• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья RDP Cache Forensics на стороне клиента

Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея.
При использовании клиента mstsc.exe в Windows кеш хранится в профиле пользователя.

Кэш состоит из сжатых данных растрового изображения, которые необходимо извлечь, прежде чем сможете их просмотреть.
Целью кэша, как Вы можете себе представить, является повышение производительности за счет сохранения разделов экрана, которые редко меняются.
Есть два типа файла кеша:
  • *.bmc
  • Cachennnn.bin (где nnnn - это 4-значное число)
Оба типа файлов можно найти в следующей папке
Код:
c:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\
Статья кэш RDP-1.jpg


Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя. Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину цвета 32 бит. Несмотря на то, что кешированные фрагменты довольно малы, узнаваемый контент обычно будет отображаться, включая изображения, имена файлов и папок, значки и обои для рабочего стола.
Мы с Вами разберем данные файлы с помощью Python скрипта bmc-tools.py

Я уже скопировал скрипт в папку с файлами кэша и создал папку OUT в которую будет выгружаться результат
Код:
#cmd с правами Администратора
C:\Users\toor\AppData\Local\Microsoft\Terminal Server Client\Cache>bmc-tools.py -s ./ -d ./OUT
Статья кэш RDP-2.jpg


и вот наш результат составил 3072 файла
Статья кэш RDP-3.jpg


Бонус
This tool allows one to recover old RDP (mstsc) session information in the form of broken PNG files. These PNG files allows Red Team member to extract juicy information such as LAPS passwords or any sensitive information on the screen. Blue Team member can reconstruct PNG files to see what an attacker did on a compromised host. It is extremely useful for a forensics team to extract timestamps after an attack on a host to collect evidences and perform further analysis.

https://github.com/Viralmaniar/Remote-Desktop-Caching-.git

Постскриптум
Лучше один раз попробовать лично (для понимания что же еще может быть внутри), иногда бывает и от таких пазлов польза.
Для монстра EnCase используется этот же скрипт (но сами понимаете что эта программа дорога и хорошо когда она есть в арсенале - не всегда нужно покупать если это githab).
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
25
В linux LiveCD запустится?
Да запустится, это Python скрипт. В дополнение есть еще один инструмент не успел его описать:
This tool allows one to recover old RDP (mstsc) session information in the form of broken PNG files. These PNG files allows Red Team member to extract juicy information such as LAPS passwords or any sensitive information on the screen. Blue Team member can reconstruct PNG files to see what an attacker did on a compromised host. It is extremely useful for a forensics team to extract timestamps after an attack on a host to collect evidences and perform further analysis.
https://github.com/Viralmaniar/Remote-Desktop-Caching-.git
 
Последнее редактирование:
  • Нравится
Реакции: Rybinez

Fox Molder

New member
09.04.2019
2
0
BIT
0
Доброго времени! Можно ли предполагать, что по данному пути (c:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\):
  • Файл кэша отсутствует, значит удалённой сессии не было???
  • Файл кэша нулевой, был только доступ к файловой системе???
  • При каких обстоятельствах файл кэша может быть нулевым???
Заранее спасибо за размышления.
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
25
Доброго времени! Можно ли предполагать, что по данному пути (c:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\):
  • Файл кэша отсутствует, значит удалённой сессии не было???
  • Файл кэша нулевой, был только доступ к файловой системе???
  • При каких обстоятельствах файл кэша может быть нулевым???
Заранее спасибо за размышления.
Вот тут прочитайте (сверьте данные логов), если что логи "*.evtx " восстанавливает Magnet Forensics (Axiom).
 
Последнее редактирование:

TwiSteR

One Level
03.06.2020
2
2
BIT
0
вот этой штукой карвил удаленные
потом результат (там месиво в т.ч. фрагменты) - затуливал в Splunk и там уже фильтры, фильтры, фильтры...

Мы с Вами разберем данные файлы с помощью Python скрипта bmc-tools.py
для представления "пазлов" кэша есть готовая прожка "bitmapcacheviewer"
 
  • Нравится
Реакции: Sunnych
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!