TZWORKS LLC GENA 2022 V0.5.4 WINALL

TZWORKS.LLC.GENA.2022.V0.5.4.WINALL-TEL

 

TZWORKS LLC | 2022 | EXE | RAR | 7,00 MB | WINDOWS

Graphical Engine for NTFS Analysis (gena). Ein Punkt, den wir immer wieder hören, ist der Wunsch, eine grafische Benutzeroberfläche (GUI) für einige der TZWorks-Befehlszeilenwerkzeuge bereitzustellen. Obwohl wir intern Befehlszeilenwerkzeuge für die automatisierte Verarbeitung bevorzugen,

haben wir eine Handvoll GUI-basierter Werkzeuge, die wir nur für den internen Gebrauch entwickeln, hauptsächlich für die Umkehrung und Analyse neuer Artefakte. Also haben wir uns entschlossen, eines unserer internen Tools zu nehmen, einige der obskuren Optionen herauszunehmen und die Backend-Verarbeitung mit ntfswalk und einigen anderen Tools zu verschmelzen, um so gena zu entwickeln.

Der Name gena ist die Abkürzung für Graphical Engine for NTFS Analysis. Auf dem Weg dorthin haben wir auch ntfswalk erheblich erweitert, damit gena als flexibles Werkzeug zur Datenextraktion verwendet werden kann. (Hinweis: gena funktioniert nur mit ntfswalk Version 0.45 oder höher). Wir haben auch einige Funktionen von ntfscopy, ntfsdir und wisp in gena integriert. Obwohl sich dieses Thema also mit gena beschäftigt, gibt es immer wieder Verweise auf einige dieser anderen Werkzeuge.

Ähnlich wie die anderen erwähnten TZWorks-Werkzeuge ist gena für die Arbeit mit aktiven (gemounteten) NTFS-Volumes ausgelegt. Es gibt auch Funktionen zum Durchlaufen von NTFS-Images, die (a) mit dem dd-Dienstprogramm erstellt wurden oder (b) aus einem monolithischen Volume bestehen, das aus VMWare VMDK-Dateien besteht. Unabhängig davon, ob gena für die Live-Sammlung von Vorfällen oder für die Offline-Verarbeitung eines Images verwendet wird, gibt es Optionen zum Filtern nach: (a) Dateierweiterungen, (b) einen Zeitstempelbereich, (c) verschiedene binäre Signaturen, (d) partielle Dateinamen und (e) Verzeichnisinhalte. Für gefundene Zieldateien können die zusammenfassenden Metadaten aufgelistet, die Header-Bytes der Dateidaten extrahiert oder der gesamte Dateiinhalt in ein bestimmtes Verzeichnis extrahiert werden. Da das GUI-Frontend und die Backend-Parsing-Engine beide Windows-API-agnostisch sind, gibt es kompilierte Versionen für Windows, Linux und Mac OS X.

Aufbau von gena

Die GUI von gena ist in zwei Hauptfenster unterteilt. Das erste Fenster befindet sich auf der linken Seite und ist eine Art Windows-Explorer-Ansicht des zu analysierenden Volumens. Das rechte Fenster besteht aus einer Reihe von Registerkarten, die unterschiedliche Funktionen widerspiegeln. Die Anzahl der Registerkarten hängt von dem MFT-Datensatz (oder Inode) ab, der in der linken Baumansicht ausgewählt ist. Dies ist der Bereich, in dem man das Werkzeug ntfswalk aufrufen oder die Details eines MFT-Datensatzes betrachten kann. Die erste und Standard-Registerkarte ist für den ntfswalk-Dialog. Hier werden verschiedene Optionen angezeigt, die nur für ntfswalk gelten.

Wenn Sie ein Volume zur Analyse laden, werden automatisch eine Reihe weiterer Registerkarten sichtbar. Dazu gehören: eine Registerkarte für MFT-Datensatz-Metadaten (Zeitstempel, Clusterläufe usw.), eine Registerkarte für den Hexadezimal-Dump des zu analysierenden Dateidatensatzes und eine separate Registerkarte für jedes NTFS-Attribut, das Daten enthält. Der hier definierte Begriff Daten kann Folgendes umfassen: (a) der unbenannte Datenstrom, (b) alle alternativen benannten Datenströme, (c) die INDX-Daten des Verzeichnisses, (d) die Daten eines protokollierten Stroms und (e) verschiedene andere. Der Einfachheit halber kann jeder einzelne Datensatz über eine eigene Registerkarte ausgewählt werden.

gena kann vier Arten von Quelldaten analysieren. Dazu gehören: (a) NTFS-Laufwerk/Volume, das als 'dd'-Abbild gespeichert ist, (b) NTFS-gemountetes Laufwerk/Volume, (c) eine exportierte $MFT-Datei oder (d) ein VMWare-Volume. Um ein Image oder ein gemountetes Volume zu analysieren, verwenden Sie das Menü "Datei", um die gewünschte Datenquelle auszuwählen.

Format-Optionen

Es gibt einige Datenformatoptionen, die in die folgenden Kategorien unterteilt sind: (a) Endgültige Ausgabe, (b) Datumsformat, und (c) Zeitauflösung.

Die erste Kategorie, endgültige Ausgabe, gibt gena vor, wie die von ntfswalk erzeugte Ergebnisdatei formatiert werden soll. Dies kann entweder sein: (a) Standardausgabe, (b) CSV-Format, (c) Log2Timeline-Format, (d) BodyFile-Format oder (e) eine Hashdatei. Letzteres ist neu in den ntfswalk-Funktionen und wurde aufgrund von Benutzereingaben hinzugefügt.

Die zweite Kategorie ist das Datumsformat. Das Datumsformat kann entsprechend der gewünschten Konvention ausgewählt werden. Es werden drei gängige Formate angeboten: mm/dd/yyyy, dd/mm/yyyy oder yyyy/mm/dd. Die Standardeinstellung ist die USA-Konvention: mm/dd/yyyy.

Die dritte Kategorie ist das Zeitformat und bietet drei Auflösungsoptionen: (a) Sekunden, (b) Millisekunden und (c) Mikrosekunden. Die Standardeinstellung ist Millisekunden.

Slack-Verzeichniseinträge ansehen

Wenn Sie ein beliebiges Verzeichnis in der Baumansicht auswählen, wird eine Wisp-Registerkarte (Windows INDX Slack Parser) angezeigt. Da gena das INDX-Attribut auswerten kann, um die Kinder eines Verzeichnisses zu finden, haben wir eine Lite-Version der TZWorks-Wisp-Engine integriert. Damit kann gena nicht nur normale Unterverzeichnisse analysieren, sondern auch Slack-Einträge (oder gelöschte Unterverzeichnisse). Dies ist sehr nützlich, um gelöschte Dateien zu identifizieren, nachdem sie vom NTFS-Volume gelöscht wurden, da das Datei-Artefakt noch im INDX-Attribut des übergeordneten Verzeichnisses enthalten sein könnte.

Jeder Eintrag enthält einen Namen, die Dateigröße und eine Reihe von Zeitstempeln. Zur zusätzlichen Überprüfung haben wir für jeden Eintrag die Möglichkeit geschaffen, die Quelldaten (oder den Hex-Dump der geparsten Daten) mit dem tatsächlichen Offset der Daten im INDX-Clusterlauf anzuzeigen.

Betrachtung der verschiedenen Rohdaten in einem MFT-Eintrag

gena ist sehr nützlich für die Anzeige von Dateidaten. Es zeigt nicht nur die normalen Daten (unbenannter Datenstrom) und den alternativen (benannten) Datenstrom an, sondern auch die Bitmap-Daten, die Logged Stream-Daten und verschiedene Arten von INDX-Daten. Ein gutes Beispiel ist der Eintrag $Secure MFT (Inode #9). Er hat eine Reihe von Attributen, die Daten enthalten. Ohne zu sehr ins Detail zu gehen, enthält er: (a) einen $SDS-Alternativdatenstrom, (b) $SII-Index-Root- und Zuordnungsattribute, (c) $SII-Bitmap-Attribut, (d) $SDH-Index-Root- und Zuordnungsattribute und (d) ein $SDH-Bitmap-Attribut.

Auch wenn einige der Attribute nur wenige Daten enthalten oder die Daten als residente Daten im Dateisatz selbst enthalten sind, zeigt gena für jede Datenkategorie eine eigene Registerkarte an.

Innerhalb jeder dieser Datenregisterkarten gibt es Optionen, um zu einem bestimmten Offset zu gehen, eine Zeichenfolge oder ein Muster zu finden oder die Daten in eine separate Datei zu exportieren, um sie mit einem anderen forensischen Tool zu analysieren. In einigen Fällen kann es nützlich sein, die Daten als ASCII oder Unicode statt als Hexadezimalwert darzustellen.

Erzeugen von Hash-Sets für bestimmte Dateitypen

Es gibt eine Reihe hervorragender Tools im Internet, die Hashing durchführen und Hash-Sets erstellen. Obwohl ntfswalk ursprünglich nicht für die Erzeugung von Hash-Sets entwickelt wurde, kann es jede beliebige Zieldatei hashen. Der Hauptunterschied zwischen dem Ansatz von ntfswalk und dem eines normalen Hash-Tools besteht darin, dass ntfswalk auf den Dateiinhalt auf Clusterebene zugreift, während viele andere Hash-Tools dies nicht tun. Dies wird umso wichtiger, wenn man bedenkt, wie alt die Schadsoftware ist und ob die tatsächlichen Dateiinhalte, die wir betrachten, durch Schadsoftware maskiert wurden.

Bei der Verwendung von gena als Frontend kann man zum Beispiel alle Dateien mit einer Signatur auswählen, die in ausführbaren Dateien, Gerätetreibern oder Bibliotheken verwendet werden, und unter "Endgültige Ausgabe" den Menüpunkt "Hashdatei" wählen.

Nach dem Start von ntfswalk enthält die Ergebnisdatei eine Liste der ausführbaren Dateien mit ihren berechneten Hashes. Sowohl die MD5- als auch die SHA1-Hashes werden für jede verarbeitete Datei berechnet.

BETRIEBSSYSTEM:

WINDOWS

.TEL\VERLASSEN

Die Veröffentlichung ist lediglich zu Bildungszwecken gedacht.
Sie beruht auf dem Recht der Informationsfreiheit.

The publication is intended for educational purposes only.
It is based on the right of freedom of information.