В Форензике Реестр может выявить огромное количество информации о злоумышленнике.
Информация, которая может быть найдена в реестре, включает:
Согласно Microsoft, статья
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр Windows представляет собой двоичную структуру данных, для замены используемых файлов конфигурации и инициализации (.ini) в старых системах.
Реестр Windows 5 корневых ключей реестра (root keys)
Вот так это выглядит:
Физически интересующие нас файлы находятся:
это: SOFTWARE, SAM, SECURITY, SYSTEM.
Иногда исследование работающей системы (из образа как в статье Виртуализация криминалистических образов в Windows или просто запущено с клона) возникают проблемы невозможности работать с файлами реестра так как они используются ею, тогда прибегаем к этим двум инструментам [1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows или [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows или копируем описанные выше файлы из криминалистического образа (dd, raw, e01, 001 и.т.д).
Рассмотрим пример - мы подозреваем, что кто-то установил кейлоггер или удалил конфиденциальную информацию с USB-накопителя. Как мы найдем доказательства для связи изъятого USB-накопителя, и того, что USB-накопитель подключался и использовался в системе, (для Linux систем на форуме уже есть статья с примером расследования USB-форензика для Линуксов).
Нас интересует ветка реестра
прямые переходы в работающей системе возможны утилитой RegJump - открывает Regedit непосредственно к указанному пути к реестру из статьи Forensics - Free Tools Windows
В этом ключе мы найдем доказательства любого USB-устройства хранения данных, которое когда-либо было подключено к этой системе. Развернув USBSTOR, мы видим список всех USB-устройств, когда-либо подключенных к этой системе. Задержимся на USB и воспользуемся бесплатным и портабельным софтом: USB Historian, USBDeview.
первая неожиданность я пытался в рабочей системе воспользоваться программой но получил error
Рассмотрим пример - подозреваемый использовал какое-либо аппаратное устройство, которое должно быть установлено для чтения или записи данных (CD-ROM, DVD, жесткий диск, флэш-накопитель и т. д.), Реестр будет записывать смонтированное устройство. Эта информация хранится по адресу
на скриншоте выше мы открыли небольшое приложение двойным нажатием на интересующей строке, которое позволило нам читать данные в ASCII. Как вы можете видеть, это устройство было USB Mass Storage Kingston
подробнее о сборе данных из разных источниках о подключениях USB устройств в статье: USB Detective - поиск артефактов подключаемых устройств USB
Рассмотрим пример - список смотрим GUID точек беспроводного доступа, к которым подключен аппарат. Когда вы нажимаете на один, он показывает информацию, включающую имя SSID и дату последнего подключения в шестнадцатеричном формате
на картинке вверху я подключился к Wi-Fi сети с именем Sunnych.
Рассмотрим пример - самые последние используемые документы pdf будут найдены в .pdf (каждый ключ может содержать до 10 последних документов). Если мы перейдем к расширению .pdf, мы можем увидить последние 10 документов (хорошо это видно относительно документов Word), а перечисленные данные в этом ключе показывают нам - на Screen Вы сейчас сами прочитаете ;-)
Рассмотрим пример - когда пользователь вводит URL-адрес в Internet Explorer, это значение то же сохраняется в реестре
Рассмотрим пример - реестр также отслеживает IP-адреса пользовательских интерфейсов. Обратите внимание, что может быть множество интерфейсов, и этот раздел реестра отслеживает IP-адрес каждого интерфейса и связанную с ним информацию.
Я так думаю что теоретическая часть ясна и что эти данные могут открыть при проведении технической экспертизы, даже если рассмотреть ветку ключа RecentDocs то есть zip, gzip как раз те архивы которые забрасываются на жертву и в реестре молодые хакеры не чистят следы, а это дает ту самую ниточку, но это уже другая история и другие методы разбора больше подходящие к кибер полиции.
Вот ещё примеры куда стоит заглядывать:
Многое программное обеспечение, запускаются каждый раз при запуске системы. Rootkits и другое вредоносное программное обеспечение часто можно найти здесь, и они будут запускаться каждый раз, когда система запускается.
Если хакер просто хотел, чтобы программное обеспечение запускалось один раз при запуске, этот подраздел может быть установлен здесь.
Запуск сервисов, список перечисляет все службы, которые должны запускаться при запуске системы. Если для ключа установлено значение 2, услуга запускается автоматически; если он установлен в 3, сервис должен быть запущен вручную и если для ключа установлено значение 4, служба отключена.
Когда выполняются старые 16-разрядные приложения, перечисленная программа запускается по адресу
Так же есть ряд бесплатных портабельных утилит облегчающих жизнь:
Более глубокий анализ артефактов и форензики реестра windows Вы можете почерпнуть из книги которая у нас в библиотеке Windows Registry Forensic
Продолжение о разборе реестра -> Forensics Windows Registry - ntuser.dat
Информация, которая может быть найдена в реестре, включает:
- Пользователи и время последнего использования системы
- Последнее используемое программное обеспечение
- Любые устройства, подключенные к системе, включая уникальные идентификаторы флеш-накопителей, жестких дисков, телефонов, планшетов и.т.д.
- Когда система подключена к определенной точке беспроводного доступа
- Что и когда файлы были доступны
- Список любых поисков, выполненных в системе
- И многое, многое другое
Согласно Microsoft, статья
Ссылка скрыта от гостей
. Eще описание.Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр Windows представляет собой двоичную структуру данных, для замены используемых файлов конфигурации и инициализации (.ini) в старых системах.
Реестр Windows 5 корневых ключей реестра (root keys)
- HKEY_LOCAL_MACHINE: информация о конфигурации, включая настройки оборудования и программного обеспечения
- HKEY_CLASSES_ROOT: информация о конфигурации приложения, используемого для открытия файлов
- HKEY_CURRENT_USER: профиль текущего пользователя
- HKEY_USERS: содержит все загруженные пользовательские профили
- HKEY_CURRENT_CONFIG: аппаратный профиль системы при запуске
Вот так это выглядит:
Код:
Win+R
regedit //press - >enter
Код:
c:\Windows\System32\config\Рассмотрим пример - мы подозреваем, что кто-то установил кейлоггер или удалил конфиденциальную информацию с USB-накопителя. Как мы найдем доказательства для связи изъятого USB-накопителя, и того, что USB-накопитель подключался и использовался в системе, (для Linux систем на форуме уже есть статья с примером расследования USB-форензика для Линуксов).
Нас интересует ветка реестра
Код:
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\USBSTORвоспользуемся IREC для получения файлов SOFTWARE, SYSTEM и укажем новый путь к изъятым из системы SOFTWARE, SYSTEM для программы USB Historian, на выходе но с разными версиями Windows все по разному иногда приходится натравливать программу пряма на файлы внутри образа или выбирать другие пункты данной программы к примеру "Select individual" в связи с этим на компьютере с которого сейчас набираю статью конечного результата добиться не вышло, но не беда, начинаем использовать вторую программу USBDeview
вот мы и увидели общую картину, так же сравним данные в программе с веткой реестра одного из устройств, для примера я выбрал USB Mass Storage Kingston usb 2.0 на 16 Гиг
Рассмотрим пример - подозреваемый использовал какое-либо аппаратное устройство, которое должно быть установлено для чтения или записи данных (CD-ROM, DVD, жесткий диск, флэш-накопитель и т. д.), Реестр будет записывать смонтированное устройство. Эта информация хранится по адресу
Код:
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevicesподробнее о сборе данных из разных источниках о подключениях USB устройств в статье: USB Detective - поиск артефактов подключаемых устройств USB
Рассмотрим пример - список смотрим GUID точек беспроводного доступа, к которым подключен аппарат. Когда вы нажимаете на один, он показывает информацию, включающую имя SSID и дату последнего подключения в шестнадцатеричном формате
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\ProfilesРассмотрим пример - самые последние используемые документы pdf будут найдены в .pdf (каждый ключ может содержать до 10 последних документов). Если мы перейдем к расширению .pdf, мы можем увидить последние 10 документов (хорошо это видно относительно документов Word), а перечисленные данные в этом ключе показывают нам - на Screen Вы сейчас сами прочитаете ;-)
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsРассмотрим пример - когда пользователь вводит URL-адрес в Internet Explorer, это значение то же сохраняется в реестре
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\TypedURLsРассмотрим пример - реестр также отслеживает IP-адреса пользовательских интерфейсов. Обратите внимание, что может быть множество интерфейсов, и этот раздел реестра отслеживает IP-адрес каждого интерфейса и связанную с ним информацию.
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\InterfacesЯ так думаю что теоретическая часть ясна и что эти данные могут открыть при проведении технической экспертизы, даже если рассмотреть ветку ключа RecentDocs то есть zip, gzip как раз те архивы которые забрасываются на жертву и в реестре молодые хакеры не чистят следы, а это дает ту самую ниточку, но это уже другая история и другие методы разбора больше подходящие к кибер полиции.
Вот ещё примеры куда стоит заглядывать:
Многое программное обеспечение, запускаются каждый раз при запуске системы. Rootkits и другое вредоносное программное обеспечение часто можно найти здесь, и они будут запускаться каждый раз, когда система запускается.
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW- CleanAfterMe - очистка записей и файлов реестра в вашей системе, а вот ещё и тема у нас UsbKill. Anti-Forensic
- RegFromApp - генерировать RegEdit .reg-файл из изменений реестра, внесенных приложением.
- RegDllView - просмотр зарегистрированных файлов dll/ocx/exe в вашей системе и отмена регистрации/удаления нежелательных регистраций.
P:S
Сам ожидал что получится не большая статейка, но не тут то было (постараюсь к ней писать дополнения).Более глубокий анализ артефактов и форензики реестра windows Вы можете почерпнуть из книги которая у нас в библиотеке Windows Registry Forensic
Продолжение о разборе реестра -> Forensics Windows Registry - ntuser.dat
Последнее редактирование:
