Tổng quan về kiểm tra dấu vết thực thi chương trình (Program Execution)
A. Làm thế nào để biết một chương trình đã được thực thi (hoặc không)?
Khi điều tra sự cố an toàn thông tin, mục tiêu chính của chúng ta là xác định xem chương trình nào đó đã được chạy, thời điểm nào, và từ đâu. Dưới đây là các nguồn dữ liệu trong hệ thống Windows mà bạn có thể kiểm tra:
1. UserAssist:
- Vị trí: Dữ liệu này nằm trong Windows Registry, tại: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
- Ý nghĩa: UserAssist lưu giữ thông tin về các ứng dụng mà người dùng đã chạy từ giao diện đồ họa. Các giá trị trong đây được mã hóa theo ROT13.
- Cách sử dụng: Trích xuất và giải mã để tìm lịch sử thực thi ứng dụng.
2. MRU (Most Recently Used):
- Vị trí: MRU lưu trữ danh sách các file, ứng dụng gần đây nhất mà người dùng mở, nằm ở: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
- Ý nghĩa: Đây là dấu vết quan trọng để xem người dùng đã mở file hoặc ứng dụng nào trước đó.
3. Application Compatibility Cache:
- Vị trí: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
- Ý nghĩa: Lưu lại thông tin về các chương trình được thực thi, thường được cập nhật khi chương trình chạy lần đầu.
- Lưu ý: AppCompatCache có thể bị ghi đè nhanh chóng nếu hệ thống có nhiều ứng dụng được chạy.
4. Prefetch:
- Vị trí: C:\Windows\Prefetch
- Ý nghĩa: Prefetch chứa các file lưu trữ thông tin về những ứng dụng đã được thực thi gần đây. Nó giúp tăng tốc khởi động lần sau.
- Thông tin quan trọng:
- Tên file Prefetch thường chứa tên chương trình và mã hash.
- Timestamp trong file có thể giúp xác định thời điểm thực thi.
5. Executable File Itself (Timestamps):
- Ý nghĩa: Kiểm tra timestamp của file thực thi (Executable) để xác định ngày tạo, chỉnh sửa, hoặc truy cập. Tuy nhiên, các timestamp này có thể bị thay đổi hoặc làm giả.
- Lợi ích: Cung cấp giới hạn thời gian ngoài (outside limit) để xác định thời điểm thực thi.
B: Các nguồn dữ liệu khác trong Windows Forensics
1. Thùng rác (Recycle Bin):
Ý nghĩa: Thùng rác lưu trữ các file bị xóa, nhưng file này chưa thực sự “biến mất” khỏi hệ thống trừ khi bị ghi đè.
=> Vị trí: C:\$Recycle.Bin
2. Print Spool Files:
Ý nghĩa: Lưu lại dấu vết của các lệnh in, bao gồm tên tài liệu và thời điểm in.
Vị trí: C:\Windows\System32\spool\PRINTERS
3. Preview Icons:
Ý nghĩa: Các biểu tượng xem trước (thumbnail) của file từng tồn tại trên hệ thống, kể cả khi file đã bị xóa.
Vị trí: C:\Users\[User]\AppData\Local\Microsoft\Windows\Explorer\ThumbCache
4. Swap/Hibernation File:
Ý nghĩa: File pagefile.sys và hiberfil.sys chứa dữ liệu từ RAM, bao gồm cả thông tin về ứng dụng, mật khẩu, hoặc hoạt động của người dùng.
5. Registry (Windows Registry):
- Ứng dụng:
- Recent Files:
- Lưu lại danh sách file được mở gần đây.
- Vị trí: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
- USB Device History: Truy vết các thiết bị USB từng được kết nối.
- Vị trí: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
- Restore Points: Chứa các bản sao lưu của Registry và file hệ thống.
- Recent Files:
6. Autoruns:
Ý nghĩa: Liệt kê các chương trình tự động chạy khi khởi động hệ thống.
7. Event Log:
- Ý nghĩa: Lưu trữ tất cả các sự kiện xảy ra trên hệ thống, như:
- Thực thi chương trình
- Lỗi hệ thống
- Cập nhật Windows
- Vị trí: C:\Windows\System32\winevt\Logs
Hy vọng các bạn sẽ có được gì đó hữu ích từ cheatsheet windows 4rensic này (づ ̄ 3 ̄)づ
Thật ra chủ post mới bỏ tiền nuôi page nên đăng 1 bài cho đỡ mốc ( ̄y▽, ̄)╭