![Задание на TryHackMe Задание на TryHackMe](https://habrastorage.org/getpro/habr/upload_files/ab6/00f/da7/ab600fda7b83fd7664b4975f9c736e02.png)
Эта комната дает краткий обзор ключевых функций Autopsy, инструмента для цифровой криминалистики. Виртуальная машина, на которой установлен Autopsy, уже содержит предварительно отсканированные файлы и запущенные модули ввода, что позволяет нам приступить к анализу и ответить на некоторые вопросы.
Первым шагом является запуск виртуальной машины. После запуска мы видим рабочий стол Windows с установленным инструментом Autopsy и папкой "Case Files". Открыв Autopsy, мы ожидаем его загрузки перед началом работы.
![Рабочий стол Windows виртуальной машины Рабочий стол Windows виртуальной машины](https://habrastorage.org/getpro/habr/upload_files/14d/58d/a42/14d58da425a02d87e6b3807332dd9b9b.png)
Теперь у нас открывается окно с различными вариантами действий: "Создать новый дело / New case ", "Открыть недавнее дело / Open Recent Case " и "Открыть дело / Opening Case ". Для этой ситуации, где у нас уже есть папка с недавно отсканированными дисками, мы выбираем третий вариант.
![Диалоговое окно "Autopsy" Диалоговое окно "Autopsy"](https://habrastorage.org/getpro/habr/upload_files/9a8/ebc/051/9a8ebc051dbae2e3c483d0ecc73d9c31.png)
Мы ищем файлы с расширением ".aut", которые являются файлами базы данных для анализа. В данном случае мы находим файл "Tryhackme.aut", который находится в папке "Case Files" на рабочем столе.
![Импортирование файла "Tryhackme.aut" Импортирование файла "Tryhackme.aut"](https://habrastorage.org/getpro/habr/upload_files/002/486/a66/002486a666426aa5ba57001973ac2f5c.png)
Далее нам будет предложено указать путь к файлу "HASAN2.EO1", как было указано в описании комнаты. Мы просто подтверждаем это, нажимая "Да" во всплывающем окне, и выбираем образ диска из той же папки, что и ранее.
![](https://habrastorage.org/getpro/habr/upload_files/198/587/093/1985870935bc02f3d9abc808c7e94642.png)
![Импортирование файла "HASAN2.E01" Импортирование файла "HASAN2.E01"](https://habrastorage.org/getpro/habr/upload_files/08d/463/822/08d463822573b63a2595d0f6d72dc7b8.png)
После выбора диска Autopsy открывается его интерфейс.
В этом разделе я опишу, как я отвечал на все вопросы в данной комнате.
№1) Каков MD5-хэш образа E01?
Мы можем получить его, выбрав изображение в разделе "Источники данных / Data Sources", затем выбирая наш образ "HASAN2.E01" и переходя в раздел "Метаданные файла / File Metadata". Здесь мы можем увидеть некоторую информацию об образе, включая MD5-хеш:
![Метаданные "HASAN2.E01" Метаданные "HASAN2.E01"](https://habrastorage.org/getpro/habr/upload_files/41d/381/e49/41d381e49c7069949ec11eb85fbe3622.png)
№2) Каково имя учетной записи компьютера?
В разделе "Результаты / Results" содержится "Информация об операционной системе / Operating System Information", где мы обнаруживаем два файла. В файле "SYSTEM" мы можем найти искомое имя: “DESKTOP-0R59DJ3”
![Имя компьютера Имя компьютера](https://habrastorage.org/getpro/habr/upload_files/709/5ab/b15/7095abb15fc94dd5a62888b74ecccb17.png)
№3) Перечислите все учетные записи пользователей. (в алфавитном порядке).
Поскольку мы интересуемся учетной записью пользователя, стоит обратиться к разделу "Учетные записи пользователей операционной системы / Operating System User Accounts". Здесь мы можем получить доступ ко всем системным учетным записям. Затем необходимо отобрать только те учетные записи, которые связаны с исходным файлом "SAM", соответствующим учетным записям пользователей, и исключить системные учетные записи по умолчанию. Дополнительно мы можем отсортировать имена пользователей в алфавитном порядке. (H4S4N,joshwa,keshav,sandhya,shreya,sivapriya,srini,suba)
![Перечислите все учетные записи пользователей Перечислите все учетные записи пользователей](https://habrastorage.org/getpro/habr/upload_files/bff/834/4fe/bff8344fe7f9b71c833e58552575f895.png)
№4) Кто был последним пользователем, вошедшим в компьютер?
В этом же разделе можно определить последнего пользователя, вошедшего в систему, путем сортировки пользователей по полю "Дата доступа / Date Accessed". (sivapriya)
![Последний пользователь вошедший в компьютер Последний пользователь вошедший в компьютер](https://habrastorage.org/getpro/habr/upload_files/96e/a1e/cd2/96ea1ecd232279e749317bfc1ed23899.png)
№5) Какой IP-адрес был у компьютера?
№6) Какой MAC-адрес был у компьютера? (XX-XX-XX-XX-XX-XX-XX-XX)
Оба вопроса можно рассмотреть в одном файле. В процессе поиска IP и MAC-адресов я обнаружил, что файл "irunin.ini" может содержать эту информацию, но только в случае, если на компьютере установлен инструмент мониторинга под названием "Look@LAN". Я проверил наличие этого инструмента среди программных файлов и нашел, что его можно найти по следующему пути: Vol3 (NTFS/ exFAT (0x07): 104448-126759028) > Program Files (x86) > Look@LAN > irunin.ini
![Содержания файла "irunin.ini" Содержания файла "irunin.ini"](https://habrastorage.org/getpro/habr/upload_files/9a7/290/f99/9a7290f993dbd9ce3e526901326d5d35.png)
В файле "irunin.ini" были найдены следующие данные:
IP-адрес: 192.168.130.216
MAC-адрес: 08-00-27-2c-c4-b9
№7) Как называется сетевая карта на этом компьютере?
Кусты реестра — приложения Win32 | Microsoft Learn
Каждый раз, когда новый пользователь входит в систему, для него создается новый улей с отдельным файлом для профиля пользователя. Это называется ульем профиля пользователя. Улей пользователя содержит специфическую информацию реестра, относящуюся к настройкам приложений, рабочего стола, среды, сетевых подключений и принтеров пользователя. Ульи профилей пользователей находятся в разделе HKEY_USERS.
Это означает, что мы можем найти информацию о сетевых адаптерах там, а именно в ветке "SOFTWARE" для настроек Windows и ее оборудования. Его можно найти по следующему пути: Vol3 (NTFS/ exFAT (0x07): 104448-126759028) > Windows > System32 > config
![](https://habrastorage.org/getpro/habr/upload_files/a50/d88/47d/a50d8847da90bfb92d772125c1d1ca1d.png)
Далее переходим по пути: SOFTWARE > Microsoft > Windows NT > CurrentVersion > NetworkCards
![](https://habrastorage.org/getpro/habr/upload_files/1a4/d4d/f4e/1a4d4df4e8578e7c327172276c9c0240.png)
Сетевая карта: Intel(R) PRO/1000 MT Desktop Adapter.
№8) Как называется инструмент для мониторинга сети?
Этот вопрос довольно простой. Если рассматривать вопрос об IP- и MAC-адресах, то инструмент, который поможет нам их найти, - это инструмент мониторинга. Мы можем проверить его наличие в разделе "Установленные программы / Installed Programs": Инструмент для мониторинга: Look@LAN
![Содержимое раздела "Installed Programs" Содержимое раздела "Installed Programs"](https://habrastorage.org/getpro/habr/upload_files/98a/e76/abe/98ae76abebcf55b173c3c2ebcea7c09c.png)
№9) Пользователь сделал закладку на местоположение в Google Maps. Каковы координаты этого места?
Этот вопрос немного проще. Нам всего лишь нужно открыть раздел "Веб-закладки / Web Bookmarks" и найти URL-адрес Google.
![Содержимое раздела "Web Bookmarks" Содержимое раздела "Web Bookmarks"](https://habrastorage.org/getpro/habr/upload_files/4cd/ca4/173/4cdca4173a14e2a344fd2b42eacfc168.png)
№10) У пользователя на обоях рабочего стола напечатано его полное имя. Каково полное имя пользователя?
Затем мы открываем раздел "Images/Videos" и ищем директорию "User", чтобы просмотреть все фотографии.
![](https://habrastorage.org/getpro/habr/upload_files/646/2a3/f65/6462a3f65c7675e169c839f875b450da.png)
Находим там вот такую фотографию на которой написано (Anto Joshwa).
![Поиск фото по директории "User" Поиск фото по директории "User"](https://habrastorage.org/getpro/habr/upload_files/eec/42e/785/eec42e785316947d8dbfa29dc4b429dc.png)
![](https://habrastorage.org/getpro/habr/upload_files/708/5c5/c99/7085c5c99e92e14f478d05397f2fd870.png)
Полное имя пользователя: Anto Joshwa
№11) У пользователя был файл на рабочем столе. У него был флаг, но она изменила его с помощью PowerShell. Каким был первый флаг?
Как и в предыдущем вопросе, нам требуется проверить историю выполнения команд PowerShell для всех пользователей.
(Username) > AppData > Roaming > Microsoft > Windows > PowerShell > PSReadLine > ConsoleHost_History.txt
![](https://habrastorage.org/getpro/habr/upload_files/1fd/f1d/393/1fdf1d393dfd370d5bcb1c85379687a1.png)
№12) Тот же пользователь нашел эксплойт для повышения привилегий на компьютере. Какое сообщение было отправлено владельцу устройства?
Мы можем заметить, что на рабочем столе присутствует файл с названием "exploit.ps1", который вызывает подозрения.
![Содержимое файла "exploit.ps1" Содержимое файла "exploit.ps1"](https://habrastorage.org/getpro/habr/upload_files/33b/5a5/934/33b5a59348a725dc6bff671d39c457bf.png)
Скрипт в файле "exploit.ps1" проверяет, принадлежит ли текущий пользователь к группе "Администраторы" в Windows, используя идентификатор безопасности (SID) "S-1-5-32-544". Если текущий пользователь является администратором, скрипт создаст файл с именем "hacked.txt" на рабочем столе пользователя H4S4N и добавит в него строку 'Flag{I-hacked-you}'.
Таким образом сообщением является: Flag{I-hacked-you}.
№13) В системе были найдены 2 хакерских инструмента, ориентированных на взлом паролей. Как называются эти инструменты? (в алфавитном порядке)
Это задание оказалось более сложным, чем я предполагал. Мне потребовалось время, чтобы выяснить, что одним из способов, которым система обнаруживает инструменты для взлома, является реакция антивируса/защитник Windows.
В данном случае решение было обнаружено в истории Защитника Windows, расположенной по адресу /ProgramData/Microsoft/Windows Defender/Scans/History/Service/DetectionHistory/
Два инструмента - Lazagne и Mimikatz.
![](https://habrastorage.org/getpro/habr/upload_files/b47/00d/4c1/b4700d4c1ecdd8c252e756c43578c3e9.png)
![](https://habrastorage.org/getpro/habr/upload_files/d83/ba3/af7/d83ba3af713cb9505ee00a1478f7f438.png)
LaZagne - это программное обеспечение с открытым исходным кодом, предназначенное для извлечения паролей из различных приложений на локальном компьютере.
Mimikatz - это более развитый инструмент, который служит для выявления уязвимостей в системах безопасности Windows.
№14) На компьютере есть файл YARA. Осмотрите файл. Как зовут автора?
Мы также знаем, что файлы YARA имеют расширение ".yar", поэтому мы можем искать их в функции "Поиск файлов по атрибутам":
![](https://habrastorage.org/getpro/habr/upload_files/b0c/e60/5c8/b0ce605c84d61c481897325df2364eea.png)
![Результат поиска Результат поиска](https://habrastorage.org/getpro/habr/upload_files/e6e/08f/eb2/e6e08feb28c9a8553eac761f632dc9c9.png)
![Содержимое файла "kiwi_passwords.yar" Содержимое файла "kiwi_passwords.yar"](https://habrastorage.org/getpro/habr/upload_files/205/e8b/706/205e8b706f340119441d742fbf4631d3.png)
№15) Один из пользователей хотел использовать контроллер домена с помощью эксплойта на основе MS-NRPC. Каково имя файла архива, который вы нашли? (включите пробелы в свой ответ)
После выполнения поиска по запросу "MS-NRPC exploit", была обнаружена информация о "zerologon". Дополнительно, был использован "Поиск файлов по атрибутам", что привело к обнаружению двух файлов, один из которых содержал следующую строку: "C:\Users\sandhya\Downloads\2.2.0 20200918 Zerologon encrypted.zip". Таким образом, ответом на вопрос является: "2.2.0 20200918 Zerologon encrypted.zip".
![Содержимое файла "2.2.0 20200918 Zerologon encrypted.Ink" Содержимое файла "2.2.0 20200918 Zerologon encrypted.Ink"](https://habrastorage.org/getpro/habr/upload_files/562/3d6/96f/5623d696f1b1a70315c66b06c4c5eaa2.png)
Ссылка на задание: TryHackMe | Disk Analysis & Autopsy