Продолжение статей:
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:
Сразу оговорюсь что у нашего suspect не использовалось очень многое в системе и некоторые файлы будут из моей системы для общего понимания и обзора.
Мы воспользуемся программой MiTec Windows Registry Recovery (бесплатна, портабельна).
Теперь мы можем в одном окне просматривать всю информацию находящуюся в реестре.
Публиковать screen каждой ветки и каждого пункта нет смысла (это был бы флуд прямо в статье), но в пример рассмотрим куст SAM, SOFTWARE и отображение их информации
P:SСпасибо за прочтение и интерес к forensics.
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:
- ntuser.dat извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д)
- файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, DRIVERS полученные IREC или Triage или скопированы из криминалистического образа так же как и ntuser.dat
Сразу оговорюсь что у нашего suspect не использовалось очень многое в системе и некоторые файлы будут из моей системы для общего понимания и обзора.
Мы воспользуемся программой MiTec Windows Registry Recovery (бесплатна, портабельна).
Публиковать screen каждой ветки и каждого пункта нет смысла (это был бы флуд прямо в статье), но в пример рассмотрим куст SAM, SOFTWARE и отображение их информации
