Криминалистический анализ Windows

При выполнении криминалистического анализа Windows может быть довольно сложно увидеть большой объем данных, которые необходимо собрать, если вы знаете, что ищете. Если вы не знаете, что ищете, весь процесс становится вдвое сложнее.

В этой статье мы обсудим следующие темы:

1. Что такое криминалистический анализ Windows?
2. Что такое судебные артефакты?
3. Лучшие инструменты с открытым исходным кодом для криминалистического анализа Windows

Что такое криминалистический анализ Windows?

Криминалистический анализ Windows фокусируется на двух вещах:

1. Углубленный анализ операционной системы Windows.
2. Анализ системных артефактов Windows.

Артефакты Windows - это объекты, содержащие информацию о действиях, выполняемых пользователем Windows. Тип информации и расположение артефакта варьируются от одной операционной системы к другой. Артефакты Windows содержат конфиденциальную информацию, которая собирается и анализируется во время криминалистического анализа.

Что такое судебные артефакты?

Криминалистические артефакты - это криминалистические объекты, которые имеют определенную криминалистическую ценность. Любой объект, который содержит некоторые данные или свидетельства того, что произошло, например журналы, реестр, ульи и многое другое. В этом разделе мы рассмотрим некоторые артефакты судебной экспертизы, которые ищут судебные следователи при выполнении судебно-медицинской экспертизы в Windows.

1. Корзина для мусора. Корзина Windows содержит несколько замечательных артефактов, например:

• Файл $ 1, содержащий метаданные. Вы можете найти этот файл по пути C: $ Recycle.Bin SID * $ Ixxxxxx
• Файл $ R, содержащий содержимое удаленных файлов. Этот файл может находиться по пути C: $ Recycle.Bin SID * $ Rxxxxxx
• Файл $ 1 можно проанализировать с помощью инструмента $ 1 Parse .

2. Браузеры. Веб-браузеры содержат много информации, например:

• Печенье.
• Кешированные данные сайта.
• Скачал файлы.

3. Отчет об ошибках Windows: эта функция позволяет пользователю сообщать Microsoft о сбоях приложения, сбоях ядра, неотвечающем приложении и других проблемах, связанных с приложением. Эта функция предоставляет нам различные артефакты, такие как:

• Выполнение программы, если вредоносная программа дает сбой во время выполнения программы.
• Вы можете найти эти артефакты в следующих местах:

  C:  ProgramData  Microsoft  Windows  WER  ReportArchive
  C:  Users  XXX  AppData  Local  Microsoft  Windows  WER  ReportArchive
  C:  ProgramData  Microsoft  Windows  WER  ReportQueue
  C:  Users  XXX  AppData  Local  Microsoft  Windows  WER  ReportQueue
  

4. Кэш протокола удаленного рабочего стола: при использовании клиента «mstc», предоставляемого Windows, RDP можно использовать для бокового перемещения по сети. Создаются файлы кеша, содержащие разделы экрана машины, к которой мы подключены, и которые редко меняются. Эти файлы кеша могут находиться в каталоге:

 C:  Users  XXX  AppData  Local  Microsoft  Terminal Server Client  Cache

Такие инструменты, как BMC-Tools, могут использоваться для извлечения изображений, хранящихся в этих файлах кеша.

5. Файлы LNK: файлы .lnk - это файлы ярлыков Windows. Файлы LNK ссылаются или указывают на другие файлы или исполняемые файлы для облегчения доступа. В этих файлах вы можете найти следующую информацию:

• Исходный путь к целевому файлу.
• Отметка времени как целевых файлов, так и файлов .lnk.
• Атрибуты файлов, такие как System, Hidden и т. Д.
• Подробности о диске.
• Удаленное или локальное исполнение.
• MAC-адрес машин.

Вы можете использовать такие инструменты, как Windows LNK Parsing Library или LECmd, для анализа содержимого этих файлов.

6. Списки переходов: они содержат информацию о недавно использованных приложениях и файлах. Эта функция была представлена в Windows 7. В Windows можно создавать списки переходов двух типов:

• AUTOMATICDESTINATIONS-MS: Эти списки переходов создаются автоматически, когда пользователь открывает файл или приложение. Они расположены под дорожкой:
  C: Users xxx AppData Roaming Microsoft Windows Recent AutomaticDestinations
• CUSTOMDESTINATIONS-MS: Эти списки переходов настраиваются и создаются, когда пользователь закрепляет файл или приложение. Они находятся в каталоге C: Users xxx AppData Roaming Microsoft Windows Recent CustomDestinations.

Вы можете использовать такие инструменты, как JumpList Explorer, JLECmd или Windows JumpList Parser для анализа списков переходов.

7. Файлы предварительной загрузки. Эти файлы содержат большой объем информации, например:

• Имя приложения.
• Путь к приложению.
• Отметка времени последнего выполнения.
• Отметка времени создания.

Эти файлы могут находиться в каталоге: C: Windows Prefetch . Вы можете использовать такие инструменты, как Windows Prefetch Parser, WinPrefetchView или PECmd.

Лучшие инструменты с открытым исходным кодом для криминалистического анализа Windows

В этом разделе мы обсудим некоторые инструменты с открытым исходным кодом, которые доступны для проведения криминалистического анализа в операционной системе Windows.

1. Магнитно-зашифрованный детектор диска: этот инструмент используется для проверки зашифрованных физических дисков. Этот инструмент поддерживает PGP, зашифрованные тома безопасной загрузки, Bitlocker и т. Д. Вы можете скачать его отсюда.

2. Магнитный захват ОЗУ: этот инструмент используется для анализа физической памяти системы. Вы можете скачать его здесь.

3. Wireshark: это инструмент сетевого анализатора и инструмент захвата, который используется, чтобы увидеть, какой трафик идет в вашей сети. Вы можете скачать его здесь.

4. Захват ОЗУ: как следует из названия, это бесплатный инструмент, который используется для извлечения всего содержимого энергозависимой памяти, то есть ОЗУ. Вы можете скачать его здесь.

5. NMAP: это самый популярный инструмент, который используется для поиска открытых портов на целевой машине. Используя этот инструмент, вы можете найти уязвимость любой цели для взлома. Вы можете скачать его здесь.

6. Network Miner: этот инструмент используется в качестве пассивного сетевого сниффера для захвата или обнаружения портов операционной системы, сеансов, имен хостов и т. Д. Вы можете скачать его отсюда.

7. Вскрытие: это инструмент на основе графического интерфейса пользователя, который используется для анализа жестких дисков и смартфонов. Вы можете скачать его здесь.

8. Forensic Investigator: Это набор инструментов Splunk, который используется для преобразования HEX, преобразования Base64, поиска метасканов и многих других функций, важных для судебного анализа. Вы можете скачать его здесь.

9. HashMyFiles: этот инструмент используется для вычисления хэшей SHA1 и MD5. Он работает на всех последних веб-сайтах. Вы можете скачать его здесь.

10. Crowd Response: этот инструмент используется для сбора системной информации для реагирования на инциденты. Вы можете скачать его здесь.

11. ExifTool: этот инструмент используется для чтения, записи и редактирования метаинформации из ряда файлов. Вы можете скачать его здесь.

12. FAW (судебная экспертиза веб-сайтов): этот инструмент используется для получения изображений веб-страниц, HTML, исходного кода веб-страницы. Этот инструмент можно интегрировать с Wireshark. Вы можете скачать его здесь.

На рынке доступно огромное количество инструментов для криминалистической экспертизы. Некоторые из них бесплатны и имеют открытый исходный код, а некоторые инструменты взимают годовую или ежемесячную плату. Вам просто нужно определить свои требования и выбрать инструмент, который наилучшим образом соответствует вашим требованиям.