kfallahi/UnderlayCopy

# UnderlayCopy **UnderlayCopy** 是一个 PowerShell 实用工具，用于低级 NTFS 获取和转储受保护的、被锁定的系统工件（例如：**SAM**、**SYSTEM**、**NTDS.dit**、**注册表配置单元**，以及其他在 Windows 运行时通常无法访问的文件）。它支持两种互补模式来实现这一点，无需使用 **VSS** 或标准文件 I/O： - **MFT 模式**：解析 $MFT 记录，并通过读取原始卷扇区来重构/复制文件数据。 - **Metadata 模式**：利用文件系统元数据 (fsutil) 将文件映射到簇，并复制原始扇区。 **用途**：研究、红队演练和 DFIR 取证获取。 **不适用于**：未经授权的访问或恶意使用。 ## 功能特性 - 支持本地 NTFS 卷。 - 运行不依赖 VSS 或标准文件 I/O API。 ## 使用说明 ### 前置条件 - 管理员权限 ### 示例 ``` .\UnderlayCopy.ps1 Underlay-Copy -Mode MFT -SourceFile C:\Windows\System32\config\SAM -DestinationFile C:\Windows\Temp\sam.dmp Underlay-Copy -Mode MFT -SourceFile C:\Windows\NTDS\ntds.dit -DestinationFile C:\Windows\Temp\ntds.dmp Underlay-Copy -Mode Metadata -SourceFile C:\Windows\NTDS\ntds.dit -DestinationFile C:\Windows\Temp\ntds.dmp ``` ## 审计与检测 - 监控原始卷读取操作（以 RAW 访问权限打开 \\.\PhysicalDriveN 或 \\.\C: 的句柄）。 - 监控对敏感系统文件（例如：`C:\Windows\System32\config\SAM`、`C:\Windows\System32\config\SYSTEM`、`C:\Windows\NTDS\NTDS.dit`）的直接访问，并对这些文件的异常读取或复制操作发出告警。 - 针对读取 $MFT 或在物理卷上执行大量无缓冲读取的进程进行告警。 - 跟踪 fsutil 的异常使用以及对低级 Win32 API（带有卷或物理路径的 CreateFile）的可疑调用。

标签：AI合规, Conpot, IPv6, Libemu, Libemu, Linux, MFT解析, NTDS.dit, NTFS, PowerShell, SAM提取, Windows安全, 元数据模式, 凭据转储, 原始磁盘读取, 取证, 底层I/O, 文件系统, 物理驱动器访问, 管理员权限, 系统文件获取, 绕过文件锁