渗透技巧——Windows下NTFS文件的时间属性总结

最新推荐文章于 2024-02-01 16:51:01 发布
最新推荐文章于 2024-02-01 16:51:01 发布
阅读量2.3k 收藏 4
点赞数 1
文章标签: 渗透测试 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vdieoo/article/details/110425903
版权

工具:NewFileTime  SetMace  

 

命令:

#先创建文件new-item gh.txt

 

#powershell显示文件的创建、最后修改、最后访问时间 属性

PS D:\godhat> (ls gh.txt).CreationTimeUtc
PS D:\godhat> (ls gh.txt).LastWriteTimeUtc
PS D:\godhat> (ls gh.txt).LastAccessTimeUtc

 

#powershell设置文件的创建、最后修改、最后访问时间属性

PS D:\godhat> (ls gh.txt).LastAccessTimeUtc="2019-12-31 22:33:44"
PS D:\godhat> (ls gh.txt).LastAccessTimeUtc

 

PS D:\godhat> (ls gh.txt).LastWriteTimeUtc="2019-12-31 11:22:33"
PS D:\godhat> (ls gh.txt).LastWriteTimeUtc

 

PS D:\godhat> (ls gh.txt).CreationTimeUtc="1949-10-01 14:00:01"
PS D:\godhat> (ls gh.txt).CreationTimeUtc

 

#目录/文件夹的时间属性修改,需要用到Get-ChildItem,如Fo1目录

$F=Get-ChildItem Fo1
$F[1].Name
$F[1].CreationTime

 

0x00 前言

在渗透测试中,如果需要在目标系统上释放文件,将会改变父目录的时间属性 ( AccessTime,LastWriteTime,MFTChangeTime ) ,如果需要覆盖目标系统上原有的文件,也会改变原有文件的时间属性 ( CreateTime,AccessTime,LastWriteTime,MFTChangeTime ) 。

站在渗透的角度,需要找到修改文件时间属性的方法,用来消除痕迹。

站在取证的角度,通过文件属性的异常能够找到攻击者的入侵痕迹。

本文将会介绍修改文件属性的方法和细节,分享实现代码,结合利用思路给出在取证上的建议。

0x01 简介

本文将要介绍以下内容:

· 基本概念

· 读取文件属性的方法

· 

最低0.47元/天 解锁文章
Vdieoo
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
fat和ntfs文件时间转换为年月日的时间
铁匠的七寸宫
01-14 1401
客户突然说需要在项目上能显示完整的文件时间属性, 比如最后修改时间. NTFS的实现由于时间比较紧,就没有到网上找找看有没有已经实现的算法.如果谁知道有已经实现的算法的话请不吝告知啊.谢谢. fat的就比较简单,在dir entry,找到相关字段,进行以为操作即可,然后加上1980年的偏移就ok.fno->fileinfo.year = (fno->fileinfo.fdate >>
bat获取文件修改时间_windows时间规则实验1:修改文件
weixin_39647499的博客
11-24 2556
i'tong一直想搞清楚文档的时间属性,这几天看到sans海报专门列出了windows 时间规则,对文档的各种时间属性分析的比较细致。https://cyberforensicator.com/2018/03/25/windows-10-time-rules/这篇文章进一步对win10的时间规则进行了实验,做了一些修正。见下图:下面我们就来跟着做下实验验证下结果,实验系统:win10...
NTFS文件系统解析
飞鹤的程序员人生
02-01 1517
MFT表项记录着文件的相关属性,有常驻属性(比较小),有非常驻属性(数据较大,此属性只记录真实数据的索引)。Bitmap和LogFile一般都超过1K,都是记录在MFT的非常驻DATA属性。MFT表项由MFT_HEADER+多个属性项构成。NTFS文件写操作过程,最常修改的文件系统内容分别为:MFT、Bitmap、LogFile,其次是DBR区的一些其他元文件如MFTMirror和MFTMirror和MFTMirror和AttrDef等。
NTFS文件及目录日期行为
aonian7053的博客
03-12 149
以下M=Date Modified, C=Date Created, A=Date Accessed, !=更改,-=不更改 目录项(文件/目录) 所属目录 M ...
文件系统 文件时间记录在哪里_学懂主流NTFS分区文件系统,你也可以成为MM眼的大神!...
weixin_39834984的博客
11-18 237
主要NTFS文件系统小讲第一课,学会了你也可以使用WINHEX进行底层数据分析,误删,误格式化,分区出错等一些故障在数据恢复软件处理不了时,你也可以通过这些知识来提高恢复几率。由于篇幅有限不太可能一次讲解完毕,后续会不断更新,让我们一起来提高我们的数据恢复水平吧!NTFS文件系统结构分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统NTFS文件...
NTFS系统存储介质上文件操作痕迹分析
thanklife的专栏
10-26 1743
以下是从网上找到的原PDF格式的文档,学习了一下,很不错,特意拷贝下来与大家共享一下(因为不知如何粘贴附件:-(),特别对于NTFS系统有了整体的认识。 不知此论坛原来是否发过,如果发过,请版主删除此贴。 谢谢! NTFS系统存储介质上文件操作痕迹分析 黄步根 (江苏警官学院公安科技系,南京 210012) 摘 要:计算机用户通过文件系统存取数据
操作系统——Windows下的虚拟多用户多级文件系统
06-23
Windows系统,最常见的文件系统NTFS(New Technology File System),它支持高级功能如文件权限、事务处理和文件压缩等。 创建虚拟多用户多级文件系统,意味着我们需要模拟一个能够支持多个用户并具有多层...
centos7挂载windowsNTFS文件系统的移动硬盘需要的ntfs-3g
03-23
在Linux系统,尤其是CentOS 7这样的发行版,与Windows系统进行文件交换时,由于文件系统的不兼容性,Linux默认无法直接挂载Windows NTFS格式的移动硬盘。为了解决这个问题,我们需要安装一个名为`ntfs-3g`的软件包...
NTFS.rar_ ntfs_Windows NTFS_ntfs 代码_ntfs 文件系统
09-21
《深入解析Windows NTFS文件系统NTFS(New Technology File System)是Windows NT操作系统家族的核心文件系统,自Windows NT 3.1版本以来,它一直是微软Windows Server和Windows桌面版操作系统的主要文件系统...
FileRecovery_ntfs_windows_fat32_删除文件恢复_
09-30
标题的"FileRecovery_ntfs_windows_fat32_删除文件恢复_"暗示了这是一个关于在Windows操作系统,针对NTFS和FAT32文件系统的删除文件恢复工具。这个工具可能是用C++或C#等编程语言编写的,因为它提到了MFC...
windowsNTFS屏蔽坏道的源码
最新发布
06-26
Windows操作系统NTFS(New Technology File System)是一种先进的文件系统,用于管理和组织磁盘上的数据。当硬盘出现坏道时,这可能导致数据丢失、系统崩溃或性能下降。为了解决这个问题,开发者通常会编写...
Windows与Linux取证分析
PICACHU+++的博客
07-18 3371
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
读书笔记4
weixin_53955759的博客
10-04 153
6.1数字时间取证 6.1.1 取证时间校正和同步 取证设备操作系统时间与标准时间同步 取证工具的时间设置与被取证系统的时间偏移量保持相对一致 6.1.2取证目标的时间检查 1系统时间是否准确 2市区和夏时制的影响 3用户是否从新设置过时间 4进程与应用程序写入的时间戳 5取证工具和人员的影响 6.1.3时间的更新规律 操作 创建时间 修改时间 访问时间 重命名或修改属性 不变 不变 不变 文件夹内文件变化 不变 更新 更.
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
m0_59598029的博客
01-25 3473
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件文件记录、属性属性头和属性体分析接下来我将给各位同学划分一张学习计划表!
windows powershell 命令 修改文件/文件时间
Echo的博客
01-17 6648
使用powershell命令显示/修改文件文件夹的创建、最后修改、最后访问时间等几个属性
WinHex数据恢复—NTFS系统基础知识
anquanfun的博客
01-03 1071
主要讲解NTFS文件系统基础知识,为数据恢复做准备。
MACE 使用笔记
u011279649的专栏
12-21 1907
环境安装 tensorflow 安装,一直不太想要mace的部分原因是不支持tensorflow2.模型。 Shell set -e 学习笔记: shell 的 set -e , set +e 用法_滴水成川-CSDN博客_linux set-eset-eset命令的-e参数,linux自带的说明如下:"Exitimmediatelyifasimplecommandexitswithanon-zerostatus."也就是说,在"set-e"之后出现的代码,一旦出现了返回...
Windows时间戳的计算
m0_59302403的博客
03-30 2378
掌握WindowsFileTime时间戳的手工解析方法,利用WinHex或X-Ways等十六进制编辑器进行手工取证,把Windows$MFT文件里记载的十六进制时间转化为“年月日时分”的可读时间,加深对于时间戳的理解。
NTFS文件系统结构--从零开始追踪一个文件的位置
热门推荐
刘洋_heaven的博客
04-14 2万+
前言:最近由于项目需要,研究了一下NTFS文件系统NTFS文件系统windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其的某个文件。 环境:LI
在linux下挂载ntfs格式文件系统
06-13
在Linux下挂载NTFS格式文件系统,需要安装ntfs-3g软件包,这个软件包提供了一个可以读写NTFS文件系统的驱动。具体步骤如下: 1. 确认ntfs-3g软件包已经安装。如果没有安装,可以使用以下命令进行安装: ``` sudo apt-get install ntfs-3g ``` 2. 创建一个挂载点目录。例如,可以在/mnt目录下创建一个名为ntfs的目录,作为挂载点: ``` sudo mkdir /mnt/ntfs ``` 3. 使用以下命令挂载NTFS文件系统: ``` sudo mount -t ntfs-3g /dev/sda1 /mnt/ntfs ``` 其,/dev/sda1是NTFS文件系统所在的设备文件,可以根据实际情况进行调整。/mnt/ntfs是之前创建的挂载点目录。 4. 挂载后,可以通过/mnt/ntfs目录访问NTFS文件系统文件文件夹。 5. 卸载NTFS文件系统时,可以使用以下命令: ``` sudo umount /mnt/ntfs ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值