Статья Forensics Windows Registry - ntuser.dat

• [Начало] Forensics Windows Registry
• [Продолжение] Forensics Windows Registry - ntuser.dat
• [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
• [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
• Продолжение этих статей: Forensics Windows Registers all in one program

Файл ntuser.dat - это файл реестра. Таким образом, для каждого пользователя имеется отдельный файл ntuser.dat, содержащий параметры реестра только для данного пользователя. Его ветка HKEY_CURRENT_USER, именно значения этой ветки реестра и хранятся в указанном файле.

Для работы с ntuser.dat он должен быть извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д).

Что мы можем извлечь из ntuser.dat:

1. поиск Windows Search​

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

2. количество раз, когда был запущен к примеру calc.exe​

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

-> подробности данного куста реестра (практические примеры использования программ) Forensics Windows Registry - расшифровка и отображение всех записей UserAssist ​

3. Registry Explorer process TypedURLs

NTUSER.DAT\Software\Microsoft\Internet Explorer\TypedURLs

4. и многие другие данные...​

Примечание

Сразу оговорюсь что у нашего suspect не использовался Windows Search и ключи TypedURLs то же пусты (так что его примера не будет) и ещё все это применимо старше Windows XP так как если Вам попадется именно она то может понадобится в ручную переводить ключи Values Name с кодирования

Ссылка скрыта от гостей

в нормальный вид и искать в смещениях счетчиков подобного вида "Type viewer" -... 0x04... не забывая что в WinXP он начинается с 5ти.

Первое получим из криминалистического образа файл ntuser.dat, будем использовать AccessData FTK Imager (он бесплатен), монтируем и копируем файл, путь c:\Users\"suspect"\

AccessData FTK Imager mount to copy ntuser.dat

Первый способ которым мы воспользуемся это автоматический сбор информации с помощью программы RegRipper (есть причины по которым выходные данные я опубликовать не могу), но пример работы программы запросто

RegRipper с нашим файлом ntuser.dat

Второй способ которым мы воспользуемся это программа Registry Explorer

Registry Explorer с нашим файлом ntuser.dat

Вопрос №2. количество раз, когда был запущен calc.exe. Ответы обведены на screen красными рамками (есть причины по которым выходные данные я опубликовать не могу).

С пониманием и знанием реестра Windows можно ещё определять многие параметры и восстанавливать данные, а программа Registry Explorer заслуживает внимание и интерес.

P:S​

Миф Анти-форензики ntuser.dat в ntuser.man

Продолжение читаем здесь - Forensics Windows Registers all in one program