SGF NTFS, ACL/ACE, SID avec une pincée de WMI & PowerShell ?

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

SGF NTFS, ACL/ACE, SID avec une pincée de WMI & PowerShell ?

Message par ѠOOT » 14 avr. 2014 21:19

Dans l'article Comment lire les traces préservées par acquisitions lors d'un incident ?, j'ai suggéré une méthode simple afin de monter une image depuis un Windows virtualisé (VM). J'avais illustré mon exemple avec une image d'un système de fichiers en FAT12. Pour coller un peu plus à la réalité, j'introduis une touche de NTFS car ce SGF est beaucoup utilisé.

Je monte une image vierge que je format en NTFS.

Image

Le lecteur D: ne contient aucun dossier/fichier.

Image

Pourtant, ce même lecteur regorge de renseignements.

Image

Bases de l'architecture NTFS

Informations relatives à la racine.
Image

An Access Control List (ACL) is a list of Access Control Entries (ACE)
→ Lire : Access Control Lists

Nous allons nous intéresser quelques instants aux SID.
La suite Microsoft PsTools comprends l'utilitaire PsGetSid qui énumère aisément ce type d'infos.

→ Propriétaire (Owner)
Account for H4X0RK1DZ\S-1-5-21-1606980848-1563985344-1708537768-1003:
User: H4X0RK1DZ\Mickey


→ Membre du groupe (Group)
Account for H4X0RK1DZ\S-1-5-21-1606980848-1563985344-1708537768-1009:
Alias: H4X0RK1DZ\D-TEAM


Pour les fainéants, WMI, ça prends deux commandes:
→ wmic useraccount list brief
→ wmic group list brief

Vous pouvez également mitonner vos scripts via Windows PowerShell.

Il est très important de comprendre les bases de NTFS, les ACLs ainsi que les SIDs.
Dans la pratique ça permet d'identifier et tracer toutes les actions des entités en présence.
Il en était déjà question dans : Comment obtenir un mot de passe Windows via session active ?
Nous aurons l'occasion d'y revenir à plusieurs reprises dans les prochains articles.
Comme à l'habitude, je propose des clés afin d'accéder à des connaissances.
Si vous êtes curieux et motivés, vous progresserez. Bon courage.


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »