Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache

于 2024-05-13 05:14:38 发布
阅读量707 收藏 29
点赞数 26
分类专栏: 程序员 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84972844/article/details/138779779
版权

在这里插入图片描述

敏感文件痕迹排查

一、根据时间查找 Forfiles

文件有三个时间:创建时间、修改时间、访问时间。

  • 创建时间:文件新建的时间,首次出现在硬盘上的时间。
  • 修改时间:文件内容被修改的时间。
  • 访问时间:文件最后访问时间,读取、写入、复制或执行的最后时间。

右键文件 - 【属性】-【常规】可以查看文件的创建、修改、访问时间:

在这里插入图片描述

攻击者为了掩盖痕迹,通常会用菜刀等工具修改文件的时间信息,比如修改时间比创建时间早,那这个文件就很可疑。

确认事件发生的时间点后,可以查找时间范围内改动过的文件。

比如:查找2023年3月30日以后新增的程序:

forfiles /m *.exe /d +2023/3/30 /s /p c:\  /c:"cmd /c echo @path @fdate @ftime" 2>null

在这里插入图片描述

如果everything没有禁用的话,也可以用它搜索文件。

1、访问时间不更新问题

Windows 2003 SP1开始,为了提升性能,关闭了LastAccessTime,这意味着文件的访问时间不会实时更新。

从微软提供的GetFileTime这个API可以发现,LastAccessTime表示文件读取、写入、复制或执行的最后时间,也就是文件属性中的访问时间。

实时记录访问时间意味着:一个文件的读操作,会变成读+写操作,也就是将文件的读取时间写到文件属性和目录索引中,这对性能的影响是巨大的。

FAT文件系统中,创建时间的分辨率为10毫秒,写入时间分辨率为2秒,访问时间分辨率为1天。

NTFS文件系统将访问时间的更新,延迟到上次访问后最多一个小时,并且默认禁用访问时间更新功能。

因此,Windows XP 和 Windows Server 2003 中,访问时间默认在NTFS卷上更新,而后续的Windows版本则不会更新文件的访问时间。

二、最近打开的文件 Recent

Windows默认不记录文件的访问时间,当我们想查看最近访问,也就是最近打开的文件时,可以使用Recent。

Recent用来存放最近使用的文档的快捷方式,以便你再次访问。

不同版本的系统,Recent位置不一致,常见的位置有以下四个:

  • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent
  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • C:\Users\Administrator\Recent

也可以使用快速打开的方式: WIN + R ,输入 %UserProfile%\Recent

在这里插入图片描述

修改日期那一栏对应文件打开的时间,可以在右上角的搜索栏中,搜索指定文件。

在这里插入图片描述

三、临时目录 Temp

Temp是Windows的临时文件夹,用来临时保存用户的文件,以防止数据丢失。用户没来得及保存、删除、移动、复制的文本都会保存到Temp目录下。

Temp文件对当前登录用户具有读写访问权限,会被恶意软件当做提权的暂存地点,即先把脚本上传到Temp目录,再利用Temp目录的权限提权。

Temp路径:C:\Windows\Temp

快速打开方式:WIN + R ,输入 %temp%

在这里插入图片描述

在这里插入图片描述

重点检查exe、dll、sys文件,或者特别大的文件。

将可疑文件上传到沙箱或情报中心分析,比如:

  • 奇安信威胁情报中心:https://ti.qianxin.com/
  • VT文件分析平台:https://www.virustotal.com/gui/home/upload

四、预读取文件 Prefetch

Prefetch是Windows系统的预读取文件夹,用来存放系统已经访问过的文件的预读信息,以便下次访问时可以更快的加载。

WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

基本涵盖了95%以上网络安全知识点!真正的体系化!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84972844
关注
  • 26
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C:\Windows\Prefetch
csdn_wuwt的博客
09-25 3232
C:\Windows\Prefetch 由于电脑安装软件比较多,最近发现每次开机后就会有一些已经卸载后的软件弹窗提示升级… 最后发现是在C:\Windows\Prefetch该路径下还留存有这个软件的东西,导致的开机启动提示升级问题。 C:\Windows\Prefetch 文件夹左作用是? 这就需要现将一段历史: 在Windows XP/2003操作系统中有一个名为prefetcher的服务,这是微软采用的一种全新系统后台数据读机制,它可以提高系统性能,加快Windows XP/2003的启动速度,经过
清理Prefetch读取)文件的cmd小脚本
01-15
清理Prefetch读取)文件的cmd小脚本
Windows应急响应 - 敏感目录文件痕迹排查最近打开文件 Recent临时目录Temp读取文件Prefetch程序执行情况Amcache.hve,Windows文件访问时间不更新原理
热门推荐
wangyuxiang946的博客
04-03 1万+
Windows敏感目录文件痕迹排查 一、根据时间查找 Forfiles 1、访问时间不更新问题 二、最近打开文件 Recent 三、临时目录 Temp 四、读取文件 Prefetch 五、程序执行情况 Amcache.hve 六、浏览器分析 七、webshell
Windows应急响应 - 敏感目录文件痕迹排查最近打开文件 Recent临时目录Temp读取文件Prefetch程序执行情况Amcache(1)
最新发布
2401_84972814的博客
05-13 775
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
渗透测试中Windows、Linux敏感文件
weixin_46239998的博客
04-30 2431
渗透测试中常用的敏感文件
Windows中使用findstr查找敏感文件账号密码
good good study
03-15 589
在内网渗透时,翻找主机文件是否存在账号密码是很重要的一个步骤,而这一过程很耗时,目前也没什么好用的工具,所以借助于cmd自带的findstr进行查找,如下为自己研究整理的查找命令。./* 表示当前目录下的所有文件,不包括子目录。/S 在当前目录和所有子目录中搜索匹配文件。findstr用于在文件中搜索字符。/P 忽略有不可打印字符的文件
电脑软件清空读取文件.rar
10-25
读取文件(Prefetch Files)是Windows操作系统中的一项功能,旨在提高常用程序的启动速度。当一个程序首次运行时,Windows会记录该程序的加载信息,并将其存储在读取文件中。当该程序再次启动时,系统能快速加载...
利用python程序帮大家清理windows垃圾
12-24
某些缓存文件可以提高程序的执行速度,比如缓存 cookie、使用记录 recent读取 prefetch 等。所以清理临时文件并不代表系统运行就会变快,有时也可能变慢。 windows电脑中的垃圾文件文件夹主要有哪些? 系统盘 ...
执行命令清理C盘无用文件.zip
04-29
6. ** prefetch 文件**:Windows为加快程序启动速度而创建的读取文件,可以安全删除。 7. **旧版的系统文件**:例如WinSxS目录下的旧版本组件,有时可以进行清理。 执行`清理C盘.bat`脚本的步骤如下: 1. 下载并...
windows.old 文件删除工具
01-29
"Windows.old" 文件Windows操作系统在进行重大更新或升级时创建的一个重要文件夹,它包含了上一个版本的系统文件和设置。这个文件夹的主要目的是在新版本系统出现问题时,为用户提供了回滚到旧版系统的可能性,以...
WindowsPrefetch目录
04-28
WindowsPrefetch目录
AmcacheParser:解析amcache.hve文件,但是有点麻烦!
05-04
AmcacheParser 请参阅此处以获取更多信息: AmcacheParser version 0.0.5.1 Author: Eric Zimmerman (saericzimmerman@gmail.com) https://github.com/EricZimmerman/AmcacheParser b Path to file containing SHA-1 hashes to *include* from the results. Blacklisting overrides whitelisting f Amcache.hve file to parse. Required i Include file entries for Progr
recent:一个命令行实用程序,可帮助您导航到最近使用的文件
06-24
最近的 一个命令行实用程序,可帮助您导航到最近使用的文件
windows和linux敏感文件记录
真正的大师,永远都怀着一颗学徒的心。
08-30 2948
文章目录前言一、windows二、linux 前言 敏感文件的重要性对于渗透测试来说不言而喻,文件包含,任意文件读取,以及任何需要探测主机文件的地方,都少不了这些目录的存在。所以还是要尽可能的多记一些,想不起来了就去百度一波。 一、windows C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件 C:\Windows\repair\sam //存储系统初次安装的密码 C:\Program Files\mysql.
Windows 10 开启文件名大小写敏感功能(转载)
1710orange的温馨小窝
07-14 498
Windows文件系统的文件名,是大小写不敏感的,也就是你的文件名是 a.txt 或者 A.txt,在 Windows 中都是一视同仁,认为是同一个文件。下面宇润给大家介绍一个在 Windows 10 中开启文件名大小写敏感的功能,需要注意这个功能必须启用 WSL 才可使用!只要针对这个路径进行设置,这个路径下后续建立的所有文件文件夹,都会是大小写敏感的了!使用 Git 时,相信大家也经常遇到文件名或者目录名大小写冲突的问题。好了,现在你的 Windows 文件系统,已经支持区分文件名大小写了!
win10服务器文件夹在哪里找,recent文件夹在哪里找_recent文件夹怎么清理
weixin_36070568的博客
08-12 4942
recent文件夹在哪里找_recent文件夹怎么清理Windows7系统在运行的时候会在系统内产生一定的垃圾,一般会保存在系统C盘中的WINDOWSCookies、RECYCLED、WINDOWSHistory、WindowsRecentWindows emp这五个文件夹内。很多人可能都不知道recent文件夹是干嘛的,小编这就告诉大家,其实recent文件夹是用来存放最近使用的文档的快捷方式...
amcache.hve及包含的文件SHA1值分析
一个热爱逆向,喜爱学习、分享的猿。
03-14 2714
amcache.hve Win8及更高版本的系统使用Amcache.hve替代RecentFileCache.bcf。记录文件创建时间、上次修改时间、SHA1和一些PE文件头信息。
Windows Prefetch File Format
haiross的专栏
05-26 1858
Windows Prefetch File Format A Windows Prefetch file consists of one file header and multiple file sections with different content. Not all content has an obvious forensic value. As far as have
手动清理c盘垃圾文件
09-22
5. 返回到“Windows文件夹中,找到并打开“Prefetch”(读取)文件夹。 6. 在“Prefetch文件夹中,可以看到一些已经无用的缓存文件。同样选中这些文件,按下“Shift+Delete”键来删除它们。 7. 返回到C盘根...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值