Digital Forensics: RDP Cache

Digital Forensics: RDP Cache

ในระบบ Windows จะมีเครื่องมือสำหรับรีโมตไปควบคุมเครื่องคอมพิวเตอร์เครื่องอื่นผ่านระบบเครือข่ายเรียกว่า  Remote Desktop ด้วยการเปิดรันคำสั่ง  mstsc.exe   บน  Microsoft Windows  เมื่อทำการรีโมตไปควบคุมคอมพิวเตอร์เครื่องอื่น  จะมีการสร้างประวัติไฟล์ที่เรียกว่า Bitmap cache เก็บไว้ในดิสก์ซึ่งจะมีรูปภาพหน้าจอของเครื่องคอมพิวเตอร์ที่ถูกควบคุมเก็บไว้ในรูปแบบไฟล์  *.bmc และ*.bin

 Bitmap cache ถูกเก็บไว้ที่

Where Bitmap cache are stored?

%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache

 Cache File

เราต้องใช้เครื่องมือbmc-tools สำหรับแตกไฟล์  Bitmap cache  ออกมาเป็นรูปภาพ

bmc-tools processes bcache*.bmc and cache*.bin files found inside Windows user profiles.
Dowload bmc-tools

-h  Help

-s SRC, --src SRC Specify the BMCache file or directory to process.

-d DEST, --dest DEST Specify the directory where to store the extracted bitmaps.

-d Output

./bmc-tools.py [-h] -s SRC -d DEST

RDP Bitmap Cache parser.

 Output of Parsed cached file

จากการทดสอบ ร่อยรอยที่พบ เช่น เคยเข้าถึงเครื่องคอมพิวเตอร์เครื่องใดบ้าง  , วันเวลาที่เข้าใช้งาน , เคยเข้าไฟล์และโฟลเดอร์ เป็นต้น

User  access event log

Time and Date

Access to  windows server 2008R2

OS version

user access file and folder permissions settings 

 ที่มา:

BMC-Tools
cbtgeeks


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud