渗透技巧——Windows下NTFS文件的时间属性总结

最新推荐文章于 2024-08-09 15:58:45 发布
原创 最新推荐文章于 2024-08-09 15:58:45 发布 · 2.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#渗透测试 #经验分享

本文介绍了在渗透测试中如何修改Windows NTFS文件的时间属性,包括CreateTime、AccessTime、LastWriteTime和MFTChangeTime,讨论了其在消除痕迹和取证中的作用。文章分享了使用WinAPI、NtQueryInformationFile等方法实现文件时间属性的读取和修改,并提供了相关代码和利用思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工具:NewFileTime  SetMace  

 

命令:

#先创建文件new-item gh.txt

 

#powershell显示文件的创建、最后修改、最后访问时间 属性

PS D:\godhat> (ls gh.txt).CreationTimeUtc
PS D:\godhat> (ls gh.txt).LastWriteTimeUtc
PS D:\godhat> (ls gh.txt).LastAccessTimeUtc

 

#powershell设置文件的创建、最后修改、最后访问时间属性

PS D:\godhat> (ls gh.txt).LastAccessTimeUtc="2019-12-31 22:33:44"
PS D:\godhat> (ls gh.txt).LastAccessTimeUtc

 

PS D:\godhat> (ls gh.txt).LastWriteTimeUtc="2019-12-31 11:22:33"
PS D:\godhat> (ls gh.txt).LastWriteTimeUtc

 

PS D:\godhat> (ls gh.txt).CreationTimeUtc="1949-10-01 14:00:01"
PS D:\godhat> (ls gh.txt).CreationTimeUtc

 

#目录/文件夹的时间属性修改,需要用到Get-ChildItem,如Fo1目录

$F=Get-ChildItem Fo1
$F[1].Name
$F[1].CreationTime

 

0x00 前言

在渗透测试中,如果需要在目标系统上释放文件,将会改变父目录的时间属性 ( AccessTime,LastWriteTime,MFTChangeTime ) ,如果需要覆盖目标系统上原有的文件,也会改变原有文件的时间属性 ( CreateTime,AccessTime,LastWriteTime,MFTChangeTime ) 。

站在渗透的角度,需要找到修改文件时间属性的方法,用来消除痕迹。

站在取证的角度,通过文件属性的异常能够找到攻击者的入侵痕迹。

本文将会介绍修改文件属性的方法和细节,分享实现代码,结合利用思路给出在取证上的建议。

0x01 简介

本文将要介绍以下内容:

· 基本概念

· 读取文件属性的方法

· 修改文件属性的方法

· 分享代码

· 利用思路

· 取证建议

0x02 基本概念

1、NTFS 文件系统中的时间属性

包括以下四个:

· CreateTime ( Created )

· AccessTime ( Accessed )

· LastWriteTime ( Modified )

· MFTChangeTime

前三个可通过右键 ->Properties 获得,如下图:

无法直接查看 MFTChangeTime。

MFTChangeTime 记录 MFT ( Master File Table ) 的修改时间,如果文件属性变化,就会更新 MFTChangeTime。

2、读取 MFTChangeTime 的方法

( 1 ) 通过 NtQueryInformationFile 读取

注:通过 WinAPI GetFileTime 无法获得。

( 2 ) 解析 NTFS 文件格式

Master File Table 中的 $STANDARD_INFORMATION ( 偏移 0x10 ) 和 $FILE_NAME ( 偏移 0x30 ) 包含完整的文件属性。

###3、Win7 系统默认 CreateTime 和 AccessTime 保持一致。

Win7 系统 ( 以及更高版本 ) 默认设置下,禁用了 AccessTime 的更新。

也就是说,只读取文件的操作不会改变文件属性 AccessTime,AccessTime 同 CreateTime 保持一致,这是为了减少硬盘的读写。

对应注册表位置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem,键值 NtfsDisableLastAccessUpdate。

数值 1 代表禁用,为默认配置,数值 0 代表开启,修改注册表后重启系统才能生效。

4、文件属性的变化规律

读取文件:不会改变文件属性。

覆盖文件:改变 4 个属性。

5、文件夹属性的变化规律

新建文件 / 删除文件 / 重命名文件:

改变父文件夹的 AccessTime,LastWriteTime 和 MFTChangeTime。

覆盖文件:不会改变文件属性。

注:可借助 SetMace 进行测试,下载地址:https://github.com/jschicht/SetMace

0x03 读取和修改文件属性的方法

1、使用 WinAPI GetFileTime 和 SetFileTime

能够操作三个文件属性:

· CreateTime ( Created )

无法对 MFTChangeTime 进行操作

( 1 ) GetFileTime 的使用

通过 GetFileTime ( ) 获得 FileTime。

通过 FileTimeToSystemTime ( ) 将 FileTime 转换为 SystemTime,即 UTC,同一标准。

通过 SystemTimeToTzSpecificLocalTime ( ) 将 SystemTime 转换为 LocalTime,即 UTC 加上时区,考虑时区的影响,同当前系统显示的时间保持一致。

( 2 ) SetFileTime 的使用

通过 sscanf ( ) 将输入的时间数据转换为 SystemTime。

通过 SystemTimeToFileTime ( ) 将 SystemTime 转换为 FileTime。

通过 LocalFileTimeToFileTime ( ) 将 FileTime 转换为对应 UTC 的 FILETIME,即 FILETIME 加上时区,考虑时区的影响,同当前系统显示的时间保持一致。

实现代码已开源,下载地址:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/FileTimeControl_WinAPI.cpp

代码实现了以下功能:

· 查看文件 / 文件夹的时间 ( CreateTime,AccessTime,LastWriteTime )

· 修改文件 / 文件夹的时间

· 将文件 A 的时间复制到文件 B

2、使用 NtQueryInformationFile 和 NtSetInformationFile

能够操作四个文件属性:

我在实现上直接引用了 Metasploit 中 timestomp 的代码,地址如下:

https://github.com/rapid7/meterpreter/blob/master/source/extensions/priv/server/timestomp.c

添加了部分功能,下载地址:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/FileTimeControl_NTAPI.cpp

· 查看文件的时间 ( CreateTime,AccessTime,LastWriteTime,MFTChangeTime )

· 修改文件的时间

· 将时间设置为最小值 ( 1601-01-01 00:00:00 )

注:暂时不支持对文件夹的操作。

3、使用驱动文件

( 1 ) SetMace

可供参考的下载地址:https://github.com/jschicht/SetMace

SetMace 能够正常读取文件和文件夹的时间信息 ( 包括 MFTChangeTime ) 。

但无法修改时间信息,这是因为自 nt6.x 开始,Windows 禁止加载未经签名的驱动文件,如果能够绕过驱动保护,就能修改时间信息。

( 2 ) WinHex

付费版的 WinHex 支持对硬盘文件的写入操作,可以用来修改时间信息。

补充、文件资源克隆

通过 powershell 实现自动化调用 Resource Hacker,对可执行文件 ( exe,dll,scr 等 ) 的资源信息进行克隆。

下载地址:https://github.com/threatexpress/metatwin

注:这个工具不会修改文件属性。

0x04 利用思路

1、在目标系统上释放文件

将会改变父目录的时间属性 ( AccessTime,LastWriteTime,MFTChangeTime ) 。

可以使用SetMace查看属性的变化。

修改文件夹的时间属性可使用 0x03 中的FileTimeControl_WinAPI,能够修改以下三项内容:

想要进一步清除操作痕迹,需要借助 WinHex 修改 Master File Table 中的 $STANDARD_INFORMATION ( 偏移 0x10 ) 和 $FILE_NAME ( 偏移 0x30 ) 。

2、覆盖目标系统上原有的文件

将会改变原有文件的时间属性 ( CreateTime,AccessTime,LastWriteTime,MFTChangeTime ) 。

可以使用 FileTimeControl_NTAPI 读取和修改时间属性。

0x05 取证建议

1、查看文件 / 文件夹的时间属性 MFTChangeTime,位于两个位置:

· Master File Table 中的 $STANDARD_INFORMATION ( 偏移 0x10 )

· Master File Table 中的 $FILE_NAME ( 偏移 0x30 )

如果 MFTChangeTime 存在异常 ( 时间晚于其他三个 ) ,一般情况下可认为该文件被非法修改。

可使用工具SetMace

 

Vdieoo
关注
[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现
杨秀璋的专栏
01-21 1万+
作者前面详细介绍了熊猫烧香病毒的逆向分析过程。这篇文章换个主题继续介绍,本文将对Chrome浏览器保留密码的功能进行渗透解析;同时复现一个最近流行的漏洞,通过Chrome浏览器实现Win10蓝屏;最后介绍音乐软件的加密功能及漏洞复现。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,开发厂商进行相关的漏洞修补,安全保障任重道远。
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
fat和ntfs文件时间转换为年月日的时间
铁匠的七寸宫
01-14 1571
客户突然说需要在项目上能显示完整的文件时间属性, 比如最后修改时间. NTFS的实现由于时间比较紧,就没有到网上找找看有没有已经实现的算法.如果谁知道有已经实现的算法的话请不吝告知啊.谢谢. fat的就比较简单,在dir entry中,找到相关字段,进行以为操作即可,然后加上1980年的偏移就ok.fno->fileinfo.year = (fno->fileinfo.fdate >>
NTFS文件及目录日期行为
aonian7053的博客
03-12 217
以下M=Date Modified, C=Date Created, A=Date Accessed, !=更改,-=不更改 目录项(文件/目录) 所属目录 M ...
文件系统 文件时间记录在哪里_学懂主流NTFS分区文件系统,你也可以成为MM眼中的大神!...
weixin_39834984的博客
11-18 330
主要NTFS文件系统小讲第一课,学会了你也可以使用WINHEX进行底层数据分析,误删,误格式化,分区出错等一些故障在数据恢复软件处理不了时,你也可以通过这些知识来提高恢复几率。由于篇幅有限不太可能一次讲解完毕,后续会不断更新,让我们一起来提高我们的数据恢复水平吧!NTFS文件系统结构分析NTFS文件系统的结构 当用户将硬盘的一个分区格式化为NTFS分区时,就建立了一个NTFS文件系统NTFS文件...
NTFS系统存储介质上文件操作痕迹分析
thanklife的专栏
10-26 2033
以下是从网上找到的原PDF格式的文档,学习了一下,很不错,特意拷贝下来与大家共享一下(因为不知如何粘贴附件:-(),特别对于NTFS系统有了整体的认识。 不知此论坛原来是否发过,如果发过,请版主删除此贴。 谢谢! NTFS系统存储介质上文件操作痕迹分析 黄步根 (江苏警官学院公安科技系,南京 210012) 摘 要:计算机用户通过文件系统存取数据
bat获取文件修改时间_windows时间规则实验1:修改文件
weixin_39647499的博客
11-24 2749
i'tong一直想搞清楚文档的时间属性,这几天看到sans海报中专门列出了windows 时间规则,对文档的各种时间属性分析的比较细致。https://cyberforensicator.com/2018/03/25/windows-10-time-rules/这篇文章进一步对win10的时间规则进行了实验,做了一些修正。见下图:下面我们就来跟着做下实验验证下结果,实验系统:win10...
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
USB2.0接口应用技巧:揭秘提升数据传输效率的5大绝招
本文全面概述USB2.0接口技术的核心原理和数据传输理论基础,深入分析影响其传输效率的各种因素,包括硬件条件与软件优化,并提出相应的技术标准和实践技巧以提升传输速度。此外,本文还探讨了USB2.0在多设备环境和...
国家信息安全水平考试NISP一级官方视频知识点整理
rhxznp的博客
08-03 1万+
文章目录一)信息安全概述(了解即可,考察较少)1.1 信息与信息安全1.1.1信息1.1.2 信息技术1.1.3 信息安全1.1.4 信息系统安全1.2 信息安全威胁1.3 信息安全发展阶段与形式1.4 信息安全保障1.4.1 信息安全保障含义1.4.2 信息安全保障模型1.5 信息系统安全保障1.5.1 信息系统1.5.2 信息安全保障的含义二)信息安全基础技术(重点)2.1 密码学![在这里插入图片描述](https://img-blog.csdnimg.cn/cc933e404bb34c549e0aa
windows修改文件创建时间、修改时间以及最后访问时间
liulangyude的博客
07-24 6528
windows修改文件创建时间、修改时间以及最后访问时间修改文件创建时间修改文件最后修改时间修改文件最后访问时间 修改文件创建时间 (ls ‘文件名’).CreationTimeUtc=‘时间(2020-01-25 06:00:10)’ 修改文件最后修改时间 (ls ‘文件名’).LastWriteTimeUtc=‘时间(2020-08-15 06:01:36)’ 修改文件最后访问时间 (ls ‘文件名’).LastAccessTimeUtc=‘时间(2020-01-20 11:32:04)’ ...
Windows与Linux取证分析
PICACHU+++的博客
07-18 4687
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
读书笔记4
weixin_53955759的博客
10-04 247
6.1数字时间取证 6.1.1 取证时间校正和同步 取证设备操作系统时间与标准时间同步 取证工具的时间设置与被取证系统的时间偏移量保持相对一致 6.1.2取证目标的时间检查 1系统时间是否准确 2市区和夏时制的影响 3用户是否从新设置过时间 4进程与应用程序写入的时间戳 5取证工具和人员的影响 6.1.3时间的更新规律 操作 创建时间 修改时间 访问时间 重命名或修改属性 不变 不变 不变 文件夹内文件变化 不变 更新 更.
NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
m0_59598029的博客
01-25 4780
本文详细介绍了NTFS文件系统的结构、Boot文件、Boot文件、Boot文件、MFT元文件文件记录、属性属性头和属性体分析接下来我将给各位同学划分一张学习计划表!
windows powershell 命令 修改文件/文件时间
Echo的博客
01-17 8654
使用powershell命令显示/修改文件文件夹的创建、最后修改、最后访问时间等几个属性
windows中修改文件创建时间、访问时间、修改时间
最新发布
qq_58361791的博客
08-09 7826
Windows的命令提示符(cmd)中,修改文件的创建日期和修改日期可以通过copy命令或者使用第三方工具如PowerShell来完成。直接使用cmd命令没有内置直接修改文件日期的功能,但可以通过复制文件的方式来间接实现。
WinHex数据恢复—NTFS系统基础知识
anquanfun的博客
01-03 1379
主要讲解NTFS文件系统基础知识,为数据恢复做准备。
MACE 使用笔记
u011279649的专栏
12-21 2130
环境安装 tensorflow 安装,一直不太想要mace的部分原因是不支持tensorflow2.模型。 Shell set -e 学习笔记: shell 中的 set -e , set +e 用法_滴水成川-优快云博客_linux set-eset-eset命令的-e参数,linux自带的说明如下:"Exitimmediatelyifasimplecommandexitswithanon-zerostatus."也就是说,在"set-e"之后出现的代码,一旦出现了返回...
Windows时间戳的计算
m0_59302403的博客
03-30 3046
掌握Windows中FileTime时间戳的手工解析方法,利用WinHex或X-Ways等十六进制编辑器进行手工取证,把Windows中$MFT文件里记载的十六进制时间转化为“年月日时分秒”的可读时间,加深对于时间戳的理解。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值