Meterpreter入门与精通（七）（meterpreter命令详解）

Meterpreter入门与精通（七）（meterpreter命令详解）

Meterpreter反取证

在上一课中，我们看到了Meterpreter中的一些重要且有用的系统命令，使用它们能在目标主机开展很多工作。Meterpreter还包含有另一个有趣的命令timestomp，该命令是用来修改文件的Modified-Accessed-Created-Entry（MACE）属性。该属性值表示文件中发生任何MACE活动的日期和时间。使用timestomp命令，我们可以修改这些值。

准备工作

在正式开始课程之前，您可能会有这样的疑问：我们为什么要修改MACE的值？黑客一般使用这项技术修改文件的MACE值，让用户认为文件已经在系统中存在了很长时间，而且未被触碰或修改过。如果发生可疑活动，管理员会检查最近修改的文件，以查明是否有任何文件被修改或访问。因此，使用这项技术之后，最近修改的文件就不会出现在管理员的检查清单里。即使还有其他技术可以确定文件属性是否已被修改，但该技术仍然可以派上用场。

我们从目标主机中找一个文件然后修改它的MACE值。以下截图显示了修改前的各种MACE值：

图1: 修改文件MACE值之前

现在我们开始修改各种MACE值。首先，我们使用timestomp -h命令，查看所有可用选项。然后，我们使用-v选项列出MACE的属性值。如下图所示：

图2: 查看MACE属性值

操作步骤

我们先来修改文件的创建时间。注意timestomp命令后跟的各种参数。如下图所示：

图3: 修改文件的创建时间

工作原理

图4: 修改文件的最后访问属性

属性被修改之后，我们可以再次使用-v选项检查和验证命令是否成功执行。如下图所示：

图5: 检查属性修改结果

我们已经成功修改了文件的MACE属性。现在，文件就不会出现在最近修改或最近访问的文件列表里了。或者，我们可以使用-z选项一次修改四个MACE属性值，这样我们就不需要逐个修改它们。但是，-z选项会将MACE的所有属性值设置为一样的，这在实际中是不合理的。一般文件的创建时间和访问时间不会是一样的，因此应该避免使用-z选项。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。