• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Forensics Windows Registry - история запуска программ

История запуска программ​
Дополнение статьи Forensics Windows Registry - ntuser.dat
Теория:
Файл ntuser.dat его ветка HKEY_CURRENT_USER
именно значения этой ветки реестра и хранятся в указанном файле ntuser.dat (подробно Forensics Windows Registry - ntuser.dat).
Рассмотрим какие программы были запущены. Обратимся к реестру Windows.

Каждая запущенная GUI - программа Windows оставляет историю в ключе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count
Ключ содержит два подраздела GUID (запуск исполняемого файла CEBFF5CD, запуск файла ярлыков F4E57C4B):
каждый подраздел поддерживает список системных объектов, таких как программы, ярлыки и апплеты панели управления,
к которым пользователь обратился.
Значения реестра в этих подразделах зашифрованы.
Используется шифрование
Ссылка скрыта от гостей
, которое заменяет один символ другим, расположенным в 13 позиции от него в таблице ASCII.
Все значения кодируются ROT-13:
.exe = .RKR
.lnk = .YAX

Важно:
BAM - это служба Windows, которая контролирует активность фоновых приложений.
Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

Важно: применимо для версий Win+R->WinVer до Windows Версия 1803 (не включительно), начиная с этой версии ключ реестра "RecentApps" отсутствует.
Запуск последних программ отслеживается и сохраняется в ключе RecentApps:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Search\RecentApps
Каждый ключ GUID - запущенное ранее приложение.
  • AppID — название запущенного приложения
  • LastAccessTime — время запуска в UTC
  • LaunchCount — количество запуска программы
реестр-3.jpg

База данных совместимости приложений Windows используется операционной системой для определения возможных проблем совместимости приложений с исполняемыми файлами и отслеживает имя файла исполняемого файла, размер файла, время последнего изменения
Последние 1024 программы, выполненные в операционной системе Windows, можно найти в этом ключе:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
более подробный анализ ShimCache возможен ShimCacheParser
пример
Код: 
C:\Users\Toor\Downloads\ShimCacheParser-master\ShimCacheParser-master>python C:\Users\Toor\Downloads\ShimCacheParser-master\ShimCacheParser-master\ShimCacheParser.py -l -o codeby.csv
ShimCacheParser.jpg
Примечание:
  • В Windows 7/8/10 содержится не более 1024 записей
  • LastUpdateTime не существует в системах Win7/8/10
Списки переходов, панель задач Windows 7-10 (список переходов) спроектирована таким образом, чтобы пользователи могли быстро получить доступ к элементам, которые они часто или недавно использовали.
данные, хранящиеся в папке:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
где каждый будет иметь уникальный файл, добавленный с AppID связанного приложения.
Файлы списков переходов AutomaticDestinations представляют собой OLE Compound Files, содержащие несколько потоков, из которых:
  • Шестнадцатеричное число, например. «1a»
  • DestList
Каждый из шестнадцатеричных нумерованных потоков содержит данные, аналогичные данным Windows Shortcut: данные могут быть извлечены и проанализированы с помощью анализатора LNK, lnk-parse подробнее Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
пример
Код: 
C:\Users\Toor\Downloads\lnk-parse-master\lnk-parse-master>perl lnk-parse.pl C:\Users\Toor\AppData\Roaming\Microsoft\Windows\Recent\dfir_cheat_sheet.pdf.lnk
lnk-parse.jpg
Prefetch Файлы предварительной выборки Windows предназначены для ускорения процесса запуска приложения. Файлы Prefetch хранятся здесь»
%windir%\Prefetch
и содержит имя исполняемого файла, список DLL Unicode, используемый этим исполняемым файлом, количество попыток выполнения исполняемого файла и временную метку, указывающую на последний запуск программы.
В этой папке хранится информация для последних 128 исполняемых файлов на Win7 и 1024 на Windows8 и Windows 10.
Файл предварительной выборки может анализироваться и анализироваться с использованием таких инструментов, как PeCMD подробнее Форензика Prefetch в Windows

Данные о запущенных программах находятся в этих ветках реестра:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
Windows Prefetch folder (C:\Windows\Prefetch) (подробно Форензика Prefetch в Windows ).

Рассмотрим все эти данные с помощью программ
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей

LastActivityView1.jpg
ExecutedProgramsList2.jpg
P:S​
Данная статья будет дополняться и получать не значительные правки to by continued...
 
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov, AIV99, arm_n и ещё 5
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ