Статья Forensics Windows Registry

  • Автор темы Sunnych
  • Дата начала
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
В Форензике Реестр может выявить огромное количество информации о злоумышленнике.
Информация, которая может быть найдена в реестре, включает:
  • Пользователи и время последнего использования системы
  • Последнее используемое программное обеспечение
  • Любые устройства, подключенные к системе, включая уникальные идентификаторы флеш-накопителей, жестких дисков, телефонов, планшетов и.т.д.
  • Когда система подключена к определенной точке беспроводного доступа
  • Что и когда файлы были доступны
  • Список любых поисков, выполненных в системе
  • И многое, многое другое
Что такое Реестр Windows?
Согласно Microsoft, статья . Eще описание.
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр Windows представляет собой двоичную структуру данных, для замены используемых файлов конфигурации и инициализации (.ini) в старых системах.

Реестр Windows 5 корневых ключей реестра (root keys)
  • HKEY_LOCAL_MACHINE: информация о конфигурации, включая настройки оборудования и программного обеспечения
  • HKEY_CLASSES_ROOT: информация о конфигурации приложения, используемого для открытия файлов
  • HKEY_CURRENT_USER: профиль текущего пользователя
  • HKEY_USERS: содержит все загруженные пользовательские профили
  • HKEY_CURRENT_CONFIG: аппаратный профиль системы при запуске
HKEY_LOCAL_MACHINE содержит в себе ветки SOFTWARE, SAM, SECURITY, system, default.
Вот так это выглядит:
Код:
Win+R
regedit //press - >enter
статья1.jpg
Физически интересующие нас файлы находятся:
Код:
c:\Windows\System32\config\
это: SOFTWARE, SAM, SECURITY, SYSTEM.
статья2.jpg
Иногда исследование работающей системы (из образа как в статье Виртуализация криминалистических образов в Windows или просто запущено с клона) возникают проблемы невозможности работать с файлами реестра так как они используются ею, тогда прибегаем к этим двум инструментам [1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows или [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows или копируем описанные выше файлы из криминалистического образа (dd, raw, e01, 001 и.т.д).

Рассмотрим пример - мы подозреваем, что кто-то установил кейлоггер или удалил конфиденциальную информацию с USB-накопителя. Как мы найдем доказательства для связи изъятого USB-накопителя, и того, что USB-накопитель подключался и использовался в системе, (для Linux систем на форуме уже есть статья с примером расследования USB-форензика для Линуксов).
Нас интересует ветка реестра
Код:
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\USBSTOR
прямые переходы в работающей системе возможны утилитой RegJump - открывает Regedit непосредственно к указанному пути к реестру из статьи Forensics - Free Tools Windows
статья3.jpg
В этом ключе мы найдем доказательства любого USB-устройства хранения данных, которое когда-либо было подключено к этой системе. Развернув USBSTOR, мы видим список всех USB-устройств, когда-либо подключенных к этой системе. Задержимся на USB и воспользуемся бесплатным и портабельным софтом: USB Historian, USBDeview.
статья4.jpg
первая неожиданность я пытался в рабочей системе воспользоваться программой но получил error
статья5.jpg
воспользуемся IREC для получения файлов SOFTWARE, SYSTEM и укажем новый путь к изъятым из системы SOFTWARE, SYSTEM для программы USB Historian, на выходе но с разными версиями Windows все по разному иногда приходится натравливать программу пряма на файлы внутри образа или выбирать другие пункты данной программы к примеру "Select individual" в связи с этим на компьютере с которого сейчас набираю статью конечного результата добиться не вышло, но не беда, начинаем использовать вторую программу USBDeview
статья6.jpg
вот мы и увидели общую картину, так же сравним данные в программе с веткой реестра одного из устройств, для примера я выбрал USB Mass Storage Kingston usb 2.0 на 16 Гиг
статья7.jpg

Рассмотрим пример - подозреваемый использовал какое-либо аппаратное устройство, которое должно быть установлено для чтения или записи данных (CD-ROM, DVD, жесткий диск, флэш-накопитель и т. д.), Реестр будет записывать смонтированное устройство. Эта информация хранится по адресу
Код:
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
статья8.jpg
на скриншоте выше мы открыли небольшое приложение двойным нажатием на интересующей строке, которое позволило нам читать данные в ASCII. Как вы можете видеть, это устройство было USB Mass Storage Kingston

Рассмотрим пример - список смотрим GUID точек беспроводного доступа, к которым подключен аппарат. Когда вы нажимаете на один, он показывает информацию, включающую имя SSID и дату последнего подключения в шестнадцатеричном формате
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
статья9.jpg
на картинке вверху я подключился к Wi-Fi сети с именем Sunnych.

Рассмотрим пример - самые последние используемые документы pdf будут найдены в .pdf (каждый ключ может содержать до 10 последних документов). Если мы перейдем к расширению .pdf, мы можем увидить последние 10 документов (хорошо это видно относительно документов Word), а перечисленные данные в этом ключе показывают нам - на Screen Вы сейчас сами прочитаете ;-)
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
статья10.jpg

Рассмотрим пример - когда пользователь вводит URL-адрес в Internet Explorer, это значение то же сохраняется в реестре
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\TypedURLs
статья11.jpg

Рассмотрим пример - реестр также отслеживает IP-адреса пользовательских интерфейсов. Обратите внимание, что может быть множество интерфейсов, и этот раздел реестра отслеживает IP-адрес каждого интерфейса и связанную с ним информацию.
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
статья12.jpg

Я так думаю что теоретическая часть ясна и что эти данные могут открыть при проведении технической экспертизы, даже если рассмотреть ветку ключа RecentDocs то есть zip, gzip как раз те архивы которые забрасываются на жертву и в реестре молодые хакеры не чистят следы, а это дает ту самую ниточку, но это уже другая история и другие методы разбора больше подходящие к кибер полиции.
Вот ещё примеры куда стоит заглядывать:
Многое программное обеспечение, запускаются каждый раз при запуске системы. Rootkits и другое вредоносное программное обеспечение часто можно найти здесь, и они будут запускаться каждый раз, когда система запускается.
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Если хакер просто хотел, чтобы программное обеспечение запускалось один раз при запуске, этот подраздел может быть установлен здесь.
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Запуск сервисов, список перечисляет все службы, которые должны запускаться при запуске системы. Если для ключа установлено значение 2, услуга запускается автоматически; если он установлен в 3, сервис должен быть запущен вручную и если для ключа установлено значение 4, служба отключена.
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
Когда выполняются старые 16-разрядные приложения, перечисленная программа запускается по адресу
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW
Так же есть ряд бесплатных портабельных утилит облегчающих жизнь:
  • CleanAfterMe - очистка записей и файлов реестра в вашей системе, а вот ещё и тема у нас UsbKill. Anti-Forensic
  • RegFromApp - генерировать RegEdit .reg-файл из изменений реестра, внесенных приложением.
  • RegDllView - просмотр зарегистрированных файлов dll/ocx/exe в вашей системе и отмена регистрации/удаления нежелательных регистраций.
P:S​
Сам ожидал что получится не большая статейка, но не тут то было (постараюсь к ней писать дополнения).
Более глубокий анализ артефактов и форензики реестра windows Вы можете почерпнуть из книги которая у нас в библиотеке Windows Registry Forensic

Продолжение о разборе реестра -> Forensics Windows Registry - ntuser.dat
 
Последнее редактирование:
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Кто-нибудь пользовался этой программой ?
Каковы впечатления от её использования ?
да но, нужно постоянно все тестировать на чисто установленных виртуальных машинах и потом изучать/проверять, все меняется! И лучше чем свои написанные скрипты для чистки или связка их с чем либо подобным всегда было правильным решением ;-)
 
  • Нравится
Реакции: Langolier и Глюк
L

Langolier

И лучше чем свои написанные скрипты для чистки или связка их с чем либо подобным всегда было правильным решением ;-)
Ой-ой-ой ))
Ты ещё скажи, что вот так просто можешь написать какой-то скрипт для чистки реестра windows :)
Для чистки реестра "винды" написаны тонны программ.
Вообще говоря, реест windows - одна из отличительных особенностей этой операционной системы, ведь реестра (по-сути, базы данных) нет ни в линукс, ни в андроид.
Любые изменения в системе заносятся в реестр, от этого он захламляется. Корректно почистить его от ненужных ключей - задача непростая.
Несмотря на множество написанных с этой целью программ, ни одна из них не достойна называться лучшей.
У каждой программы для чистки реестра - свой алгоритм поиска ключей, ненужных "хвостов" и прочего мусора.
Практически все эти программы оставляют после чистки всякий мусор. Это объясняется тем, что разработчики программ подстраховываются: ведь несколько некорректно удалённых ключей реестра способны убить систему. Вероятно, они пользуются правилом: лучше недо-чистить, чем пере-чистить.

Упомянутую в статье программу CleanAfterMe я никогда до сих пор не слышал, несмотря на то, что стараюсь не пропускать никакую информацию, связанную с чисткой реестра.
Поэтому и спросил, как она чистит ? Много хвостов оставляет после своей работы ?
Способна ли программа убить систему ?
И если уж зашла речь о форензике, то имеются ли в программе настройки, способные чистить определённые ключи ?



На мой взгляд, лучшей программой для чистки реестра является программа jv16 Power Tools
Каждый год выходил новый релиз :
  1. jv16 Power Tools_2007
  2. jv16 Power Tools_2008
  3. jv16 Power Tools_2009
  4. ....
  5. jv16 Power Tools_2014
На этом я закончил свои отслеживания и с дальнейшими версиями не знаком, но программа по праву заслуживает внимания.
Но я давно уже не пользовался этой программой и ничего не могу сказать о её актуальности.
Программа платная, но лекарство нетрудно найти в сети.

Сейчас отдельной программой, работающей ТОЛЬКО с реестром (как jv16 Power Tools) не пользуюсь.
Пользуюсь ССleaner Professional, PrivaZer, Glary Utilities 5.



ССleaner Professiona предоставляет возможность автоматизации работы с реестром, но после неё остаются хвосты.



PrivaZer также неплохо справляется с чисткой реестра, подчищает за предыдущей программой.



В Glary Utilities 5 также имеются опции чистки реестра и о ней в сети имеются положительные отзывы,
но эта софтина у меня пока только на виртуалке )

 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Ой-ой-ой ))
Ты ещё скажи, что вот так просто можешь написать какой-то скрипт для чистки реестра windows :)
Для чистки реестра "винды" написаны тонны программ.
А для восстановления есть написанная Windows Registry Recovery - mitec, которая есть у некоторых на вооружении, а скрипты сначала меняют/изменении, а потом уже удаляют, ну или замена самих веток чистыми способов и требований что именно скрывать или чистить море
 
L

Langolier

А для восстановления есть написанная Windows Registry Recovery
Зачем восстанавливать рееср ?
Я сколько не пытался восстановить убитую из-за некорректной чистки реестра систему - ничего хорошего из этого не получалось.
Проще переустановить систему, а лучше не чистить до смертельного исхода.
 
Мы в соцсетях: