• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Миф Анти-форензики ntuser.dat в ntuser.man

В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat

Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.

Приведу пример:

Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64

статья-1.jpg

мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
статья-2.jpg
меняем расширение нашего файла ntuser.dat в ntuser.man
статья-3.jpg
загружаем виртуальную машину, смотрим на наш новый ntuser.man
статья-4.jpg
запускаем regedit и заходим в ветку ntuser.dat (который уже ntuser.man) HKEY_CURRENT_USER и делаем изменения (меняем местами языки предзагрузки)
статья-5.jpg
НА
статья-6.jpg
перегружаем виртуальную машину и ...
статья-7.jpg
Много статей и курсов на которых рассказывают про этот метод как анти-форензик, но на практике все изменения после таких манипуляций остаются и не сбрасываются.
P:S
Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid Вас подготовит, и научит практически применять знания. А не по статьям из интернета которые не всегда правдивы (или уже не актуальны).
 
Последнее редактирование:

apache2

Green Team
26.02.2021
33
16
BIT
214
Я сначала не понял что вообще сделано тут, посмотрев в свой cheatsheet я увидел что, "NTUSER.DAT - содержит инфу о программах пользователя, последних просмотренных файлах и т.д" и не понял как это поможет защитить от изменения если это содержит инфу.
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Я сначала не понял что вообще сделано тут, посмотрев в свой cheatsheet я увидел что, "NTUSER.DAT - содержит инфу о программах пользователя, последних просмотренных файлах и т.д" и не понял как это поможет защитить от изменения если это содержит инфу.
много бредовых советов по поводу переименования ntuser.dat, и что это спасает и является анти-форензик. Прочтите вторую и третью строчку статьи! я показал что в практике это полнейший бред и что данные всё равно изменяются в данной базе которая относится к записям в реестре
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!