Статья Форензика альтернативного потока данных (Zone.Identifier) в NTFS

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.

Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4".

ZoneId=0: Local machine (PC local)
ZoneId=1: Local intranet (LAN)
ZoneId=2: Trusted sites (secure sites)
ZoneId=3: Internet (internet)
ZoneId=4: Restricted sites (Dangerous sites)
При загрузке файла браузеры присваивают идентификатор зоны ZoneId. Посмотрим интересующие нас файлы:

Код:
Win+R
cmd
//мой путь к интересующим файлам
// команда dir с ключем /R отображение альтернативных потоков данных этого файла
C:\Users\Toor\Downloads>dir /R
cmd_command.jpg
в ответ получим
cmd_command2.jpg

нас интересует - когда не хороший человек скачал методом создания pdf файла и откуда
Код:
C:\Users\Toor\Downloads>Notepad.exe [Шпаргалка] Разведка и аудит сервера. Codeby.net.pdf:Zone.Identifier
и результат:
cmd_command3.jpg
Вывод: мы получили искомое. Так же есть программы автоматизирующая данный процесс - AlternateStreamView и ещё NTFS Stream Explorer220
P:S
Есть ещё интересная статья (копировать её не вижу смысла)
На форуме статья - не обращайте внимание на название Подборка трюков для Windows NTFS [Часть 1] она то же про альтернативные потоки данных,
прям по следам статьи что я указал выше, но с уклоном hack.
СОФТ - Альтернативный поток данных (Zone.Identifier) в NTFS
 
Последнее редактирование:
5h3ll

5h3ll

Mod. Ethical Hacking
Red Team
23.01.2018
351
573
Краткость сестра таланта. Хорошая статья с меня лайк.
 
wittmann404

wittmann404

Active member
28.03.2016
37
8
Попробовал на 10, не работает. в блокноте пусто
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Попробовал на 10, не работает. в блокноте пусто
cmd запущен был с правами Администратора? И именно эти потоки есть только в ntfs, даже если копировалось с ntfs в ntfs то информация есть, её добавляют браузеры и некоторые программы. Для пробы скачайте книгу из нашей библиотеки и проверьте еще раз.
 
  • Нравится
Реакции: The Codeby
wittmann404

wittmann404

Active member
28.03.2016
37
8
Пробовал с книгой. Вводил D:\Загрузка>Notepad.exe Kali_Linux_Revealed_RU.pdf:Zone.Identifier. Блокнот пустой
 
Tayrus

Tayrus

Red Team
13.04.2017
362
739
Пробовал с книгой. Вводил D:\Загрузка>Notepad.exe Kali_Linux_Revealed_RU.pdf:Zone.Identifier. Блокнот пустой
У меня все работает, мои действия: Win + R -> cmd -> cd <path> -> dir /R -> Например Wireshark.exe:Zone.Identifier:$DATA -> notepad.exe Wireshark.exe:Zone.Identifier -> ZoneId=3 -> ZoneId=3: Internet (internet)
PS Если есть пробелы в вашем файле уберите их.
 
  • Нравится
Реакции: The Codeby и Sunnych
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Код:
C:\Downloads>Notepad.exe Kali_Linux_Revealed_RU.pdf:Zone.Identifier
cmd запустить от администратора и попробовать,
еще когда даешь команду в cmd (в том каталоге где интересующий файл)- dir /r то в ответ выводит информацию о файлах и там же информация метаданные /потока, и сразу визуально видно есть эти данные или нет
 
wittmann404

wittmann404

Active member
28.03.2016
37
8
Попробовал. С другим файлом получилось. С книгой нет. Но только нет информации откуда скачавался

Все понял. Там где стоит 0 данных нет. С видео все прекрасно получилось. Спасибо.
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Попробовал. С другим файлом получилось. С книгой нет. Но только нет информации откуда скачавался
есть разные метаданные/артефакты, и разные методы, собираюсь написать статью по ............................... что, чем и что с ней делают и как добывают в форензике - так что надеюсь я её все таки напишу, и может она Вам прольет свет на моменты которые Вам интересны ;-) И раз у Вас там нет данных значит программа которой Вы скачивали не добавляет их, или трафик был ну уж очень шифрован :)
 
  • Нравится
Реакции: 5h3ll
wittmann404

wittmann404

Active member
28.03.2016
37
8
Жду с нетерпением
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Жду с нетерпением
конечно это ещё не все, но как и обещал одну из вещей дописал (дополнил статью сладким в окончании) и показал тут Comparison of file recovery programs usb mass storage device (Windows) в самом низу статьи последняя программа и её скрин - внимательно посмотрите и этой программой пройдитесь по своим файлам, если что то в системе затирает Zone.Identifier то Вы это глазками уведите - удачи в изучении.
 
Мы в соцсетях: