Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache.hve,Windows文件访问时间不更新原理

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6

「作者简介」CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

在这里插入图片描述

敏感文件痕迹排查

一、根据时间查找 Forfiles

文件有三个时间创建时间、修改时间、访问时间。

  • 创建时间文件新建的时间首次出现在硬盘上的时间。
  • 修改时间文件内容被修改的时间。
  • 访问时间文件最后访问时间读取、写入、复制或执行的最后时间。

右键文件 - 【属性】-【常规】可以查看文件的创建、修改、访问时间

在这里插入图片描述

攻击者为了掩盖痕迹通常会用菜刀等工具修改文件的时间信息比如修改时间比创建时间早那这个文件就很可疑。

确认事件发生的时间点后可以查找时间范围内改动过的文件。

比如查找2023年3月30日以后新增的程序

forfiles /m *.exe /d +2023/3/30 /s /p c:\  /c:"cmd /c echo @path @fdate @ftime" 2>null

在这里插入图片描述

如果everything没有禁用的话也可以用它搜索文件。


1、访问时间不更新问题

Windows 2003 SP1开始为了提升性能关闭了LastAccessTime这意味着文件的访问时间不会实时更新。

从微软提供的GetFileTime这个API可以发现LastAccessTime表示文件读取、写入、复制或执行的最后时间也就是文件属性中的访问时间。

实时记录访问时间意味着一个文件的读操作会变成读+写操作也就是将文件的读取时间写到文件属性和目录索引中这对性能的影响是巨大的。

FAT文件系统中创建时间的分辨率为10毫秒写入时间分辨率为2秒访问时间分辨率为1天。

NTFS文件系统将访问时间的更新延迟到上次访问后最多一个小时并且默认禁用访问时间更新功能。

因此Windows XP 和 Windows Server 2003 中访问时间默认在NTFS卷上更新而后续的Windows版本则不会更新文件的访问时间。

二、最近打开的文件 Recent

Windows默认不记录文件的访问时间当我们想查看最近访问也就是最近打开的文件时可以使用Recent。

Recent用来存放最近使用的文档的快捷方式以便你再次访问。

不同版本的系统Recent位置不一致常见的位置有以下四个

  • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent
  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • C:\Users\Administrator\Recent

也可以使用快速打开的方式 WIN + R 输入 %UserProfile%\Recent

在这里插入图片描述

修改日期那一栏对应文件打开的时间可以在右上角的搜索栏中搜索指定文件。

在这里插入图片描述

三、临时目录 Temp

Temp是Windows的临时文件夹用来临时保存用户的文件以防止数据丢失。用户没来得及保存、删除、移动、复制的文本都会保存到Temp目录下。

Temp文件对当前登录用户具有读写访问权限会被恶意软件当做提权的暂存地点即先把脚本上传到Temp目录再利用Temp目录的权限提权。

Temp路径C:\Windows\Temp

快速打开方式WIN + R 输入 %temp%

在这里插入图片描述

在这里插入图片描述

重点检查exe、dll、sys文件或者特别大的文件。

将可疑文件上传到沙箱或情报中心分析比如

  • 奇安信威胁情报中心https://ti.qianxin.com/
  • VT文件分析平台https://www.virustotal.com/gui/home/upload

四、预读取文件 Prefetch

Prefetch是Windows系统的预读取文件夹用来存放系统已经访问过的文件的预读信息以便下次访问时可以更快的加载。

WIN + R 输入 %systemroot%\Prefetch打开预读取文件夹

在这里插入图片描述

在这里插入图片描述


五、程序执行情况 Amcache.hve

Amacache.hve是Windows系统保存可执行系统文件的注册表仓库可以查看程序的执行路径、上次执行时间、创建时间以及SHA1值。

WIN + R输入 %systemroot%\appcompat\Programs打开Amcache.hve。

在这里插入图片描述

在这里插入图片描述


六、浏览器分析

攻击者可能会使用浏览器访问一些网站或下载文件。

可以查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

在这里插入图片描述

七、webshell

攻击者通常会在服务器上留下webshell以便长期空中需要利用相关工具查杀可疑文件。

服务器通常会安装杀毒软件全盘扫描即可如果没装就装一个。

杀毒软件一般不会做驱动对抗如果怀疑是驱动类型的病毒需要用专杀工具奇安信顽固病毒专杀工具、360急救箱等。

PC版客户端也大同小异用相关工具扫就可以了。

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6
标签: windows
返回列表

上一篇:不用微信也可以聊天?教你使用Windows文本文档实现在外随时沟通!

下一篇:【Linux】基础IO(一) :文件描述符,文件流指针,重定向

“Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache.hve,Windows文件访问时间不更新原理” 的相关文章

Dolphin scheduler在Windows环境下的部署与开发1年前 (2023-02-02)
Windows环境下实现Jenkins自动化部署_搭建jenkins实现自动化部署1年前 (2023-02-02)
windows排查问题常用命令1年前 (2023-02-02)
Windows系统安装轻量级高性能Web服务开发框架OAT++1年前 (2023-02-02)
Windows10彻底关闭自动更新1年前 (2023-02-02)
Windows Python PyTorch CUDA 11.7 TensorRT 环境配置1年前 (2023-02-02)
铸造性能监控平台【grafana+influxdb/prometheus+Linux/Windows】1年前 (2023-02-02)
利用Windows系统服务进行权限提升1年前 (2023-02-02)
在Windows中操作系统下,检查Python脚本是否已运行1年前 (2023-02-02)
那些提升工作效率的Windows常用快捷键1年前 (2023-02-03)

阿里云国际版