• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Статья Forensics Windows Registry - ntuser.dat

Файл ntuser.dat - это файл реестра. Таким образом, для каждого пользователя имеется отдельный файл ntuser.dat, содержащий параметры реестра только для данного пользователя. Его ветка HKEY_CURRENT_USER, именно значения этой ветки реестра и хранятся в указанном файле.

Для работы с ntuser.dat он должен быть извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д).

Что мы можем извлечь из ntuser.dat:

1. поиск Windows Search​
Код: 
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
2. количество раз, когда был запущен к примеру calc.exe​
Код: 
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
-> подробности данного куста реестра (практические примеры использования программ) Forensics Windows Registry - расшифровка и отображение всех записей UserAssist
3. Registry Explorer process TypedURLs
Код: 
NTUSER.DAT\Software\Microsoft\Internet Explorer\TypedURLs
4. и многие другие данные...​

Примечание

Сразу оговорюсь что у нашего suspect не использовался Windows Search и ключи TypedURLs то же пусты (так что его примера не будет) и ещё все это применимо старше Windows XP так как если Вам попадется именно она то может понадобится в ручную переводить ключи Values Name с кодирования
Ссылка скрыта от гостей
в нормальный вид и искать в смещениях счетчиков подобного вида "Type viewer" -... 0x04... не забывая что в WinXP он начинается с 5ти.

Первое получим из криминалистического образа файл ntuser.dat, будем использовать AccessData FTK Imager (он бесплатен), монтируем и копируем файл, путь c:\Users\"suspect"\
Статья-1.jpg
Первый способ которым мы воспользуемся это автоматический сбор информации с помощью программы RegRipper (есть причины по которым выходные данные я опубликовать не могу), но пример работы программы запросто
Статья-2.jpg
Второй способ которым мы воспользуемся это программа Registry Explorer
Статья-3.jpg
Вопрос №2. количество раз, когда был запущен calc.exe. Ответы обведены на screen красными рамками (есть причины по которым выходные данные я опубликовать не могу).

С пониманием и знанием реестра Windows можно ещё определять многие параметры и восстанавливать данные, а программа Registry Explorer заслуживает внимание и интерес.
P:S​
Миф Анти-форензики ntuser.dat в ntuser.man

Продолжение читаем здесь - Forensics Windows Registers all in one program
 
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov, Parm Alex, Сергей Попов и ещё 9
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ