Windows磁盘取证-回收站和搜索索引

Windows磁盘取证-回收站和搜索索引

作者 应急响应

在进行取证调查时,Windows 回收站被视为重要的证据来源,因为通过文件资源管理器和任何回收站感知程序删除的任何项目一开始都将放入回收站。回收站保留与已删除项目相关的有价值的信息,例如已删除项目的名称、删除前项目的原始位置、已删除项目的大小以及删除项目的日期和时间。

回收站文件

Windows 回收站首次在 Windows 95 中引入,一直持续到 Windows 11。回收站是用户已删除项目的临时存储。然后,用户可以选择永久删除这些项目,或者在错误删除这些项目的情况下恢复它们。

这使得它在调查过程中成为非常有价值的文件,因为我们有可能发现恶意软件或攻击者在特定时间采取的步骤,例如删除文件或文件夹。

下载RBcmd

我们将使用 Eric Zimmerman 的 RBcmd 工具来解析回收站数据。

https://ericzimmerman.github.io/

C:\Users\Administrator\Downloads\RBcmd>RBCmd.exe -h
Description:
  RBCmd version 1.5.0.0

  Author: Eric Zimmerman (saericzimmerman@gmail.com)
  https://github.com/EricZimmerman/RBCmd

  Examples: RBCmd.exe -f "C:\Temp\INFO2"
            RBCmd.exe -f "C:\Temp\$I3VPA17" --csv "D:\csvOutput"
            RBCmd.exe -d "C:\Temp" --csv "c:\temp"

            Short options (single letter) are prefixed with a single dash. Long commands are prefixed with two dashes
使用方法:
  RBCmd [选项]

选项:
  -d <d>          要递归处理的目录。此选项或 -f 是必需的
  -f <f>          要处理的文件。此选项或 -d 是必需的
  -q              仅显示正在处理的文件名,而非所有输出。有助于加快导出为 JSON 和/或 CSV 的速度
  --csv <csv>     保存 CSV 格式结果的目录。请务必用双引号包含完整路径
  --csvf <csvf>   保存 CSV 格式结果的文件名。存在时,会覆盖默认名称
  --dt <dt>       显示时间戳时使用的自定义日期/时间格式。有关选项,请参阅 https://goo.gl/CNVq0k 。默认值为:yyyy-MM-dd HH:mm:ss [默认值:yyyy-MM-dd HH:mm:ss]
  --debug         处理期间显示调试信息 [默认值:False]
  --trace         处理期间显示跟踪信息 [默认值:False]
  --version       显示版本信息
  -?, -h, --help  显示帮助和使用信息

取消回收站文件隐藏

回收站目录下的文件通常是隐藏的,并被标记为系统文件。在默认设置下,Windows不会显示这些隐藏的系统文件。要查看这些文件需要调整文件资源管理器的设置来显示隐藏的和系统文件:

  • 打开文件资源管理器。
  • 点击“查看”选项卡。
  • 选择“选项”,然后在弹出的文件夹选项对话框中,点击“查看”标签。
  • 在“高级设置”列表中,取消选中“隐藏受保护的操作系统文件(推荐)”并选择“显示隐藏的文件、文件夹和驱动器”。
  • 应用更改并确定。

RBcmd解析回收站数据

回收站工件存储在以“$I”开头的文件中,该文件位于回收站目录下的用户 SID 子文件夹中。完整路径如下:

C:\$Recycle.Bin\{SID}\$I######

这些 $I 文件包含文件路径、大小和删除时间戳等元数据。对于每个 $I 文件,如果未永久删除该项目,则存在一个 $R 文件。这些 $R 文件是已删除文件本身的实际内容。

我们可以看到回收站的文件,使用 RBcmd 来解析并获取数据进行分析。

RBCmd.exe -d ./RecycleBinArtifacts --csv ./

解析完成后在timeline explorer中打开csv文件。

我们可以看到文件被删除时的 UTC 时间、原始文件名和完整路径以及文件的大小和哈希。

搜索索引

Windows Search 是一个桌面搜索平台,最初由 Microsoft 在 Windows Vista 中引入,并在更高版本的 Windows(Windows 7、8 和 10)中继续使用。该服务“提供内容索引、属性缓存以及文件、电子邮件和其他内容的搜索结果”。换句话说,Windows Search 服务充当在后台运行的内部字典,收集系统的内容并为其建立索引。

搜索索引数据库位于:

C:\ProgramData\Microsoft\Search\Data\Applications\Windows

我们可以获取不同文件类型(如 docx、pdf、txt 等)的部分内容,浏览器历史记录,即使历史记录已从浏览器中删除。这些记录为内部威胁取证提供了完美的证据。

下载SIDR

我们将使用 SIDR 工具,它将很好地解析搜索索引数据库并以 csv 格式输出。

https://github.com/strozfriedberg/sidr

我们先获取搜索索引数据库,然后使用SIDR工具对其进行解析。

C:\Users\Administrator>sidr.exe -h
Copyright 2023, Aon

使用方法:sidr.exe [选项] <输入>

参数:
  <输入>  输入目录的路径(将递归扫描 Windows.edb 和 Windows.db)

选项:
  -f, --格式 <格式>            输出报告格式 [默认值: json] [可能的值: json, csv]
  -r, --报告类型 <报告类型>  将输出结果发送到文件或标准输出 [默认值: 发送到文件] [可能的值: 发送到文件, 发送到标准输出]
  -o, --输出目录 <输出目录>  报告将创建的目录的路径(如果不存在将创建)。默认是当前目录
  -h, --帮助                       打印帮助(使用 '--帮助' 查看更多)
  -V, --版本                    打印版本

SIDR解析搜索索引

将搜索索引的Windows目录拷贝到sidr.exe同一个目录下执行。

sidr.exe "./windows" -f csv -o ./

第一个路径是我们获取的搜索索引所在的目录。“-o”后的路径是存储结果的路径。“-f”开关指定输出格式。默认为 json,但我们使用 csv更容易分析。

FileReport和internet记录是对我们取证帮助最大的文件,这里用timeline explorer打开csv文件。

FileReport 分析

在FileReport这个 csv 中,我们得到了文件名、修改、创建、访问的时间、大小、所有者、被 windows 索引并添加到​​数据库的时间,以及最重要的文件的部分内容。此选项卡名为“系统搜索自动摘要”。

假设我们对已从系统中永久删除的文件感兴趣。如果该文件及其内容将被编入索引,我们可以恢复其内容。注意,搜索索引会将已删除文件的记录保留几天,之后它们也会从数据库中删除。

 internet history report 分析

我们可以看到网址和url的访问时间。 甚至还记录了访问网页的title名称。

Windows Search 可以成为取证过程中宝贵的证据来源。该数据库包含与 Windows 系统上的文件、图像、视频、目录和其他文件类型相关的大量数据。让 Windows Search 更有价值的是用户可能没有意识到它,该服务默认启用在后台运行,在用户不知情的情况下收集和索引潜在证据。

Post Views: 27
赞赏

微信赞赏支付宝赞赏
Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论