Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache.hve,Windows文件访问时间不更新原理

已于 2023-04-19 11:13:07 修改
阅读量1.3w 收藏 102
点赞数 103
分类专栏: 《网络安全快速入门》 文章标签: 网络安全 ai 人工智能 chatgpt
于 2023-04-03 08:20:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/129894850
版权

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

在这里插入图片描述

敏感文件痕迹排查

一、根据时间查找 Forfiles

文件有三个时间:创建时间、修改时间、访问时间。

  • 创建时间:文件新建的时间,首次出现在硬盘上的时间。
  • 修改时间:文件内容被修改的时间。
  • 访问时间:文件最后访问时间,读取、写入、复制或执行的最后时间。

右键文件 - 【属性】-【常规】可以查看文件的创建、修改、访问时间:

在这里插入图片描述

攻击者为了掩盖痕迹,通常会用菜刀等工具修改文件的时间信息,比如修改时间比创建时间早,那这个文件就很可疑。

确认事件发生的时间点后,可以查找时间范围内改动过的文件。

比如:查找2023年3月30日以后新增的程序:

forfiles /m *.exe /d +2023/3/30 /s /p c:\  /c:"cmd /c echo @path @fdate @ftime" 2>null

在这里插入图片描述

如果everything没有禁用的话,也可以用它搜索文件。


1、访问时间不更新问题

Windows 2003 SP1开始,为了提升性能,关闭了LastAccessTime,这意味着文件的访问时间不会实时更新。

从微软提供的GetFileTime这个API可以发现,LastAccessTime表示文件读取、写入、复制或执行的最后时间,也就是文件属性中的访问时间。

实时记录访问时间意味着:一个文件的读操作,会变成读+写操作,也就是将文件的读取时间写到文件属性和目录索引中,这对性能的影响是巨大的。

FAT文件系统中,创建时间的分辨率为10毫秒,写入时间分辨率为2秒,访问时间分辨率为1天。

NTFS文件系统将访问时间的更新,延迟到上次访问后最多一个小时,并且默认禁用访问时间更新功能。

因此,Windows XP 和 Windows Server 2003 中,访问时间默认在NTFS卷上更新,而后续的Windows版本则不会更新文件的访问时间。

二、最近打开的文件 Recent

Windows默认不记录文件的访问时间,当我们想查看最近访问,也就是最近打开的文件时,可以使用Recent。

Recent用来存放最近使用的文档的快捷方式,以便你再次访问。

不同版本的系统,Recent位置不一致,常见的位置有以下四个:

  • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent
  • C:\Documents and Settings\Administrator\Recent
  • C:\Documents and Settings\Default User\Recent
  • C:\Users\Administrator\Recent

也可以使用快速打开的方式: WIN + R ,输入 %UserProfile%\Recent

在这里插入图片描述

修改日期那一栏对应文件打开的时间,可以在右上角的搜索栏中,搜索指定文件。

在这里插入图片描述

三、临时目录 Temp

Temp是Windows的临时文件夹,用来临时保存用户的文件,以防止数据丢失。用户没来得及保存、删除、移动、复制的文本都会保存到Temp目录下。

Temp文件对当前登录用户具有读写访问权限,会被恶意软件当做提权的暂存地点,即先把脚本上传到Temp目录,再利用Temp目录的权限提权。

Temp路径:C:\Windows\Temp

快速打开方式:WIN + R ,输入 %temp%

在这里插入图片描述

在这里插入图片描述

重点检查exe、dll、sys文件,或者特别大的文件。

将可疑文件上传到沙箱或情报中心分析,比如:

  • 奇安信威胁情报中心:https://ti.qianxin.com/
  • VT文件分析平台:https://www.virustotal.com/gui/home/upload

四、预读取文件 Prefetch

Prefetch是Windows系统的预读取文件夹,用来存放系统已经访问过的文件的预读信息,以便下次访问时可以更快的加载。

WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹

在这里插入图片描述

在这里插入图片描述


五、程序执行情况 Amcache.hve

Amacache.hve是Windows系统保存可执行系统文件的注册表仓库,可以查看程序的执行路径、上次执行时间、创建时间以及SHA1值。

WIN + R,输入 %systemroot%\appcompat\Programs,打开Amcache.hve。

在这里插入图片描述

在这里插入图片描述


六、浏览器分析

攻击者可能会使用浏览器访问一些网站或下载文件。

可以查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

在这里插入图片描述

七、webshell

攻击者通常会在服务器上留下webshell,以便长期空中,需要利用相关工具查杀可疑文件。

服务器通常会安装杀毒软件,全盘扫描即可,如果没装就装一个。

杀毒软件一般不会做驱动对抗,如果怀疑是驱动类型的病毒,需要用专杀工具(奇安信顽固病毒专杀工具、360急救箱等)。

PC版客户端也大同小异,用相关工具扫就可以了。

士别三日wyx
关注
  • 103
    点赞
  • 102
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 92
    评论
专栏目录
AmcacheParser:解析amcache.hve文件,但是有点麻烦!
05-04
AmcacheParser 请参阅此处以获取更多信息: AmcacheParser version 0.0.5.1 Author: Eric Zimmerman (saericzimmerman@gmail.com) https://github.com/EricZimmerman/AmcacheParser b Path to file containing SHA-1 hashes to *include* from the results. Blacklisting overrides whitelisting f Amcache.hve file to parse. Required i Include file entries for Progr
amcache.hve及包含的文件SHA1值分析
一个热爱逆向,喜爱学习、分享的猿。
03-14 2774
amcache.hve Win8及更高版本的系统使用Amcache.hve替代RecentFileCache.bcf。记录文件创建时间、上次修改时间、SHA1和一些PE文件头信息。
Windows应急响应 - 敏感目录文件痕迹排查最近打开文件 Recent临时目录Temp读取文件Prefetch程序执行情况Amcache(1)
最新发布
2401_84972814的博客
05-13 889
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
win10服务器文件夹在哪里找,recent文件夹在哪里找_recent文件夹怎么清理
weixin_36070568的博客
08-12 5018
recent文件夹在哪里找_recent文件夹怎么清理Windows7系统在运行的时候会在系统内产生一定的垃圾,一般会保存在系统C盘中的WINDOWSCookies、RECYCLED、WINDOWSHistory、WindowsRecentWindows emp这五个文件夹内。很多人可能都不知道recent文件夹是干嘛的,小编这就告诉大家,其实recent文件夹是用来存放最近使用的文档的快捷方式...
C# 系统应用之获取Windows最近使用记录
热门推荐
杨秀璋的专栏
01-19 1万+
由于毕业设计项目需要删除Windows最近历史记录,这就需要获取Windows最近历史记录 Recent.本文就主要叙述通过C#实现获取Recent中使用的文件文件夹.通过讲述Windows最近历史记录,ShortCut快捷追踪Recent文件的原始路径,并结合学习Level Up的博主代码实现获取Windows最近浏览的文件文件夹.希望文章对大家有所帮助,文章中如果有不足或错误的地方,见谅!
电脑软件清空读取文件.rar
10-25
读取文件(Prefetch Files)是Windows操作系统中的一项功能,旨在提高常用程序的启动速度。当一个程序首次运行时,Windows会记录该程序的加载信息,并将其存储在读取文件中。当该程序再次启动时,系统能快速加载...
windows.old 文件删除工具
01-29
"Windows.old" 文件Windows操作系统在进行重大更新或升级时创建的一个重要文件夹,它包含了上一个版本的系统文件和设置。这个文件夹的主要目的是在新版本系统出现问题时,为用户提供了回滚到旧版系统的可能性,以...
清理Prefetch读取)文件的cmd小脚本
01-15
清理Prefetch读取)文件的cmd小脚本
执行命令清理C盘无用文件.zip
04-29
6. ** prefetch 文件**:Windows为加快程序启动速度而创建的读取文件,可以安全删除。 7. **旧版的系统文件**:例如WinSxS目录下的旧版本组件,有时可以进行清理。 执行`清理C盘.bat`脚本的步骤如下: 1. 下载并...
利用python程序帮大家清理windows垃圾
12-24
某些缓存文件可以提高程序的执行速度,比如缓存 cookie、使用记录 recent读取 prefetch 等。所以清理临时文件并不代表系统运行就会变快,有时也可能变慢。 windows电脑中的垃圾文件文件夹主要有哪些? 系统盘 ...
recent:一个命令行实用程序,可帮助您导航到最近使用的文件
06-24
最近的 一个命令行实用程序,可帮助您导航到最近使用的文件
渗透测试中Windows、Linux敏感文件
weixin_46239998的博客
04-30 2515
渗透测试中常用的敏感文件
应急响应处置现场流程 - 文件痕迹排查笔记07
战神/calmness的博客
05-27 901
应急响应处置现场流程 - 文件痕迹排查应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹排查必不可少。 一般,可以从以下几方面对文件痕迹进行排查: (1)对恶意软件常用的敏感路径进行排查; (2)在确定了应急响应事件的时间点后,对时间点前后的文件进行排查; (3)对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等。 1.Windows系统 1)敏感目录Windows系统中,恶意软件常会在以下位置驻留。 (1)各
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 2179
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
windows 改变文件大小 函数_Windows程序执行证据分析(一):Prefetch
weixin_39610774的博客
12-04 775
“自学者和学生的区别,不在于知识的广度,而在于生命力和自信心的差异。by 米兰·昆德拉”01Prefetch 简介Prefetch(严格来说称为“Prefetcher”),在Windows XP引入,用于监视应用执行的前10秒。使用prefetch的目的是通过将应用加载需要的文件和资源缓存到内存,提升应用后续加载的速度,降低磁盘访问的需求。缓存管理器会监视每个应用或进程引用的文件目录,...
load_file()常用路径
收集盒 Book box
03-27 1370
WINDOWS下: c:/boot.ini          //查看系统版本 c:/windows/php.ini   //php配置信息 c:/windows/my.ini    //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码 c:/winnt/php.ini c:/winnt/my.ini c:\mysql\data\mysql\user.MYD  //存储了m
【Window 入侵排查
Beret-81的博客
01-31 1694
通过PowerShell进行查询最常用的两个命令是【Get-EventLog】和【Get-WinEvent】,两者的区别是【Get-EventLog】只获取传统的事件日志,而【Get-WinEvent】是从传统的事件日志(如系统日志和应用程序日志)和新Windows事件日志技术生成的事件日志中获取事件,其还会获取Windows事件跟踪(ETW)生成的日志文件中的事件。Windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。
PowerShell利用assoc和ftype快速查看文件关联与默认程序
Windows系统中,管理文件的关联和默认打开程序是一项常见的任务。 PowerShell 提供了一种高效且强大的方式来查询这些信息,尽管传统的命令行工具如 `assoc` 和 `ftype` 在某些情况下更为便捷。这两个命令在CMD或...
评论 92
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值