В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat
Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.
Приведу пример:
Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64
мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
меняем расширение нашего файла ntuser.dat в ntuser.man
загружаем виртуальную машину, смотрим на наш новый ntuser.man
запускаем regedit и заходим в ветку ntuser.dat (который уже ntuser.man) HKEY_CURRENT_USER и делаем изменения (меняем местами языки предзагрузки)
НА
перегружаем виртуальную машину и ...
Много статей и курсов на которых рассказывают про этот метод как анти-форензик, но на практике все изменения после таких манипуляций остаются и не сбрасываются.
Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.
Приведу пример:
Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64
мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
P:S
Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid Вас подготовит, и научит практически применять знания. А не по статьям из интернета которые не всегда правдивы (или уже не актуальны).
Последнее редактирование:
