Форум информационной безопасности - Codeby.net

Продолжение статей:
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:

1. ntuser.dat извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д)
2. файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, DRIVERS полученные IREC или Triage или скопированы из криминалистического образа так же как и ntuser.dat

Примечание.
Сразу оговорюсь что у нашего suspect не...

Тут все очень просто сначала ваши данные попадают на входной(охранный или сторожевой) узел, дальше они попадают на промежуточный узел, а потом на выходной. Кто нибудь задумывался почему логотип Tor'a именно луковица ? Потому что, чтобы добраться до нас нужно сначала снять все слои шифрования. Сама идея возникла в 1995 году при поддержке ВМС США . Потом к разработке присоединился отдел Министерства обороны США. Сеть Tor была создана так, чтобы относиться к узлам с минимальным доверием - это достигается путем шифрования.

Клиент шифрует данные так, чтобы их мог расшифровать только выходной узел. Эти данные затем снова шифруются, чтобы их мог расшифровать только промежуточный узел. А потом эти данные опять шифруются так, чтобы их мог расшифровать только сторожевой узел

• Входной (или охранный, или сторожевой) узел — место, где ваши данные входят в сеть Tor. Причем выбирается не самый ближайший узел, а самый надежный, так что не удивляйтесь, если пинг оказывается на уровне пары сотен миллисекунд — это все для вашей безопасности.
• Промежуточный узел — создан...

• [Начало] Forensics Windows Registry
• [Продолжение] Forensics Windows Registry - ntuser.dat
• [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
• [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
• Продолжение этих статей: Forensics Windows Registers all in one program

Файл ntuser.dat - это файл реестра. Таким образом, для каждого пользователя имеется отдельный файл ntuser.dat, содержащий параметры реестра только для данного пользователя. Его ветка HKEY_CURRENT_USER...

BlackArch Linux 2018.06.01 - операционная система для проведения тестирования на проникновение была выпущена с новыми образами ISO и OVA и набором высококачественных обновлений для пентестеров.

BlackArch Linux является одним из самых серьезных дистрибутивов пен-тестирования, основанного на мощном Arch Linux, который содержит около 1981 инструментов, предназначенных для взлома.

BlackArch Linux является одним из широко используемых дистрибутивов хакерами, тестировщиками на проникновение, и специалистами по безопасности для различных исследовательских целей в области безопасности.

Этот новый выпуск включает обновленную версию blackarch-installer (v0.7), ядро 4.16.12 и многие другие высококачественные улучшения.
BlackArch Linux содержит разнообразные инструменты для различных целей, такие как атаки DDoS, фишинг атаки, сетевые и интернет атаки, а также WiFi атаки...

В Форензике Реестр может выявить огромное количество информации о злоумышленнике.
Информация, которая может быть найдена в реестре, включает:

• Пользователи и время последнего использования системы
• Последнее используемое программное обеспечение
• Любые устройства, подключенные к системе, включая уникальные идентификаторы флеш-накопителей, жестких дисков, телефонов, планшетов и.т.д.
• Когда система подключена к определенной точке беспроводного доступа
• Что и когда файлы были доступны
• Список любых поисков, выполненных в системе
• И многое, многое другое

Что такое Реестр Windows?
Согласно Microsoft, статья 256986. Eще описание.
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр Windows представляет собой двоичную структуру данных, для замены используемых файлов конфигурации и инициализации (.ini) в старых системах.

Реестр Windows 5 корневых ключей реестра (root keys)

• ...

Так вышло что общение с WebWare Team меня с подвигло к написанию данной статьи.

Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.

Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.

Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.

Начал я из далека но разрешите Вам представить Sysinternals Suite, а кому напомнить.

AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.
AccessEnum - полный просмотр настроек файловой системы и реестра.
AdExplorer - средство просмотра и редактор Active Directory.
AdInsight - инструмент...

Недавно я писал о том как Виртуализировать криминалистические образы в Windows так вот один из вариантов исследования в живую это осмотр файлов *.pf - файлы Prefetch
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Значения:

1. " 0" - Disabled
2. "1" - Application launch prefetching enabled
3. "2" - Boot prefetching enabled
4. "3" - Application launch and boot enabled (default)

Prefetcher наблюдает за запуском каждого приложения в течение первых 10 секунд. Наблюдение за процессом загрузки системы ограничено по времени и прекращается в следующих случаях:

• по истечении 30 секунд с момента запуска пользовательской оболочки
• по истечении 60 секунд с момента завершения инициализации всех служб
• по истечении 120 секунд с момента начала загрузки системы

Основываясь на различных...

Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл / образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования; дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено. Приступим, я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические возможности программы и основываясь им выбираем подходящую нам, монтируем наш образ
...

Мы используем live-сборки для создания наших официальных релизов Kali всякий раз, когда мы можем, и настоятельно рекомендуем пользователям перейти и строить свои собственные настроенные версии Kali. Наша документация процесса является одним из самых популярных пунктов на нашем сайте документации и Kali Dojo также вращается вокруг этой темы. Мы любим его и наши пользователи любят его.

Всегда был тот факт, что вам нужна система Kali, построенная из live-сборки системы Kali. Причина этого заключается в том, что небольшие изменения в оригинальном deboostrap и пакеты live-сборки необходимы для создания Kali ISO. В Kali эти изменения уже включены, однако в некоторых Debian подобных дистрибутивах необходимо получить ISO для нашей сборки.

Сегодня мы обновили наш сайт документации, чтобы включить инструкции о том, как собрать пользовательский Kali ISO на других Debian системах, таких как Debian 9 (Stretch) и Ubuntu 16.04 и...