【干货】操纵时间 感受威胁 MAC time时间戳视角

时间:2021-04-28 09:25:03

来源:Unit 4: Unix/Linux Forensics Analysis 4.1 Unix/Linux Forensics Analysis MAC Times

Sleuthkit工具的MAC time功能将文件作为输入,创建时间轴,对数据进行排序。

Timestamp工具更改windows文件系统中的所有时间戳

使用这个功能需要两个步骤:生成一个文件作为MACTIME的输入。数据文件包含时间戳、文件名和其他信息。FLS和ILS都可以创建这样的数据文件,使用-m选项。前面的干货中有介绍。FLS命令中,-r是递归,递归指示FLS以MAC time输入格式显示输出,以斜线作为拷贝镜像的挂载点。ILS命令中,使用-m不带斜杠,因为ILS输出没有文件名信息(找到删除的数据,但这些数据没有文件名)。

【干货】操纵时间 感受威胁 MAC time时间戳视角

有了FLS和ILS命令得到的数据,就可以运行MAC time来对文件进行排序,重点是有日期和时间,得到的结果如图。重点是我们为什么要借助时间?这意味着在此期间发生了一些活动,例如下载或编译,因为人类无法在一秒钟内更改那么多文件。这里可以体现出一些犯罪软件的行为痕迹。

【干货】操纵时间 感受威胁 MAC time时间戳视角

A表示最后一次访问时间  M表示最后一次修改时间   C表示最后一次inode更改时间

在某些条目中,您将看到在文件名之后显示了已删除或已删除的重新分配。如果还没有覆盖数据块,它的内容可能是可恢复的。像箭头这里的,没有重新分配就还可以恢复。已删除的重新分配的数据块,只要的数据块和inode映射还没有被覆盖,就可以找到逻辑上的关联进行恢复,又可能数据块只是被重新分配还没有被覆盖,前面已经感受过了。捣鼓一下马上就可以察觉是否可恢复。

【干货】操纵时间 感受威胁 MAC time时间戳视角

看看哪些操作将使MAC time发生变化。

创建一个文件touch myfile   看看MAC time体现出来的是什么信息

【干货】操纵时间 感受威胁 MAC time时间戳视角

因为创建的是新的文件,所有修改,访问和inode更改时间都是当前时间,大小也是0

【干货】操纵时间 感受威胁 MAC time时间戳视角

Stat myfile命令查看时间戳,都是一样的。在Windows情况下,我们经常看到有四个时间戳。后面提windows。

【干货】操纵时间 感受威胁 MAC time时间戳视角

More myfile命令读取这个文件,感受访问时间access的变化。同时发现时间戳的精度非常的多,一种应用是检测垃圾外挂,一些操作是人类无法完成的。(注意,个人臆测不当真,一切不验证就传播臆测的行为,都是害人害己。有条件的自己动手发现,不要引用去教别人,都往原创里面引导。服务及价值,服务他人兑换价值。不是窝着藏着低级技术不让别人得到与掌握。藏着低级技术不让他人取代你,最后两个都无法月薪几万。害人害己。)

【干货】操纵时间 感受威胁 MAC time时间戳视角

感受一下修改时间的变化,modify time。使用追加命令echo hello  修改了内容

【干货】操纵时间 感受威胁 MAC time时间戳视角

攻击者说我想更改为任何日期时间,因为他们想更改——日期时间不在作案时间内以隐藏信息。如果你用touch命令,所有真正的作案时间将被抹掉。

【干货】操纵时间 感受威胁 MAC time时间戳视角

现在,如果攻击者希望针对给定的时间戳进行有意修改,他们是否可以这样做。把时间都改成很久以前。使用main touch查阅参数手册,得到更具体的修改参数,这些参数都是真实存在的 –A  -M两个参数,所以你只能故意改变访问时间和修改时间。

【干货】操纵时间 感受威胁 MAC time时间戳视角

接着前面使用的FLS和ILS创建的两个主体文件进来。前面命令中故意用了-M参数,创建一个主体(body)文件。来给MAC time使用

【干货】操纵时间 感受威胁 MAC time时间戳视角

MAC时间依赖于一个body文件,这就是为什么它叫back time。

-d是逗号分隔 –b是处理的文件,这些文件路径都可以拖拽文件生成,不要手动敲。

【干货】操纵时间 感受威胁 MAC time时间戳视角

生成的csv文件用excel软件打开。这里C列有四个时间戳,第四个是birth,表示创建时间。

在同一秒发生一个很长的长块,这意味着发生了一些非人类行为,你可以找到它们并看看它们是什么情况。

【干货】操纵时间 感受威胁 MAC time时间戳视角