Статья Миф Анти-форензики ntuser.dat в ntuser.man

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat

Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.

Приведу пример:

Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64

статья-1.jpg

мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
статья-2.jpg
меняем расширение нашего файла ntuser.dat в ntuser.man
статья-3.jpg
загружаем виртуальную машину, смотрим на наш новый ntuser.man
статья-4.jpg
запускаем regedit и заходим в ветку ntuser.dat (который уже ntuser.man) HKEY_CURRENT_USER и делаем изменения (меняем местами языки предзагрузки)
статья-5.jpg
НА
статья-6.jpg
перегружаем виртуальную машину и ...
статья-7.jpg
Много статей и курсов на которых рассказывают про этот метод как анти-форензик, но на практике все изменения после таких манипуляций остаются и не сбрасываются.
P:S
Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid Вас подготовит, и научит практически применять знания. А не по статьям из интернета которые не всегда правдивы (или уже не актуальны).
 
Последнее редактирование:
Мы в соцсетях: