Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея.
Есть два типа файла кеша:
Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя. Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину цвета 32 бит. Несмотря на то, что кешированные фрагменты довольно малы, узнаваемый контент обычно будет отображаться, включая изображения, имена файлов и папок, значки и обои для рабочего стола.
Мы с Вами разберем данные файлы с помощью Python скрипта bmc-tools.py
Я уже скопировал скрипт в папку с файлами кэша и создал папку OUT в которую будет выгружаться результат
и вот наш результат составил 3072 файла
Бонус
This tool allows one to recover old RDP (mstsc) session information in the form of broken PNG files. These PNG files allows Red Team member to extract juicy information such as LAPS passwords or any sensitive information on the screen. Blue Team member can reconstruct PNG files to see what an attacker did on a compromised host. It is extremely useful for a forensics team to extract timestamps after an attack on a host to collect evidences and perform further analysis.
https://github.com/Viralmaniar/Remote-Desktop-Caching-.git
Для монстра EnCase используется этот же скрипт (но сами понимаете что эта программа дорога и хорошо когда она есть в арсенале - не всегда нужно покупать если это githab).
При использовании клиента mstsc.exe в Windows кеш хранится в профиле пользователя.
Кэш состоит из сжатых данных растрового изображения, которые необходимо извлечь, прежде чем сможете их просмотреть.
Целью кэша, как Вы можете себе представить, является повышение производительности за счет сохранения разделов экрана, которые редко меняются.
Кэш состоит из сжатых данных растрового изображения, которые необходимо извлечь, прежде чем сможете их просмотреть.
Целью кэша, как Вы можете себе представить, является повышение производительности за счет сохранения разделов экрана, которые редко меняются.
- *.bmc
- Cachennnn.bin (где nnnn - это 4-значное число)
Код:
c:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя. Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину цвета 32 бит. Несмотря на то, что кешированные фрагменты довольно малы, узнаваемый контент обычно будет отображаться, включая изображения, имена файлов и папок, значки и обои для рабочего стола.
Мы с Вами разберем данные файлы с помощью Python скрипта bmc-tools.py
Я уже скопировал скрипт в папку с файлами кэша и создал папку OUT в которую будет выгружаться результат
Код:
#cmd с правами Администратора
C:\Users\toor\AppData\Local\Microsoft\Terminal Server Client\Cache>bmc-tools.py -s ./ -d ./OUTи вот наш результат составил 3072 файла
Бонус
https://github.com/Viralmaniar/Remote-Desktop-Caching-.git
Постскриптум
Лучше один раз попробовать лично (для понимания что же еще может быть внутри), иногда бывает и от таких пазлов польза.
Для монстра EnCase используется этот же скрипт (но сами понимаете что эта программа дорога и хорошо когда она есть в арсенале - не всегда нужно покупать если это githab).
