渗透技巧——Windows下NTFS文件的时间属性总结

最新推荐文章于 2024-01-25 11:00:00 发布
最新推荐文章于 2024-01-25 11:00:00 发布
阅读量2.3k 收藏 4
点赞数 1
文章标签: 渗透测试 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vdieoo/article/details/110425903
版权

工具:NewFileTime  SetMace  

 

命令:

#先创建文件new-item gh.txt

 

#powershell显示文件的创建、最后修改、最后访问时间 属性

PS D:\godhat> (ls gh.txt).CreationTimeUtc
PS D:\godhat> (ls gh.txt).LastWriteTimeUtc
PS D:\godhat> (ls gh.txt).LastAccessTimeUtc

 

#powershell设置文件的创建、最后修改、最后访问时间属性

PS D:\godhat> (ls gh.txt).LastAccessTimeUtc="2019-12-31 22:33:44"
PS D:\godhat> (ls gh.txt).LastAccessTimeUtc

 

PS D:\godhat> (ls gh.txt).LastWriteTimeUtc="2019-12-31 11:22:33"
PS D:\godhat> (ls gh.txt).LastWriteTimeUtc

 

PS D:\godhat> (ls gh.txt).CreationTimeUtc="1949-10-01 14:00:01"
PS D:\godhat> (ls gh.txt).CreationTimeUtc

 

#目录/文件夹的时间属性修改,需要用到Get-ChildItem,如Fo1目录

$F=Get-ChildItem Fo1
$F[1].Name
$F[1].CreationTime

 

0x00 前言

在渗透测试中,如果需要在目标系统上释放文件,将会改变父目录的时间属性 ( AccessTime,LastWriteTime,MFTChangeTime ) ,如果需要覆盖目标系统上原有的文件,也会改变原有文件的时间属性 ( CreateTime,AccessTime,LastWriteTime,MFTChangeTime ) 。

站在渗透的角度,需要找到修改文件时间属性的方法,用来消除痕迹。

站在取证的角度,通过文件属性的异常能够找到攻击者的入侵痕迹。

本文将会介绍修改文件属性的方法和细节,分享实现代码,结合利用思路给出在取证上的建议。

0x01 简介

本文将要介绍以下内容:

· 基本概念

· 读取文件属性的方法

· 

最低0.47元/天 解锁文章
Vdieoo
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
centos7挂载windowsNTFS文件系统的移动硬盘需要的ntfs-3g
03-23
在Linux系统,尤其是CentOS 7这样的发行版,与Windows系统进行文件交换时,由于文件系统的不兼容性,Linux默认无法直接挂载Windows NTFS格式的移动硬盘。为了解决这个问题,我们需要安装一个名为`ntfs-3g`的软件包...
NTFS文件系统解析
飞鹤的程序员人生
02-01 1532
MFT表项记录着文件的相关属性,有常驻属性(比较小),有非常驻属性(数据较大,此属性只记录真实数据的索引)。Bitmap和LogFile一般都超过1K,都是记录在MFT的非常驻DATA属性。MFT表项由MFT_HEADER+多个属性项构成。NTFS文件写操作过程,最常修改的文件系统内容分别为:MFT、Bitmap、LogFile,其次是DBR区的一些其他元文件如MFTMirror和MFTMirror和MFTMirror和AttrDef等。
NTFS系统存储介质上文件操作痕迹分析
thanklife的专栏
10-26 1744
以下是从网上找到的原PDF格式的文档,学习了一下,很不错,特意拷贝下来与大家共享一下(因为不知如何粘贴附件:-(),特别对于NTFS系统有了整体的认识。 不知此论坛原来是否发过,如果发过,请版主删除此贴。 谢谢! NTFS系统存储介质上文件操作痕迹分析 黄步根 (江苏警官学院公安科技系,南京 210012) 摘 要:计算机用户通过文件系统存取数据
计算机文件访问时间是什么情况,【反计算机取证必看】Windows系统文件时间属性的变化及影响因素.pdf...
weixin_39981360的博客
07-23 925
【反计算机取证必看】Windows系统文件时间属性的变化及影响因素.pdf·技术交流·Windows系统文件时间属性的变化及影响因素滕冲1,方靖然2,张国臣3(1.国人民公安大学,北京3.公安部物证鉴定心,北京100038)摘要: 目的 分析Windows系统不同因素对文件时间属性的影响,总结文件时间属性的变化规律。方法律并分析各种因素的影响。结果文件时间属性的更新与系统环境、操作方...
NTFS文件系统详解
缘木之鱼
10-10 1万+
  NTFS (New Technology File System),是 Windows NT 环境的文件系统。新技术文件系统Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。   NTFS对FAT和HPFS作了若干改进,例如,支持元数据,并且使用了高级数据结构,
Windows forfiles命令详解,Windows时间搜索特定类型的文件
热门推荐
wangyuxiang946的博客
05-01 1万+
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏。
imu与gps之间的时间戳_windows时间规则实验2:文件本卷内移动
weixin_39966909的博客
11-24 646
这是Windows时间规则实验系列第二篇第一篇见:windows时间规则实验1:修改文件名一、实验实验过程:在测试卷根目录建立一个名为“移动与复制”的文件夹,将本卷移动.docx文件移动到文件夹内。1.鼠标拖动直接按鼠标左键将文件拖动到目标文件夹内,移动前后时间戳的变化如下图:2.使用powershell命令PS D:\>New-Item "卷内移动.docx" -ItemType...
操作系统——Windows下的虚拟多用户多级文件系统
06-23
Windows系统,最常见的文件系统NTFS(New Technology File System),它支持高级功能如文件权限、事务处理和文件压缩等。 创建虚拟多用户多级文件系统,意味着我们需要模拟一个能够支持多个用户并具有多层...
NTFS.rar_ ntfs_Windows NTFS_ntfs 代码_ntfs 文件系统
09-21
《深入解析Windows NTFS文件系统NTFS(New Technology File System)是Windows NT操作系统家族的核心文件系统,自Windows NT 3.1版本以来,它一直是微软Windows Server和Windows桌面版操作系统的主要文件系统...
FileRecovery_ntfs_windows_fat32_删除文件恢复_
09-30
标题的"FileRecovery_ntfs_windows_fat32_删除文件恢复_"暗示了这是一个关于在Windows操作系统,针对NTFS和FAT32文件系统的删除文件恢复工具。这个工具可能是用C++或C#等编程语言编写的,因为它提到了MFC...
windowsNTFS屏蔽坏道的源码
最新发布
06-26
Windows操作系统NTFS(New Technology File System)是一种先进的文件系统,用于管理和组织磁盘上的数据。当硬盘出现坏道时,这可能导致数据丢失、系统崩溃或性能下降。为了解决这个问题,开发者通常会编写...
bat获取文件修改时间_windows时间规则实验1:修改文件
weixin_39647499的博客
11-24 2557
i'tong一直想搞清楚文档的时间属性,这几天看到sans海报专门列出了windows 时间规则,对文档的各种时间属性分析的比较细致。https://cyberforensicator.com/2018/03/25/windows-10-time-rules/这篇文章进一步对win10的时间规则进行了实验,做了一些修正。见下图:下面我们就来跟着做下实验验证下结果,实验系统:win10...
NTFS文件及目录日期行为
aonian7053的博客
03-12 151
以下M=Date Modified, C=Date Created, A=Date Accessed, !=更改,-=不更改 目录项(文件/目录) 所属目录 M ...
文件时间,CreationTime,LastAccessTime,LastWriteTime解释
画圈圈的猿
12-26 8949
转载(原自百度) 1、说一下文件创建时间和修改时间一致的问题,这是因为文件是在编辑完成之后才保存的,所以创建时间和修改时间是一致的,就像你用word敲了一篇稿子,敲完后保存成文件,这时候文件的创建时间和修改时间是一致辞的,如果你再没有打开过这个文件,那么连访问时间也是一致的。 2、说一下文件创建时间晚于修改时间的问题,这个创建时间是指文件在你的电脑上创建的时间,而并非该文件产生的时间,也就是说
Windows与Linux取证分析
PICACHU+++的博客
07-18 3372
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
读书笔记4
weixin_53955759的博客
10-04 153
6.1数字时间取证 6.1.1 取证时间校正和同步 取证设备操作系统时间与标准时间同步 取证工具的时间设置与被取证系统的时间偏移量保持相对一致 6.1.2取证目标的时间检查 1系统时间是否准确 2市区和夏时制的影响 3用户是否从新设置过时间 4进程与应用程序写入的时间戳 5取证工具和人员的影响 6.1.3时间的更新规律 操作 创建时间 修改时间 访问时间 重命名或修改属性 不变 不变 不变 文件夹内文件变化 不变 更新 更.
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
m0_59598029的博客
01-25 3486
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件文件记录、属性属性头和属性体分析接下来我将给各位同学划分一张学习计划表!
windows powershell 命令 修改文件/文件时间
Echo的博客
01-17 6675
使用powershell命令显示/修改文件文件夹的创建、最后修改、最后访问时间等几个属性
查看exe和dll等二进制文件时间戳(生成时间)的工具与方法介绍
dvlinker的技术专栏
04-11 4441
详细介绍查看exe或dll二进制文件时间戳的工具和方法
在linux下挂载ntfs格式文件系统
06-13
在Linux下挂载NTFS格式文件系统,需要安装ntfs-3g软件包,这个软件包提供了一个可以读写NTFS文件系统的驱动。具体步骤如下: 1. 确认ntfs-3g软件包已经安装。如果没有安装,可以使用以下命令进行安装: ``` sudo apt-get install ntfs-3g ``` 2. 创建一个挂载点目录。例如,可以在/mnt目录下创建一个名为ntfs的目录,作为挂载点: ``` sudo mkdir /mnt/ntfs ``` 3. 使用以下命令挂载NTFS文件系统: ``` sudo mount -t ntfs-3g /dev/sda1 /mnt/ntfs ``` 其,/dev/sda1是NTFS文件系统所在的设备文件,可以根据实际情况进行调整。/mnt/ntfs是之前创建的挂载点目录。 4. 挂载后,可以通过/mnt/ntfs目录访问NTFS文件系统文件文件夹。 5. 卸载NTFS文件系统时,可以使用以下命令: ``` sudo umount /mnt/ntfs ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值