AF-1DFB-D2 · Disk
Slack ve ADS
NTFS Alternate Data Stream + file slack'e gizlenmiş veri, basit wipe ve yanıltıcı bir tuzak dosya.
Senaryo
Şüpheli, veriyi gözden uzak tutmak için NTFS ADS ve dosya slack alanını kullandı. Gizli yükü çıkar, ADS'i tespit et, silinen dosyanın varlığını $MFT'den kanıtla. Yanıltıcı isimli bir tuzak dosya var.
Anti-forensics teknikleri
- Alternate Data Streams (ADS)
- File slack gizleme
- Basit dosya wipe
Sağlanan artefaktlar
- NTFS disk imajı (E01)
Örnek sorular
- ADS içinde gizlenen verinin içeriği nedir?
- Slack alanındaki yükü çıkar ve hash'ini ver.
- Silinen dosyanın orijinal adı ve boyutu ($MFT)?
Soundness tuzağı
Tuzak dosyayı 'asıl kanıt' diye raporlamak yanlıştır; içeriği ilgisizdir.
Puanlama
Veri gizleme bulguları + tuzak ayrımı (soundness).
Artefakt yakında. Bu vakanın indirilebilir artefaktı enstrümante-VM hattımızla üretiliyor ve F0 pilotuyla yayınlanıyor.