Meterpreter反取证

      

      在上一课中,我们看到了Meterpreter中的一些重要且有用的系统命令,使用它们能在目标主机开展很多工作。Meterpreter还包含有另一个有趣的命令timestomp,该命令是用来修改文件的Modified-Accessed-Created-Entry(MACE)属性。该属性值表示文件中发生任何MACE活动的日期和时间。使用timestomp命令,我们可以修改这些值。

准备工作

      在正式开始课程之前,您可能会有这样的疑问:我们为什么要修改MACE的值?黑客一般使用这项技术修改文件的MACE值,让用户认为文件已经在系统中存在了很长时间,而且未被触碰或修改过。如果发生可疑活动,管理员会检查最近修改的文件,以查明是否有任何文件被修改或访问。因此,使用这项技术之后,最近修改的文件就不会出现在管理员的检查清单里。即使还有其他技术可以确定文件属性是否已被修改,但该技术仍然可以派上用场。

      我们从目标主机中找一个文件然后修改它的MACE值。以下截图显示了修改前的各种MACE值:

Meterpreter入门与精通(七)_Meterpreter

图1: 修改文件MACE值之前

      现在我们开始修改各种MACE值。首先,我们使用timestomp -h命令,查看所有可用选项。然后,我们使用-v选项列出MACE的属性值。如下图所示:

Meterpreter入门与精通(七)_Meterpreter_02

图2: 查看MACE属性值

操作步骤

      我们先来修改文件的创建时间。注意timestomp命令后跟的各种参数。如下图所示:

Meterpreter入门与精通(七)_Meterpreter_03

图3: 修改文件的创建时间

工作原理

      选项-c是用来修改文件的创建时间。相似的,我们可以使用-m和-a选项来修改文件的最后访问属性。如下图所示:Meterpreter入门与精通(七)_Meterpreter_04

图4: 修改文件的最后访问属性

      属性被修改之后,我们可以再次使用-v选项检查和验证命令是否成功执行。如下图所示:

Meterpreter入门与精通(七)_Meterpreter_05

图5: 检查属性修改结果

       我们已经成功修改了文件的MACE属性。现在,文件就不会出现在最近修改或最近访问的文件列表里了。或者,我们可以使用-z选项一次修改四个MACE属性值,这样我们就不需要逐个修改它们。但是,-z选项会将MACE的所有属性值设置为一样的,这在实际中是不合理的。一般文件的创建时间和访问时间不会是一样的,因此应该避免使用-z选项。