Tuesday, July 17, 2018

Digital Forensics: RDP Cache

Digital Forensics: RDP Cache




ในระบบ Windows จะมีเครื่องมือสำหรับรีโมตไปควบคุมเครื่องคอมพิวเตอร์เครื่องอื่นผ่านระบบเครือข่ายเรียกว่า  Remote Desktop ด้วยการเปิดรันคำสั่ง  mstsc.exe   บน  Microsoft Windows  เมื่อทำการรีโมตไปควบคุมคอมพิวเตอร์เครื่องอื่น  จะมีการสร้างประวัติไฟล์ที่เรียกว่า Bitmap cache เก็บไว้ในดิสก์ซึ่งจะมีรูปภาพหน้าจอของเครื่องคอมพิวเตอร์ที่ถูกควบคุมเก็บไว้ในรูปแบบไฟล์  *.bmc และ*.bin


 Bitmap cache ถูกเก็บไว้ที่
Where Bitmap cache are stored?
%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache
 Cache File
เราต้องใช้เครื่องมือbmc-tools สำหรับแตกไฟล์  Bitmap cache  ออกมาเป็นรูปภาพ

bmc-tools processes bcache*.bmc and cache*.bin files found inside Windows user profiles.
Dowload bmc-tools
-h  Help

-s SRC, --src SRC Specify the BMCache file or directory to process.

-d DEST, --dest DEST Specify the directory where to store the extracted bitmaps.
-d Output
./bmc-tools.py [-h] -s SRC -d DEST
RDP Bitmap Cache parser.
 Output of Parsed cached file

จากการทดสอบ ร่อยรอยที่พบ เช่น เคยเข้าถึงเครื่องคอมพิวเตอร์เครื่องใดบ้าง  , วันเวลาที่เข้าใช้งาน , เคยเข้าไฟล์และโฟลเดอร์ เป็นต้น



User  access event log
Time and Date
Access to  windows server 2008R2
OS version
user access file and folder permissions settings 


 ที่มา:

BMC-Tools
cbtgeeks


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud



No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...