Статья RDP Cache Forensics на стороне клиента

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея.
При использовании клиента mstsc.exe в Windows кеш хранится в профиле пользователя.
Кэш состоит из сжатых данных растрового изображения, которые необходимо извлечь, прежде чем сможете их просмотреть.
Целью кэша, как Вы можете себе представить, является повышение производительности за счет сохранения разделов экрана, которые редко меняются.
Есть два типа файла кеша:
  • *.bmc
  • Cachennnn.bin (где nnnn - это 4-значное число)
Оба типа файлов можно найти в следующей папке
c:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\

Статья кэш RDP-1.jpg

Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя.
Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину цвета 32 бит.
Несмотря на то, что кешированные фрагменты довольно малы, узнаваемый контент обычно будет отображаться, включая изображения, имена файлов и папок, значки и обои для рабочего стола.
Мы с Вами разберем данные файлы с помощью Python скрипта
Я уже скопировал скрипт в папку с файлами кэша и создал папку OUT в которую будет выгружаться результат
Код:
#cmd с правами Администратора
C:\Users\toor\AppData\Local\Microsoft\Terminal Server Client\Cache>bmc-tools.py -s ./ -d ./OUT
Статья кэш RDP-2.jpg

и вот наш результат составил 3072 файла
Статья кэш RDP-3.jpg

BONUS:​
This tool allows one to recover old RDP (mstsc) session information in the form of broken PNG files. These PNG files allows Red Team member to extract juicy information such as LAPS passwords or any sensitive information on the screen. Blue Team member can reconstruct PNG files to see what an attacker did on a compromised host. It is extremely useful for a forensics team to extract timestamps after an attack on a host to collect evidences and perform further analysis.

P:S​
Лучше один раз попробовать лично (для понимания что же еще может быть внутри), иногда бывает и от таких пазлов польза.
Для монстра EnCase используется этот же скрипт (но сами понимаете что эта программа дорога и хорошо когда она есть в арсенале - не всегда нужно покупать если это githab).
 
Последнее редактирование:
Rybinez

Rybinez

Member
28.11.2016
10
4
Мы с Вами разберем данные файлы с помощью Python скрипта
Я уже скопировал скрипт в папку с файлами кэша и создал папку OUT в которую будет выгружаться результат
из-под линукса LiveCD запустится?
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
В linux LiveCD запустится?
Да запустится, это Python скрипт. В дополнение есть еще один инструмент не успел его описать:
This tool allows one to recover old RDP (mstsc) session information in the form of broken PNG files. These PNG files allows Red Team member to extract juicy information such as LAPS passwords or any sensitive information on the screen. Blue Team member can reconstruct PNG files to see what an attacker did on a compromised host. It is extremely useful for a forensics team to extract timestamps after an attack on a host to collect evidences and perform further analysis.
 
Последнее редактирование:
  • Нравится
Реакции: Rybinez
Мы в соцсетях: