Всем привет.
Одной из сильнейших сторон PowerShell является наличие возможности получение удалённых действий при возникновении ситуации отклика в процессе происшествия. Предоставляемая самыми последними версиями PowerShell инфраструктура значительно снижает необходимые сетевые настройки и предлагает значительную безопасность.
В какой-то мере в инструкциях по forensics стороной обходится крайне полезный для локальных и удалённых расследований командлет PowerShell - Get-DNSClientCache.
Кэш клиента DNS, или иначе DNS преобразователь (resolver) является локальной базой данных, сопровождаемой самой операционной системой. Он содержит свидетельчтва последних посещений на веб сайты и прочие местоположения в Интернете. Проще говоря, кэш DNS Клиента это просто некая запись последних запросов DNS, которые ускоряют доступ к уже определённым IP- адресам вебсайтов. Имейте в виду, что очистка истории вашего веб браузера для сокрытия вашей активности не включает кэш преобразователя DNS самих oперационных систем. Многие программы очистки будут очищать этот кэш, однако пользователи могут его пропускать, а он может служить важным свидетельством недавней активности. Кто про такое помнит?
Сам DNS (сервис доменных имён), предоставляет некую трансляцию из дружественных пользователю имён, таких как microsoft.com, google.com и python-forensic.org в IP- адреса, по которым они располагаются. Всякий раз когда вы вводите в своём браузере нечто подобное www.amazon.com, осуществляется поиск DNS для трансляции читаемого человеком адреса в некий IP адрес, по которому можно выполнить доступ.
Запуск процесса Get-DNSClientCache после очистки (ipconfig /flushdns) имеющегося кэша приводит к следующим результатам (альтернатива просмотра ipconfig /displaydns):
PS C:\WINDOWS\system32> Get-DnsClientCache | Select-Object -Property Entry
Пусто! Естественно, CmdLet ничего не возвращает, поскольку DNS кэш пустой.
Для добавления данных в DnsClientCache откройте веб браузер и загрузите домашнюю странице Google.
Теперь исполнение этого CmdLet доставляет некоторые ожидаемые и неожиданные результаты:
PS C:\WINDOWS\system32> Get-DnsClientCache | Select-Object -Property Entry
Entry edgedl.me.gvt1.com
edgedl.me.gvt1.com
edgedl.me.gvt1.com
google.com
google.com
Разумеется, ожидаемым является DNS местоположение для google.com, так как открывался именно google.com. Однако что это за edgedl.me.gvt1.com? Hаведение справок о edgedl.me.gvt1.com по результатам исследования в интернете, домен принадлежит Google и применяется ими для отслеживания активности и предоставления автоматической подсказки при вводе в окне поиска Google.
Одним из хороших факторов является свойство TimeToLive, которое предоставляет информацию, относящуюся к тому сколько времени в секундах будет пребывать определённая запись в кэше клиента DNS. Знание о том, что эти записи присутствуют только ограниченное время, несомненно, требует определённой оперативности в сборе такой информации в процессе расследования.
PS C:\WINDOWS\system32> Get-DnsClientCache | Select-Object -Property Entry, TimetoLive
Entry TimetoLive
www.gstatic.com 17
ssl.gstatic.com 292
www.google.com 244
и т.п.
На этом все. Удачи и мирного неба всем нам!
No comments:
Post a Comment
А что вы думаете по этому поводу?