Статья Forensics Windows Registry - ntuser.dat

  • Автор темы Sunnych
  • Дата начала
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Файл ntuser.dat - это файл реестра. Таким образом, для каждого пользователя имеется отдельный файл ntuser.dat, содержащий параметры реестра только для данного пользователя. Его ветка HKEY_CURRENT_USER, именно значения этой ветки реестра и хранятся в указанном файле.

Для работы с ntuser.dat он должен быть извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д).

Что мы можем извлечь из ntuser.dat:

1. поиск Windows Search​
Код:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
2. количество раз, когда был запущен к примеру calc.exe​
Код:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
-> подробности данного куста реестра (практические примеры использования программ) Forensics Windows Registry - расшифровка и отображение всех записей UserAssist
3. Registry Explorer process TypedURLs
Код:
NTUSER.DAT\Software\Microsoft\Internet Explorer\TypedURLs
4. и многие другие данные...​

Примечание

Сразу оговорюсь что у нашего suspect не использовался Windows Search и ключи TypedURLs то же пусты (так что его примера не будет) и ещё все это применимо старше Windows XP так как если Вам попадется именно она то может понадобится в ручную переводить ключи Values Name с кодирования в нормальный вид и искать в смещениях счетчиков подобного вида "Type viewer" -... 0x04... не забывая что в WinXP он начинается с 5ти.

Первое получим из криминалистического образа файл ntuser.dat, будем использовать AccessData FTK Imager (он бесплатен), монтируем и копируем файл, путь c:\Users\"suspect"\
Статья-1.jpg
Первый способ которым мы воспользуемся это автоматический сбор информации с помощью программы RegRipper (есть причины по которым выходные данные я опубликовать не могу), но пример работы программы запросто
Статья-2.jpg
Второй способ которым мы воспользуемся это программа Registry Explorer
Статья-3.jpg
Вопрос №2. количество раз, когда был запущен calc.exe. Ответы обведены на screen красными рамками (есть причины по которым выходные данные я опубликовать не могу).

С пониманием и знанием реестра Windows можно ещё определять многие параметры и восстанавливать данные, а программа Registry Explorer заслуживает внимание и интерес.
P:S​
Миф Анти-форензики ntuser.dat в ntuser.man

Продолжение читаем здесь - Forensics Windows Registers all in one program
 
Последнее редактирование:
Мы в соцсетях: