当您查看大量干净文件的存储库时,总有机会找到有趣的东西。例如,可以在合法软件安装包中找到的取证工件的前体列表。安装前和安装后。
为什么这些可能会派上用场?
好吧,虽然这永远不会是一个 100% 可靠的解决方案,但这些可能有助于至少自动化一些数字取证分类 processdx。我的意思是 f.ex。通过文件名或其集群(与哈希相反)排除。
Filelighting idea 专注于查找驻留在已安装程序文件夹中的文件引用的文件名。我们也可以将其扩展为预安装目录——无论是临时创建的文件夹、手动解压的驱动程序还是软件包安装文件夹等。虽然其中一些不再那么重要——毕竟发生了越来越多的更新和安装在后台,通常没有用户的知识,通过应用商店等,坦率地说,现在人们可能比 10 年前直接下载的软件越来越少,嗯……它仍然经常发生,如果我们能帮助一些自动化......为什么不呢?
关于软件包的最有趣的信息来源之一是老式的 .inf 文件。另一个是好的 ol' NSRL 数据库。是的,后者主要关注post-install,但我们应该使用任何可用的东西。
.inf 文件引用了要安装的所有内容,通常在许多配置中,它们提供了创建/修改的文件、目录的列表,还有——注册表项、服务名称——你可以命名。这是一个“好的”Windows 软件外观信息的金矿。NSRL 数据库有点相似,是所有东西的超集,但它显然也仅限于转储中可用的数据。
我们来看一下。
.inf 文件的顶部通常包含 [Version] 部分。您可以在其他地方找到 .inf 文件的描述,在这里,我们只关注统计信息。我必须在这里指出,解析 .inf 文件并不像看起来那么容易,因为它们严重依赖自引用,多个 .inf 文件可以合并在一起,并且还有一种字符串替换(令牌)机制在起作用。有很多怪癖需要处理。
本节中出现次数最多的字段如下:
梳理 .inf 文件,例如... CatalogFile字段可以为我们提供所有合法 .cat 文件的列表(有一个明显的警告,该列表与我们的“好文件”存储库一样好)。不过,这对于基于文件名的排除可能会派上用场。当然,那里有一把双刃剑——如果你是一个坏人,知道合法软件包中有哪些好的文件名将很好地服务于你的邪恶目的,因为你肯定会为你的有效负载选择一个文件名从列表中...... 那好吧…
NSRL 数据库是众所周知的,所以不需要任何介绍。该集合的有趣之处在于一个经常被遗忘的ProductCode字段。这是文件/哈希/元组来自何处的指示符。如果您按ProductCode对集合进行聚类,您最终可能会得到属于特定产品的文件名聚类。例如,如果我们看一下产品代码196184,我们会得到这个结果。附带说明一下,一些文件名似乎是可执行文件的部分名称,因此 NSRL 人员使用的向下钻取似乎非常深入。
所以……你有它……解析你的好 .inf 文件,通过从 NSRL 集中提取的文件名集群来丰富它,你可以生成一个很好的基于集群的排除列表!快乐的文件照明!
奖金:
好吧,并非一切都是美好的。这是我在本练习中收集的 .cat 文件名列表。其中很多。我认为它们只能在软件安装包(提示:带有 .inf 文件的那个)或NSRL 中的ProductCode的上下文中才有意义。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。