4 टाइमस्टैम्प होते हैं: संशोधन, पहुँच, निर्माण, और MFT रजिस्ट्र्री संशोधन (MACE या MACB)।

Windows explorer और अन्य उपकरण $STANDARD_INFORMATION से जानकारी दिखाते हैं।

TimeStomp - एंटी-फॉरेंसिक टूल

यह टूल $STANDARD_INFORMATION के अंदर टाइमस्टैम्प जानकारी को संशोधित करता है लेकिन $FILE_NAME के अंदर की जानकारी को नहीं। इसलिए, यह संदिग्ध गतिविधि को पहचानने के लिए संभव है।

Usnjrnl

USN जर्नल (अपडेट अनुक्रम संख्या जर्नल) NTFS (Windows NT फ़ाइल प्रणाली) की एक विशेषता है जो वॉल्यूम परिवर्तनों का ट्रैक रखती है। UsnJrnl2Csv टूल इन परिवर्तनों की जांच करने की अनुमति देता है।

पिछली छवि टूल द्वारा दिखाया गया आउटपुट है जहाँ देखा जा सकता है कि कुछ परिवर्तन किए गए थे।

$LogFile

फाइल सिस्टम में सभी मेटाडेटा परिवर्तनों को लॉग किया जाता है जिसे write-ahead logging के रूप में जाना जाता है। लॉग की गई मेटाडेटा एक फ़ाइल में रखी जाती है जिसका नाम **$LogFile** है, जो NTFS फ़ाइल प्रणाली के रूट निर्देशिका में स्थित है। LogFileParser जैसे उपकरण का उपयोग इस फ़ाइल को पार्स करने और परिवर्तनों की पहचान करने के लिए किया जा सकता है।

फिर से, टूल के आउटपुट में यह देखना संभव है कि कुछ परिवर्तन किए गए थे।

उसी टूल का उपयोग करके यह पहचानना संभव है कि कब टाइमस्टैम्प संशोधित किए गए थे:

• CTIME: फ़ाइल का निर्माण समय
• ATIME: फ़ाइल का संशोधन समय
• MTIME: फ़ाइल का MFT रजिस्ट्र्री संशोधन
• RTIME: फ़ाइल का पहुँच समय

$STANDARD_INFORMATION और $FILE_NAME तुलना

संदिग्ध संशोधित फ़ाइलों की पहचान करने का एक और तरीका दोनों विशेषताओं पर समय की तुलना करना है और असंगतियों की तलाश करना है।

नैनोसेकंड

NTFS टाइमस्टैम्प की सटीकता 100 नैनोसेकंड है। फिर, 2010-10-10 10:10:**00.000:0000 जैसे टाइमस्टैम्प वाली फ़ाइलें बहुत संदिग्ध हैं।

SetMace - एंटी-फॉरेंसिक टूल

यह टूल दोनों विशेषताओं $STARNDAR_INFORMATION और $FILE_NAME को संशोधित कर सकता है। हालाँकि, Windows Vista से, इस जानकारी को संशोधित करने के लिए एक लाइव OS की आवश्यकता होती है।

डेटा छिपाना

NFTS एक क्लस्टर और न्यूनतम जानकारी के आकार का उपयोग करता है। इसका मतलब है कि यदि एक फ़ाइल एक क्लस्टर और आधा उपयोग करती है, तो बची हुई आधी कभी उपयोग नहीं की जाएगी जब तक फ़ाइल को हटा नहीं दिया जाता। फिर, इस स्लैक स्पेस में डेटा छिपाना संभव है।

ऐसे उपकरण हैं जैसे स्लैकर जो इस "छिपे हुए" स्थान में डेटा छिपाने की अनुमति देते हैं। हालाँकि, $logfile और $usnjrnl का विश्लेषण दिखा सकता है कि कुछ डेटा जोड़ा गया था:

फिर, FTK इमेजर जैसे उपकरणों का उपयोग करके स्लैक स्पेस को पुनर्प्राप्त करना संभव है। ध्यान दें कि इस प्रकार के उपकरण सामग्री को ओब्स्क्यूरेट या यहां तक कि एन्क्रिप्टेड रूप में सहेज सकते हैं।

UsbKill

यह एक टूल है जो USB पोर्ट में किसी भी परिवर्तन का पता लगाने पर कंप्यूटर को बंद कर देगा।
इसका पता लगाने का एक तरीका चल रहे प्रक्रियाओं की जांच करना और प्रत्येक चल रहे पायथन स्क्रिप्ट की समीक्षा करना है।

लाइव लिनक्स वितरण

ये डिस्ट्रीब्यूशन RAM मेमोरी के अंदर निष्पादित होते हैं। इन्हें केवल तभी पहचानना संभव है जब NTFS फ़ाइल सिस्टम को लिखने की अनुमति के साथ माउंट किया गया हो। यदि इसे केवल पढ़ने की अनुमति के साथ माउंट किया गया है, तो घुसपैठ का पता लगाना संभव नहीं होगा।

सुरक्षित विलोपन

https://github.com/Claudio-C/awesome-data-sanitization

Windows कॉन्फ़िगरेशन

फॉरेंसिक जांच को बहुत कठिन बनाने के लिए कई विंडोज़ लॉगिंग विधियों को बंद करना संभव है।

टाइमस्टैम्प बंद करें - UserAssist

यह एक रजिस्ट्री कुंजी है जो उपयोगकर्ता द्वारा चलाए गए प्रत्येक निष्पादन योग्य की तारीखों और घंटों को बनाए रखती है।

UserAssist को बंद करने के लिए दो चरणों की आवश्यकता होती है:

1. दो रजिस्ट्री कुंजी सेट करें, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs और HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackEnabled, दोनों को शून्य पर सेट करें ताकि संकेत मिले कि हम UserAssist को बंद करना चाहते हैं।
2. अपनी रजिस्ट्री उप-ट्री को साफ करें जो HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\<hash> की तरह दिखती हैं।

टाइमस्टैम्प बंद करें - Prefetch

यह उन अनुप्रयोगों के बारे में जानकारी सहेजता है जो Windows सिस्टम के प्रदर्शन में सुधार के लक्ष्य के साथ निष्पादित होते हैं। हालाँकि, यह फॉरेंसिक प्रथाओं के लिए भी उपयोगी हो सकता है।

• regedit निष्पादित करें
• फ़ाइल पथ का चयन करें HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management\PrefetchParameters
• दोनों EnablePrefetcher और EnableSuperfetch पर राइट-क्लिक करें
• प्रत्येक पर संशोधित करें ताकि मान 1 (या 3) से 0 में बदल जाए
• पुनरारंभ करें

टाइमस्टैम्प बंद करें - अंतिम पहुँच समय

जब भी एक फ़ोल्डर NTFS वॉल्यूम से Windows NT सर्वर पर खोला जाता है, तो सिस्टम प्रत्येक सूचीबद्ध फ़ोल्डर पर टाइमस्टैम्प फ़ील्ड को अपडेट करने के लिए समय लेता है, जिसे अंतिम पहुँच समय कहा जाता है। एक भारी उपयोग किए गए NTFS वॉल्यूम पर, यह प्रदर्शन को प्रभावित कर सकता है।

1. रजिस्ट्री संपादक (Regedit.exe) खोलें।
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem पर जाएं।
3. NtfsDisableLastAccessUpdate की तलाश करें। यदि यह मौजूद नहीं है, तो इस DWORD को जोड़ें और इसका मान 1 पर सेट करें, जो प्रक्रिया को बंद कर देगा।
4. रजिस्ट्री संपादक बंद करें, और सर्वर को पुनरारंभ करें।

USB इतिहास हटाएं

सभी USB डिवाइस प्रविष्टियाँ Windows रजिस्ट्री में USBSTOR रजिस्ट्री कुंजी के तहत संग्रहीत होती हैं जिसमें उप कुंजियाँ होती हैं जो तब बनाई जाती हैं जब आप अपने पीसी या लैपटॉप में USB डिवाइस लगाते हैं। आप इस कुंजी को यहाँ पा सकते हैं HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR। इसे हटाने से आप USB इतिहास को हटा देंगे।
आप यह सुनिश्चित करने के लिए USBDeview टूल का भी उपयोग कर सकते हैं कि आपने उन्हें हटा दिया है (और उन्हें हटाने के लिए)।

एक और फ़ाइल जो USB के बारे में जानकारी सहेजती है वह फ़ाइल setupapi.dev.log है जो C:\Windows\INF के अंदर है। इसे भी हटाया जाना चाहिए।

शैडो कॉपीज़ बंद करें

शैडो कॉपीज़ की सूची बनाएं vssadmin list shadowstorage
उन्हें हटाएं vssadmin delete shadow चलाकर

आप GUI के माध्यम से भी उन्हें हटा सकते हैं https://www.ubackup.com/windows-10/how-to-delete-shadow-copies-windows-10-5740.html में प्रस्तावित चरणों का पालन करके।

शैडो कॉपीज़ को बंद करने के लिए यहाँ से चरण:

1. Windows स्टार्ट बटन पर क्लिक करने के बाद टेक्स्ट सर्च बॉक्स में "services" टाइप करके सेवाएँ प्रोग्राम खोलें।
2. सूची में "Volume Shadow Copy" खोजें, इसे चुनें, और फिर राइट-क्लिक करके प्रॉपर्टीज़ पर जाएं।
3. "Startup type" ड्रॉप-डाउन मेनू से Disabled चुनें, और फिर Apply और OK पर क्लिक करके परिवर्तन की पुष्टि करें।

यह भी संभव है कि रजिस्ट्री HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot में उन फ़ाइलों की कॉन्फ़िगरेशन को संशोधित किया जाए जिन्हें शैडो कॉपी में कॉपी किया जाएगा।

हटाए गए फ़ाइलों को ओवरराइट करें

• आप एक Windows टूल का उपयोग कर सकते हैं: cipher /w:C यह सिग्नल करेगा कि सिफर C ड्राइव के अंदर उपलब्ध अनयूज्ड डिस्क स्पेस से किसी भी डेटा को हटा दे।
• आप Eraser जैसे उपकरणों का भी उपयोग कर सकते हैं।

Windows इवेंट लॉग हटाएं

• Windows + R --> eventvwr.msc --> "Windows Logs" का विस्तार करें --> प्रत्येक श्रेणी पर राइट-क्लिक करें और "Clear Log" चुनें
• for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
• Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Windows इवेंट लॉग बंद करें

• reg add 'HKLM\SYSTEM\CurrentControlSet\Services\eventlog' /v Start /t REG_DWORD /d 4 /f
• सेवाओं के अनुभाग के अंदर "Windows Event Log" सेवा को बंद करें
• WEvtUtil.exec clear-log या WEvtUtil.exe cl

$UsnJrnl बंद करें

• fsutil usn deletejournal /d c: