Windows基于NTFS取证溯源,软件自动分析思路。
在主机应急响应或取证溯源过程中,这是一个与黑客博弈的过程;因为黑客在攻击过程中会尽可能的缩小攻击动作,而且一般攻击成功后都会抹除相关痕迹,每当黑客拿到一台主机权限后,“种马”几乎是一个必做事情,对于木马安装而言,隐藏木马则是重中之重;近年来发现很多唤醒式木马,这种木马最大的特性就是想办法隐藏自己,让自己能够持久的存活下去,只有在关键时刻才或被唤醒时才暴露自己;这就意味者这种木马正常状态下是没有任何网络特征的。在家上自身的伪装与一定的隐藏技术手段,让运营人员很难发现。
NTFS自动分析取证溯源算法,意指通过一套算法来有效帮助分析人员进行失陷主机痕迹分析与溯源。
主机溯源分析文件系统一直是一大耗时费力的难点。随着各种网络设备的成熟,国内已经形成了流量铁网通过网络异常总能第一时间定位到异常主机,剩下的事情就是主机排查了;但是目前来说还未有一款软件或产品能自动化的将一台失陷主机的情况说清楚,必须要主机侧的安全专家上机进行分析才能得出最终的溯源结论;而在主机溯源分析过程中,文件系统分析则是重中之重,通过分析文件节点可以抽象出黑客开始攻击时间,以及在失陷主机中做了那些事情。
本设计通过NTFS中MFT记录及USN日志进行自动化分析,本设计核心思想就是尽量不放过任何可疑信息;通过打标签方式让分析人员能够快速排查,满足失陷主机,及应急响应场景需求。
时间段过滤模型:
时间段过滤器就是通过时间范围标量和一个文件数阈值进行批量排除处理,如上图所示kt表示最大时间差(秒),kn表示少文件数,此模型最大优点就是排除速度非常快。
此模型有个最大的缺点,那就是异常文件的时间非常容易被修改,一般通过系统API就可以改变自身创建、修改、等时间。
在此模型基础上,通过NTFS索引记录(MFT)属性中,FnCreateTime 与 MFTChangeTime相关记录属性可以弥补一定的时间被非法篡改问题。
标签:分析,取证,基于,NTFS,主机,木马,溯源 From: https://www.cnblogs.com/hahac/p/16594634.html