Sunday, March 31, 2019

Digital Forensics:Powershell Forensic

Digital Forensics:Powershell Forensic

   วันนี้ Admin ไปเจอ เครื่องมือสำหรับ Forensics โดยใช้ powershell ใครที่ถนัด Powershell  มาทางนี้ครับ  ชื่อว่า PowerForensics มี Module หลายตัวให้ศึกษา แต่เนื่องจากผู้ที่ศึกษาต้องมีพื่้นความรู้เรื่อง Windows File system ระดับหนึ่งก่อน ถึงจะเข้าใจว่าแต่ละคำสั่งใช้ทำอะไร ผมบอกเลยเรื่องนี้ยาก  แต่เครื่องมือใช้งานง่าย  เอาว่าผมข้ามไปอธิบายวิธีการติตตั้งและใช้งานเลยครับ

สิ่งที่ต้องเตรียม

- Powershell   ใน windows 7, 8 ,10 ,Up 
- เครื่องสำหรับทดสอบ Windows windows 7, 8 ,10  Up
- PowerForensics  download จาก github
 - ให้ท่านศึกษาเพิ่มเติมเรื่อง Windows File System , NTFS, MFT  ก่อนทำเรื่องนี้

หมายเหตุ  หากท่านมี Toots ตัวอื่นก็สามารถใช้งานแทนได้

 Step 1 ไป download   PowerForensics จาก github

Step 2   ทำการแตกไฟล์ไว้ที่ Foder C:\Program Files\WindowsPowerShell\Modules\


Step 3  ทำการ Import-Module โดยใช้คำสั่งดังนี้
#Import-Module 'C:\Program Files\WindowsPowerShell\Modules\PowerForensicsv2'

Step 4  ทำการเรียกดูคำสั่งที่อยูู่ใน PowerForensicsv2  โดยใช้คำสั่งดังนี้
#Get-Command -Module PowerForensicsv2
Step 5 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ โปรแกรม  notepad.exe ใน  MFT  โดยใช้คำสั่ง  Get-ForensicFileRecord -Path C:\Windows\notepad.exe


Step 5 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ  MFT ใน C:\  โดยใช้คำสั่ง  Get-ForensicFileRecord -Path c:\$mft

Step 6 ทำการเรียกดูตำแหน่งและรายละเอียดของ Timestamp ของ  Index 0  โดยใช้คำสั่ง  Get-ForensicFileRecord -Index 0

 Step  7 ทำการใช้  FTK Imager  เปิด ดู Timestamp ของ  $MFT ใน C:\


 ศึกษาเพิ่มเติม:
https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Import-Module?view=powershell-6
https://github.com/Invoke-IR/PowerForensics/releases
http://www.invoke-ir.com/2016/02/


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Powershell Forensic

No comments:

Post a Comment