Туннелирование NTFS: поиск USN Record в незанятой области
Привет, Хабр! На связи uFactor. В одной из предыдущих статей мы рассказывали о туннелировании файловой системы NTFS и затронули тему карвинга. В этой статье — на примере из предыдущей — разберем, как можно осуществить поиск удаленных записей USN-журнала в незанятой области.
Давайте вспомним следующую историю из прошлого материала: мы подменили содержимое файла 5ac761dd7e05df02eef0f0d7562f45c2.png, записав в него другое изображение и при этом сохранив все временные метки в $MFT. Использовали нестандартную технику совместно с туннелированием. Операция для туннеля — переименование файла: file → new_file → file. Также определились, что основными Reason для таких событий будут RENAME_NEW_NAME и RENAME_OLD_NAME.
Теперь посмотрим записи USN-журнала для этого события.
Читать далееИсточник: Хабрахабр
Похожие новости
- AI-пентестер: охотник или добыча
- [Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
- Сибирскому провайдеру погрозили пальцем за утечку данных десятков тысяч пользователей
- Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1
- GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие
- Spark_news: 85% фрилансеров не знают, что такое полноценный отдых
- [Перевод] YellowKey: zero-day эксплойт полностью обходит стандартную защиту BitLocker в Windows 11
- Почему ИИ-боты более уязвимы, чем их базовые LLM-модели?
- Spark_news: Компании в сфере туризма и ПО стали драйверами рекламного рынка
- Air Production: Как построить ecom для мебельного ритейла с каталогом в 100 000 SKU и 2 млн конфигураций товаров