#رمضانيات_DFIR
23 رمضان - CertutilCache 💳
في أنظمة ال Windows فيه أمر أسمه certutil, هذا الأمر يقوم بأدارة ال certificate. قد يستخدمه المخترق عشان يحمل ملف من موقع على الأنترنت الي الجهاز
#DFIR #BlueTeam #الامن_السيبراني
23 رمضان - CertutilCache 💳
في أنظمة ال Windows فيه أمر أسمه certutil, هذا الأمر يقوم بأدارة ال certificate. قد يستخدمه المخترق عشان يحمل ملف من موقع على الأنترنت الي الجهاز
#DFIR #BlueTeam #الامن_السيبراني
ال certutil cache يحتوي على هذي المعلومات
- وقت و تاريخ التحميل
- ال URL من فين تحمل الملف
- حجم الملف
- ال e-tag الخاص بالملف, بعض الأحيان هذي القيمة تكون ال hash الخاص بالملف
- وقت و تاريخ التحميل
- ال URL من فين تحمل الملف
- حجم الملف
- ال e-tag الخاص بالملف, بعض الأحيان هذي القيمة تكون ال hash الخاص بالملف
-
ملفات ال certutil cache موجودة في هذا المجلد C:\Users\<USERNAME>\AppData\LocalLow\Microsoft\CryptnetUrlCache, داخل هذا المجلد فيه مجلدين:
- MetaData: يحتوي على معلومات عن التحميل
- Content: يحتوي على نسخة من الملف المحمل
ملفات ال certutil cache موجودة في هذا المجلد C:\Users\<USERNAME>\AppData\LocalLow\Microsoft\CryptnetUrlCache, داخل هذا المجلد فيه مجلدين:
- MetaData: يحتوي على معلومات عن التحميل
- Content: يحتوي على نسخة من الملف المحمل
هذا مثال على على تحميل ملف و parse لل artifact:
كتبت مدونة قبل فترة عن تحليلي لهذا ال artifact بالأضافة ل two parser واحد مكتوب بال Python و واحد مكتوب ب Rust
- المدونة - u0041.co
- ال Rust parser - github.com
- ال Python parser - github.com
- المدونة - u0041.co
- ال Rust parser - github.com
- ال Python parser - github.com
جاري تحميل الاقتراحات...