探究Windows活动时刻表,防DDoS第3部分:剪贴板内容的价值-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 探究Windows活动时刻表,防DDoS第3部分:剪贴板内容的价值

探究Windows活动时刻表,防DDoS第3部分:剪贴板内容的价值

小墨安全管家 2020-11-22 16:43 行业资讯 89 ℃
DDoS防御
在本系列对于Windows活动时刻轴的第1部分和第2部分中(从那个地点开始,我们讨论了Cellebrite BlackLight和Cellebrite MacQuisition怎么关心调查人员分别在Android或Mac设备上找到有价值的证据。我们还深入研究了源数据库,活动缓存.db,它存储了大量对于每个用户在系统上执行的操作的数据(例如,web扫瞄和文档访咨询)。此外,那个证据能够在多台Windows机器上同步,用户能够使用同一具MS帐户登录。 假如Office365与MS登录帐户附加到同一帐户,则Timeline还能够存储在非Windows计算机上发生的活动的证据。在本博客中,我们将研究一种用户活动类型,您在检查那个特定的工件时大概不大概想到它—剪贴板内容。在开始之前,我们应该注意一件事:时刻轴分析是一具快速挪移的目标。几乎每一具Windows版本都会改变数据库本身以及系统的行为。即使没有不断的变化,我们对时刻线的大部分内容知之甚少。那个地点需要更多的工作来验证以及找出未知部分。思量到这一点,这篇文章对我用来计算时刻轴和剪贴板是怎么连接的过程有了更多的细节。希翼这些信息能关心其他好奇的人举行他们自个儿的测试,并为我们所知的东西增添新的内容。咨询题陈述特别久往常在活动缓存.db在我使用的一具测试vm上,我看到Activities表中有一具列,名为"Clipboard Payload",其中包含数据。我往常见过那个专栏,CC防御,但我往常没见过它的人口。它看起来像下面的图1。特别快,我的鉴证蜘蛛侠般的感受告诉我这应该特别有味,CC防御,于是我就开始了。图1我把虚拟机加载到Cellebrite BlackLight中做更多的观看。剪贴板有效负载列显示了一些明显的base64编码数据。解码后的字符串是"AMD支持的区块链项目积存了2万GPU,但不讲缘由。"显然,我正在阅读加密货币,并复制了文章标题。然而这些数据是怎么到达那儿的呢?它能坚持多久?有没有存放在其他地点?是不是惟独文本能够存储?有特别多咨询题需要回答,于是我决定做一些测试。想法论我对一些答案大概是啥有了一具概念,而且有一些在线资源[1]有特别好的信息,但正如我之前所讲的,时刻轴变化特别快。为了回答这些咨询题中的一些咨询题,我最近开辟了一具新的windows10204vm,并复制并粘贴了一些文本。接着我查看时刻轴数据库,没有填充的剪贴板有效负载数据。于是,这没啥非常的关心。一些简短的谷歌搜索提醒我,Windows10版本1809添加了一些新的剪贴板功能:"剪贴板历史记录"和"剪贴板云同步"[2-8]。我假设假如挑选了正确的配置选项(我们将在下面看到它们),Windows将保留一具用户使用"CTRL-C"复制的文本和图像的有限历史记录,接着能够使用WinKey-V组合键来访咨询它们。依照设置的不同,DDoS防御,某些类型的复制数据甚至能够跨机器同步。接着,我在我的2004虚拟机中尝试了剪贴板历史键组合WinKey-V,得到了一具可怜的消息:图2我想我需要修改一些设置。在更多的谷歌搜索之后,我在"设置"→"系统"→"剪贴板"中打开了"剪贴板历史记录":图3接着我从我的网络扫瞄器中复制了一些文本,再次尝试WinKey-V,结果发觉:图4但当我再次查看时刻轴数据库时,仍然没有人品。没有填充的剪贴板负载数据。幸运的是有更多的设置能够切换。接下来,我启用了"跨设备同步"设置以启用"剪贴板云同步"图5如今,防DDoS,我以为这大概更有大概奏效,于是在新的2004虚拟机上,我做了以下工作(参见下面的图6):使用我的测试MS帐户登录打开的记事本插入了一具时刻戳以便于度量写了一些文字选定文本右键单击并复制文本图6接着我打开另一台机器,这台是一台Windows 10 1809测试虚拟机,并执行了以下操作:使用与2004虚拟机相同的MS帐户登录确保它有相同的剪贴板设置打开的记事本插入时刻戳右键单击并选定粘贴注意:注意不要在此虚拟机中复制/粘贴任何其他内容。还有维奥拉!我在2004年的机器上复制的文本粘贴在1809机器上(参见下面的图7)。图7这一次,当我快速查看2004年机器上的Timeline数据库时,我看到一些剪贴板负载数据被填充。如今我有了一些进步。接着,我决定认真看看2004年和1809年机器的时刻轴数据库,并使用我们在往常的文章中看到的和我们如今所懂的,看看这一切在时刻轴中是怎么工作的。为了测试这一点,我做了以下操作:打开了Cellebrite BlackLight并创建了一具新的案例将每个虚拟机的vmdk添加到案例中确保挑选了"可操作的英特尔"处理(默以为)查看了可操作的Intel→Program Execution→Activities Cache部分。回过头来看看上面图6和图7中的记事本文件中的时刻戳,我注意到我的复制/粘贴开始时刻大约是2020年6月30日下午6:50左右。接着我按开始时刻排序,即将注意到在下面的图8中有很多重复的"Guid Id"条目(例如,"AF42"…在第1行和第3行中,以及"F2FE"…在第2行和第4行中是相同的)。我们从往常的帖子中懂,这些应该是活动的唯一标识符。我们之前的帖子还告诉我们,我们在那个地点看到了重复的内容,因为自从我在两台机器上使用相同的MS帐户以来,活动基本在两台机器上同步了。图8重复的数据有时是实用的,但有时它会使情况变得更艰难。这一次也许是后者。所以,首先,我只在"组件列表"的"证据"部分挑选Win10 2004机器,查看2004机器的活动缓存。这消除了重复条目,如下面的图9所示。图9按开始时刻排序后,我们能够看到(下图10)6-7个条目,这些条目大概与我举行复制和粘贴时的时刻范围相关。"appid"列告诉我们,除了一具条目外,所有条目都与记事本有关。(旁注:我还使用了Cellebrite BlackLight的视图过滤器来删除其他一些无关的活动。)图10向右滚动(参见下面的图11),我们能够看到这些活动是依照列出的两个不同的平台设备ID在两台不同的机器上发起的。使用我们前一篇文章中概述的技术,您大概记得我们能够确定yugS…条目起源于1809机器,mWKk…条目起源于2004机器。接着,我只关注1809机器上的条目,正如我们在下面的图11中看到的那么,有一具活动类型5用于打开记事本,活动类型6用于使用该应用程序。(活动类型5和6的顺序也许相反,但在检查开始时刻时,它们基本上在同一秒开始的,所以它们以任意顺序列出。)我们能够在"应用程序活动Id列:morecopypasta.txt这是我们粘贴在上面图7中的文本的地点。图11假如我们如今关注的是源于2004年机器的条目,我们能够在上面的图11中看到四条相关的行。其中两个是activitype6,表示用户正在使用记事本应用程序。我们能够在应用程序活动Id字段中看到记事本用于访咨询的文件:粘贴.txt.txt。这是我从上面的图6中复制文本的文件。还有一具活动类型16,它告诉我们记事本用于复制或粘贴操作。我们能够看到活动类型10,它告诉我们发生了剪贴板活动。假如我们进一步查看下面图12中的活动类型16(复制/粘贴),组ID告诉我们该操作是一具复制操作。从base64解码时,剪贴板有效载荷为:6: 2004年6月30日下午52:00副本让我们复制/粘贴到云端这与我在上面复制的文本相匹配,如图6所示。图12需要注意的是,Activity Type 10并不是经过App Id、App Activity Id或任何其他字段直截了当绑定到Notepad。我们只能判断剪贴板负载中复制或粘贴的文本本身是从记事本复制/粘贴到记事本的。尽管大多数数据在机器之间同步,但并非所有的数据都能同步。让我们看看下面图13中1809机器的Timeline db中的同一时刻帧。图13它看起来很类似于2004db,然而当我们略微滚动一点(参见下面的图14),我们会发觉缺少一具条目。图141809时刻轴数据库中没有显示活动类型16。我们大概希翼看到组Id为"粘贴"的活动类型16与组Id为"复制"的其他活动类型16相匹配。我真的看到了,而且时刻轴的版本大概不同。但如今它不在那儿。还记得我们讲这是一具快速挪移的目标吗?如今我们基本对时刻轴数据库中的所有这些咨询题有了一些了解,让我们回到上面的咨询题部分中的原始咨询题集。结果在回忆了上述内容(并举行了一些特意针对回答我们的咨询题的额外现场测试)后,我们得出以下结论:剪贴板有效载荷数据是怎么到达那儿的?在上面的实验中,我们复制了2004年机器上的数据,并将其粘贴到1809机器上。这导致剪贴板有效负载被复制文本的base64编码版本填充。但进一步的测试发觉,填充数据所需的不过复制文本。无需粘贴。如何


DDoS防御

当前位置:主页 > 行业资讯 > 探究Windows活动时刻表,防DDoS第3部分:剪贴板内容的价值

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119