文章来源:华盟论坛
原文链接:
https://bbs.77169.net/forum.php?mod=viewthread&tid=375339&extra=
什么是MACE值?
MACE(修改,访问,创建,输入)值是文件属性,描述文件上活动的日期和时间。管理员使用这些属性来确定上次访问或更改文件的时间,并且通常可以使用它们来跟踪恶意活动。
黑客入侵时最好的做法是完全不留痕迹,但是修改MACE属性可能是下一个最好的选择。这种方法不是绝对可靠的,但可以帮助掩盖在文件系统上的活动。
一、设置所有内容
我们将使用Windows 7的拷贝作为我们的标记,而Kali Linux作为我们的攻击机器。我们需要做的第一件事是在目标上创建一些示例文件。我还创建了一个名为“MyFiles”的新文件夹,以使它们保持有序。不管这些基本的文本文件是什么。
~# msfconsole
这个目标很容易受到EternalBlue的攻击,因此我将使用它来获取shell。但是,只要最终在目标上执行MSF会话。
三、验证目标的文件
既然我们已经获取目标,pwd命令以查看当前的工作目录。
四、使用Timestomp更改文件属性
Timestomp是Meterpreter中提供后渗透模块,可用于修改文件的MACE值。这很有用,因为我们可以更改访问的任何文件的时间和日期,从而最大程度地减少被捕获的风险。
在Meterpreter会话中,使用timestomp帮助显示此模块的帮助菜单:
2、更改访问,创建和修改的时间。我们可以使用适当的选项和有效的DateTime格式更改任何这些属性。要更改“修改的”值,请使用-m标志。
现在,当我们查看文件属性时,我们可以看到它已更改。
3、删除所有值
我们也可以使用-b标志完全清空文件属性。
现在,当我们查看文件时,它会将无意义的值显示为将来的日期,这显然是不可能的。
我们还可以使用-r标志递归地清空当前目录中的所有文件。
现在,当我们查看目标上的文件时,日期将显示为空白。
推荐文章++++