WINDOWS REGISTRY ANALYSIS – Theo dõi mọi thứ bạn làm trên hệ thống

Thảo luận trong 'Infrastructure security' bắt đầu bởi adamdj, 15/09/18, 08:09 PM.

  1. adamdj

    adamdj Moderator Thành viên BQT

    Tham gia: 24/08/16, 06:08 AM
    Bài viết: 128
    Đã được thích: 85
    Điểm thành tích:
    28
    Mục đích của bài viết này là cung cấp cho bạn một sự hiểu biết sâu sắc về Windows Registry và những thông tin mà nó nắm giữ. Ngày nay hầu hết các quản trị viên và nhà phân tích pháp y thì Registry là lối vào đen tối. mà họ muốn biết

    Bên cạnh thông tin cấu hình, Windows Registry giữ thông tin về các tệp được truy cập gần đây và thông tin đáng kể về các hoạt động của người dùng.

    1.jpg

    Sự thật là Registry là một nguồn thông tin thực sự cho cả quản trị viên và nhà điều tra pháp y.

    TÌM HIỂU VỀ REGISTRY
    Nếu bạn nhớ lại về DOS và các phiên bản Windows cũ (3.1.3.11 và phiên bản khác tương ứng), thông tin cấu hình (trình điều khiển, cài đặt) cho hệ thống phần lớn được quản lý bởi một số tệp đặc biệt, autoexec.bat, config.sys, win.ini (trên Windows) và system.ini.

    Các phiên bản sau của cửa sổ đã thay thế các tệp này bằng Registry, một cơ sở dữ liệu phân cấp trung tâm duy trì cài đặt cấu hình cho ứng dụng, thiết bị phần cứng và người dùng.

    SƠ LƯỢC VỀ CẤU TRÚC CỦA WINDOWS REGISTRY!
    Khi quản trị viên hoặc nhà pháp y mở Regedit.exe, anh ta sẽ nhìn thấy một cấu trúc cây với 5 folder gốc hoặc 5 “hive” như bên dưới.

    2.jpg

    • HKEY_CLASSES_ROOT hive chứa thông tin cấu hình liên quan đến ứng dụng nào được sử dụng để mở các tệp khác nhau trên hệ thống.
    • HKEY_CURRENT_USER hive là hồ sơ người dùng đang hoạt động, lưu trử thông tin người dùng hiện đang đăng nhập.
    • HKEY_LOCAL_MACHINE hive chứa thông tin cấu hình hệ thống, bao gồm cài đặt phần cứng và cài đặt phần mềm.
    • HKEY_USERS hive chứa tất cả hồ sơ người dùng đang hoạt động trên hệ thống.
    • HKEY_CURRENT_CONFIG hive chứa cấu hình phần cứng mà hệ thống sử dụng khi khởi động.
    KIỂM TRA REGISTRY
    Danh sách MRU:

    MRU, trong suốt hoặc danh sách “được sử dụng gần đây nhất” chứa các mục nhập được thực hiện do các hành động cụ thể do người dùng thực hiện. Có rất nhiều MRU LIS trong các khóa Registry khác nhau.

    Registry duy trì các danh sách các mục này trong trường hợp người dùng quay lại chúng trong tương lai. Nó tương tự như cách lịch sử và cookie hoạt động với trình duyệt web.

    Vị trí của khóa này là HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU

    3.jpg

    Với thông tin được cung cấp từ khóa RunMRU, người kiểm tra có thể hiểu rõ hơn về người dùng họ đang điều tra và ứng dụng đang được sử dụng. Trong hình trên, bạn có thể thấy người dùng đã mở cmd, Notepad, MSPaint, v.v.

    CÁC THIẾT BỊ USB:
    Bất cứ lúc nào một thiết bị được kết nối với Universal Serial Bus (USB), Trình điều khiển được truy vấn và thông tin của thiết bị được lưu trữ trong Registry (Thumb Drives).

    Phím này lưu trữ nội dung của giá trị sản phẩm và ID thiết bị của bất kỳ thiết bị USB nào đã được kết nối với hệ thống.

    Vì vậy, các chuyên gia pháp y sẽ hướng theo đường dẫn sau: HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\USBSTOR.

    4.jpg

    INTERNET EXPLORER:
    Internet Explorer là trình duyệt Web nguyên gốc trong hệ điều hành Windows. Nó sử dụng Registry rộng rãi trong việc lưu trữ dữ liệu, giống như nhiều ứng dụng.

    Internet Explorer lưu trữ dữ liệu của nó trong HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs.

    5.jpg

    THÔNG TIN PHẦN CỨNG ĐÍNH KÈM:
    Điều hướng đến khóa sau HKEY_LOCAL_MACHINE\SYSTEM|MountedDevices. Thông tin này có thể hữu ích cho một giám định pháp y vì nó cho thấy bất kỳ thiết bị lưu trữ được kết nối nào đã được hệ điều hành nhận ra.

    Nếu giám khảo ghi chú sự khác biệt giữa các thiết bị được gắn vật lý và các thiết bị được báo cáo ở đây, có thể là dấu hiệu cho thấy một số thiết bị đã bị loại bỏ trước khi chứng cứ bị tịch thu.

    6.jpg

    PHẦN MỀM ĐỘC HẠI
    Điều hướng đến khóa sau HKEY_CURRENT_USER\Software\. Thông tin này sẽ là thứ hấp dẫn cho Forensics Examiner vì nó có thể thấy hacker sử dụng CyberGhost Vpn được sử dụng để ẩn danh.

    7.jpg

    CÁC ỨNG DỤNG GẦN ĐÂY:
    Điều hướng đến khóa sau sẽ cung cấp thông tin cho danh sách ứng dụng được truy cập lần cuối HKEY_CURRENT_USER\SOFTWARE\Microsoft\Currentversion\Search\RecentApps

    Trong người dùng này có một danh sách rộng lớn các ứng dụng, một trong số đó là Vmworkstation được tìm thấy.

    8.jpg

    Thông tin quan trọng có thể thu được bằng cách thực hiện một cuộc kiểm tra pháp y hiệu quả.

    Vì vậy, bạn có thể điều tra để tìm các hoạt động độc hại đang diễn ra trong môi trường của mình.
    vnhackernew​
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HustReMw and Sugi_b3o like this.
  2. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 218
    Đã được thích: 116
    Điểm thành tích:
    43
    Mình chưa hiểu: CyberGhost Vpn dùng để ẩn danh
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan