fichier de sortie .data

[foryousc]

Bonjour ,

En exécutant le BrowserHistory en fichier de sortie j'ai des fichiers .data que je n'arrive pas à bien lire, y'a t-il moyen d'avoir en sortie des fichiers .CSV concernant l'historique des browsers ou avez vous un logiciel à me conseiller pour lire les fichiers .data ?

Merci

[sc-anssi]

Bonjour,
DFIR-Orc n'effectue pas de parsing sur les données brutes qu'il collecte via GetThis. Il vous faut effectuer un post-traitement de ces fichiers avec n'importe quel outil permettant de lire ces fichiers bruts. Dans votre cas, pour les bases d'historique navigateurs, vous pouvez rechercher "browser history parser" pour en trouver sur internet. Nous ne pouvons pas vraiment vous en conseiller un plus que les autres, désolé.

[foryousc]

Bonjour,
Merci beaucoup pour votre retour, j'ai cherché "browser history parser" je ne trouve rien me permettant de lire les fichiers .data , les logiciels que je trouve font leur propre extraction d'historique de navigateurs.
Par contre j'ai une autre question:
Dans le package Little, qu'est ce qui est récupéré dans [X] Autoruns, [X] Handle, [X] GetScripts_little, [X] Route, [X] Tcpvcon et [X] Netstat
Dans le package General, qu'est ce qui est récupéré dans [X] GetADS et [X] GetScripts
Qu'est ce qui est aussi récupéré en exécutant le package [X] Powershell et [X] GetYara

Merci énormément pour votre retour.

[sc-anssi]

Bonjour,

Merci beaucoup pour votre retour, j'ai cherché "browser history parser" je ne trouve rien me permettant de lire les fichiers .data , les logiciels que je trouve font leur propre extraction d'historique de navigateurs.

L'extension .data est rajoutée par GetThis (de même que les préfixes du ParentFRN et FRN). Si cela empêche les outils de traiter le fichier, vous pouvez renommer le fichier avec son nom original (que vous pouvez retrouver dans la colonne FullName du fichier GetThis.csv). Vous aurez de toute façon besoin d'un outil capable de lire un fichier préalablement extrait, plutot qu'un outil qui ne fonctionne qu'en "live" sur la machine cible.

Dans le package Little, qu'est ce qui est récupéré dans [X] Autoruns, [X] Handle, [X] GetScripts_little, [X] Route, [X] Tcpvcon et [X] Netstat
Dans le package General, qu'est ce qui est récupéré dans [X] GetADS et [X] GetScripts
Qu'est ce qui est aussi récupéré en exécutant le package [X] Powershell et [X] GetYara

Vous avez la description de l'ensemble des commandes lancées dans le fichier https://github.com/DFIR-ORC/dfir-orc-config/blob/master/config/DFIR-ORC_config.xml

Par exemple pour Autoruns:

dfir-orc-config/config/DFIR-ORC_config.xml

Lines 61 to 66 in c2ccba4

	<command keyword="Autoruns">
	<execute name="autorunsc.exe" run="7z:#Tools|autorunsc.exe"/>
	<argument>-accepteula -c -h -s -t -a * *</argument>
	<output name="autoruns.csv" source="StdOut"/>
	<output name="autoruns.log" source="StdErr"/>
	</command>

Lorsqu'il s'agit d'une commande GetThis, sa configuration peut être récupérée dans le fichier appelé sur la ligne de commande. Exemple avec GetScripts_little:

dfir-orc-config/config/DFIR-ORC_config.xml

Line 111 in c2ccba4

<argument>/config=res:#GetScript_little_config.xml</argument>

dfir-orc-config/config/GetScript_little_config.xml

Lines 1 to 25 in c2ccba4

	<?xml version="1.0"?>
	<getthis reportall="" hash="SHA1">
	<output compression="ultra" password="avproof"/>
	<location>%SystemDrive%</location>
	<samples MaxPerSampleBytes="512KB" MaxTotalBytes="150MB" MaxSampleCount="200000">
	<sample name="vbs_vbe">
	<ntfs_find name_match="*.vbs" />
	<ntfs_find name_match="*.vbe" />
	</sample>
	<sample name="bat">
	<ntfs_find name_match="*.bat" />
	</sample>
	<sample name="cmd">
	<ntfs_find name_match="*.cmd" />
	</sample>
	<sample name="ps1">
	<ntfs_find name_match="*.ps1" />
	</sample>
	<sample name="excel_macro">
	<ntfs_find path_match="\Users\*\AppData\Roaming\Microsoft\Excel\XLStart" />
	<ntfs_find path_match="\Documents and Settings\*\Application Data\Microsoft\Excel\XLStart" />
	<ntfs_find path_match="\Program Files\Microsoft Office\*\XLSTART" />
	</sample>
	</samples>
	</getthis>

[foryousc]

Bonjour,

merci pour les infos, est ce normal de ne pas avoir le fichier xml concernant powershell ?
et quelle différence entre GetScript_little_config.xml et Powershell si ca existe ?

Merci d'avance

[sc-anssi]

Les commandes powershell regroupée dans l'archive du même nom sont directement dans le fichier de configuration DFIR-ORC_config.xml :

dfir-orc-config/config/DFIR-ORC_config.xml

Lines 410 to 453 in c2ccba4

	<archive name="DFIR-ORC_{SystemType}_{FullComputerName}_Powershell.7z" keyword="Powershell" concurrency="2" repeat="Once" compression="fast" archive_timeout="120">
	<restrictions ElapsedTimeLimit="60" />
	<command keyword="DNS_records" systemtype="DomainController|Server" winver="6.0+" >
	<execute name="powershell" run="%SystemRoot%\System32\WindowsPowerShell\V1.0\powershell.exe"/>
	<argument>-NonInteractive -WindowStyle Hidden -NoProfile</argument>
	<argument>if (Get-Command Get-DnsServerZone -CommandType Function -ErrorAction SilentlyContinue) { Get-DnsServerZone | ForEach-Object {write-host '' ; write-host '***' $_.ZoneName '***' ; write-host '' ; Get-DnsServerResourceRecord -ZoneName ($_.ZoneName)} } else { Get-WmiObject -Namespace root\MicrosoftDNS MicrosoftDNS_Domain | ? { $_.ContainerName -NotLike '..RootHints' -And $_.ContainerName -NotLike '..Cache' } | select ContainerName | Sort-Object ContainerName | Get-Unique -AsString | % { dnscmd /zoneprint $_.ContainerName } }</argument>
	<output name="DNS_records.txt" source="StdOut" />
	<output name="DNS_records.log" source="StdErr" />
	</command>
	<command keyword="EventConsumer" winver="6.0+">
	<execute name="powershell" run="%SystemRoot%\System32\WindowsPowerShell\V1.0\powershell.exe"/>
	<argument>-NonInteractive -WindowStyle Hidden -NoProfile</argument>
	<argument>Get-WMIObject -Namespace root\Subscription -Class __EventConsumer</argument>
	<output name="EventConsumer.txt" source="StdOut" />
	<output name="EventConsumer.log" source="StdErr" />
	</command>
	<command keyword="ADComputers" systemtype="DomainController" winver="6.0+" >
	<execute name="powershell" run="%SystemRoot%\System32\WindowsPowerShell\V1.0\powershell.exe"/>
	<argument>-NonInteractive -WindowStyle Hidden -NoProfile</argument>
	<argument>Import-Module ActiveDirectory ; $TimeAgo = (Get-Date).AddMonths(-3) ; Get-ADComputer -Filter {enabled -eq $true -and lastLogonTimeStamp -gt $TimeAgo} -Properties DNSHostName | Select DNSHostName | ConvertTo-Csv</argument>
	<output name="AD_computers.csv" source="StdOut" />
	<output name="AD_computers.log" source="StdErr" />
	</command>
	<command keyword="Processes1" winver="6.0+" >
	<execute name="powershell" run="%SystemRoot%\System32\WindowsPowerShell\V1.0\powershell.exe"/>
	<argument>-NonInteractive -WindowStyle Hidden -NoProfile</argument>
	<argument>Get-WMIObject win32_process | Export-Csv -NoTypeInformation -Encoding UTF8</argument>
	<output name="processes1.csv" source="File" argument="-Path {FileName}" />
	<output name="processes1.log" source="StdOutErr" />
	</command>
	<command keyword="Processes2" winver="6.0+" >
	<execute name="powershell" run="%SystemRoot%\System32\WindowsPowerShell\V1.0\powershell.exe"/>
	<argument>-NonInteractive -WindowStyle Hidden -NoProfile</argument>
	<argument>Get-Process | Export-Csv -NoTypeInformation -Encoding UTF8</argument>
	<output name="processes2.csv" source="File" argument="-Path {FileName}" />
	<output name="processes2.log" source="StdOutErr" />
	</command>
	</archive>

Les fichiers de configuration de GetThis, dont GetScript_little_config.xml fait partie, définissent des critères pour récupérer des fichiers sur le disque grâce à l'outil interne GetThis. L'archive powershell regroupe des commandes PowerShell a exécuter. Il n'y a donc pas de lien entre les deux.