Используем TimeStomp

Взаимодействие с большинством файловых систем подобно хождению по снегу… вы оставляете следы. Насколько подробную информацию эти следы оставят, что из них можно узнать, а так же как долго они останутся, зависит от различных обстоятельств. Искусства анализа этих артефактов цифровой судебно-медицинской экспертизы. Различные причины при проведении тестов на проникновение, могут затруднить судебному аналитику определить действия которые вы предприняли.

 

Лучший способ избежать обнаружения следов судебным экспертом, прост. НЕ ПРИКАСАТЬСЯ К ФАЙЛОВОЙ СИСТЕМЕ!!! Это одна из замечательных вещей в meterpreter, он загружается в память, ничего не записывая на диск, что значительно снижает количество следов которые мы оставляем в системе. Однако, во многих случаях вам может быть необходимо взаимодействие с файловой системой, каким-нибудь образом. В этом случае, отличным инструментом будет timestomp.

 

Давайте посмотрим файл в системе и MAC (Modified, Accessed, Changed) время файла.

Смотрим время файла с MAC
Dante

 

Теперь мы начнем использовать систему и загрузим сессию meterpreter. После этого мы загрузим модуль timestomp и рассмотрим файл в запросе.

Используем timestomp модуль
Dante

  Читать далее Используем TimeStomp