#رمضانيات_DFIR
7 رمضان - Secure$ 🔒
ال Secure$ هو من الملفات الخاصة بنظام الملفات NTFS. هذا ال artifact يحفظ معلومات المالك و الصلاحيات للملفات و المجلدات على جهاز التخزين. عشان تعرف الفايدة لل Secure$ أنصحك تقرا الثريد الي كاتبها عن ال MFT$
#DFIR #BlueTeam
7 رمضان - Secure$ 🔒
ال Secure$ هو من الملفات الخاصة بنظام الملفات NTFS. هذا ال artifact يحفظ معلومات المالك و الصلاحيات للملفات و المجلدات على جهاز التخزين. عشان تعرف الفايدة لل Secure$ أنصحك تقرا الثريد الي كاتبها عن ال MFT$
#DFIR #BlueTeam
في ال Windows اذا سويت ملف جديد, ال owner للملف بيكون نفس المستخدم الي سوا الملف. مثال اذا سويت ملف بمستخدم أسمه u0041 بيكون ال owner u0041. هذا يساعدنا من ناحية اذا لقينا برنامج خبيث نقدر نعرف من مسوية و بتالي بنعرف هذا المستخدم مخترق
خلينا نجرب! بسوي ملف أسمه test.txt بالمستخدم u0041. نقدر نستخدم ال cmd أو PowerShell عشان نطلع ال owner. أفضل PowerShell لأنه يطلع معلومات أكثر و بشكل مرتب
طيب ذلحين طلعنا المعلومات من ال live system كيف ممكن نطلعها من ال artifacts?
أول شي نحتاج نجمع ال Secure$ و MFT$ بعدين نسوي parser لل MFT$ ونشوف ال record الخاص بالملف الي نبغى نطلع له ال owner و ال permissions. خلينا ناخذ نفس الملف الي أستخدمناه في ال live analysis (test.txt)
أول شي نحتاج نجمع ال Secure$ و MFT$ بعدين نسوي parser لل MFT$ ونشوف ال record الخاص بالملف الي نبغى نطلع له ال owner و ال permissions. خلينا ناخذ نفس الملف الي أستخدمناه في ال live analysis (test.txt)
بعدين نبحث عن ال Security ID الي طلعناه من ال MFT$ في ال Secure$. ال Secure$ بيعطيك ال SID للمستخدم, تقدر تستخدم الأمر هذا في ال PowerShell عشان تطلع أسم المستخدم الخاص فيه. في طريقة ثانية تقدر تطلع فيها أسم المستخدم وهي بستخدام ال Registry, بس بنتكلم عليها أكثر في يوم ثاني
هذي بعض ال parser الي تساعد في تحليل ال Secure$
- Secure2Csv - github.com
- SDSParser-rs (مستخدم في هذا المثال) - github.com
- Secure2Csv - github.com
- SDSParser-rs (مستخدم في هذا المثال) - github.com
جاري تحميل الاقتراحات...