Home Videos Windows MACB Timestamps (NTFS Forensics)

Windows MACB Timestamps (NTFS Forensics)

por - TI Forense

Como continuação da série “Introdução ao Windows Forensics”, este vídeo apresenta o conceito de carimbos de data e hora MACB (modificação, acesso, alteração de registro da MFT, nascimento / criação) associados a arquivos em volumes NTFS. Primeiro, abordaremos os fundamentos dos carimbos de data e hora do MACB e as diferenças entre os atributos $ STANDARD_INFORMATION e $ FILE_NAME; em segundo lugar, veremos o comportamento normal do timestamp em um sistema Windows 10 ao criar, modificar, copiar e acessar arquivos; Em seguida, usaremos uma ferramenta anti-forense conhecida como “Timestomp” para modificar os carimbos de data e hora MACB (MACE) de um arquivo; Em seguida, usaremos uma ferramenta chamada analyzeMFT para encontrar evidências de timestomping. Por último, vamos dar uma olhada em algo interessante que descobri recentemente em relação a como esses timestamps funcionam ao usar o novo recurso Bash no Windows (Windows Subsystem for Linux).

Introdução a Forense em Windows:

MAC Times:
http://forensicswiki.org/wiki/MAC_times

I’m Your MAC(b) Daddy:
https://www.defcon.org/images/defcon-19/dc-19-presentations/Lenik/DEFCON-19-Lenik-MAC(b)Daddy.pdf

Timestomp:
http://forensicswiki.org/wiki/Timestomp

analyzeMFT:
https://github.com/dkovar/analyzeMFT

Digital Forensics: Detecting Time Stamp Manipulation:
https://digital-forensics.sans.org/blog/2010/11/02/digital-forensics-time-stamp-manipulation

Fonte: https://www.youtube.com/channel/UCy8ntxFEudOCRZYT1f7ya9Q

Artigos Similares

Deixe seu comentário