Криминалистические Артефакты: доказательства выполнения программы в системах Windows
Во время криминалистического анализа системы Windows часто важно понять, когда и как был запущен конкретный процесс.
Чтобы идентифицировать это действие, мы можем извлечь из целевой системы набор артефактов, полезных для сбора доказательств выполнения программы.
UserAssist
В системе Windows все программы на основе графического интерфейса, запускаемые с рабочего стола, отслеживаются в следующем разделе реестра:
Записи содержат два подраздела GUID ( Выполнение исполняемого файла CEBFF5CD, Выполнение файла ярлыка F4E57C4B ): каждый подраздел поддерживает список системных объектов, таких как программы, ярлыки и апплеты панели управления, к которым обратился пользователь.
Значения реестра в этих подразделах зашифрованы с использованием алгоритма ROT-13, который в основном заменяет символ с позицией другого символа 13 от него в таблице ASCII.
Все значения имеют кодировку ROT-13, например:
Background Activity Moderator (BAM)
BAM — это служба Windows, которая контролирует активность фоновых приложений.
Этот сервис появился в Windows 10 только после обновления Fall Creators — версия 1709
Он предоставляет полный путь к исполняемому файлу, который был запущен в системе, а также дату / время последнего выполнения и расположен в этом пути реестра:
Ветки содержат список путей и исполняемых файлов, а значением каждого из них является время последнего выполнения в формате Filetime (64-битный метод с прямым порядком байтов) в UTC:
RecentApps
!Актуально до версии Windows 10 сборки 1803 (не включительно)
Выполнение программы, запущенной в системе Win10, отслеживается в ключе RecentApps:
Каждый ключ GUID указывает на недавно запущенное приложение:
AppID = Имя приложения
LastAccessTime = Время последнего выполнения в UTC.
LaunchCount = Количество запусков
ShimCache
База данных совместимости приложений Windows используется для выявления возможных проблем совместимости приложений с исполняемыми файлами и отслеживает имя файла исполняемого файла, размер файла, время последнего изменения.
Записи о последних 1024 выполненных программ в ОС хранятся в параметре CacheMainSdb :
Вы можете использовать этот ключ для идентификации систем, на которых было запущено определенное вредоносное ПО, с помощью специального инструмента, такого как ShimCacheParser.py , от Mandiant ( https://github.com/mandiant/ShimCacheParser )
Заметки по параметру CacheMainSdb
- Для Windows 7/8/10 параметр содержит не более 1024 записей
- LastUpdateTime не существует в системах Win 7/ 8/10
Amcache
ProgramDataUpdater (задача, связанная со службой Application Experience ) использует файл Amcache.hve для хранения данных о первом выполнении программы (даже портабельной со съемного носителя). Файл расположен:
Файл можно проанализировать с помощью плагина amcache для программы RegRipper ( https://github.com/keydet89/RegRipper2.8 )
Для получения дополнительной информации об Amcache и Shimcache в криминалистическом анализе, пожалуйста, обратитесь к этой статье: Amcache и Shimcache в криминалистическом анализе
Jump Lists (список прыжков)
Панель задач Windows 7-10 (список переходов) разработана для того, чтобы пользователи могли «переходить» или получать доступ к элементам, которые они часто или недавно использовали.
Данные находятся в папке:
Каждая запись это уникальный файл с добавлением AppID соответствующего приложения.
Файлы списков переходов AutomaticDestinations представляют собой OLE Compound Files , содержащие несколько потоков, из которых:
- шестнадцатеричный номер, например, «1а»
- список
Каждый из шестнадцатеричных пронумерованных файлов содержит данные, аналогичные данным ярлыка Windows.
Данные могут быть извлечены и проанализированы с помощью синтаксического анализатора LNK , например lnk-parse ( https://github.com/lcorbasson/lnk-parse ).
Prefetch
Файлы предварительной загрузки Windows предназначены для ускорения процесса запуска приложения. Файлы Prefetch хранятся в папке
и содержит имя исполняемого файла, список Unicode библиотек DLL, используемых этим исполняемым файлом, счетчик количества выполнений исполняемого файла и отметку времени, указывающую время последнего запуска программы.
В этой папке хранятся данные о последних 128 исполняемых файлах на Win7 и последних 1024 на Win8-10.
Зачем нужна и где расположена папка AppData в Windows?
В этой статье о папке AppData: где расположена и как найти папку AppData, за что отвечают папки Local, LocalLow, и Roaming . Приложения Windows часто хранят свои данные и файлы настроек в папке AppData. Причём, AppData есть в папке каждого пользователя конкретного компьютера. По умолчанию папка AppData является скрытой, и увидеть её можно только отобразив скрытые файлы и папки.
Как найти папку AppData
Для аккаунта каждого пользователя Windows есть своя папка AppData, и содержит она данные именно того пользователя в папке которого находится. Это даёт возможность программам и приложениям Windows хранить несколько вариантов настроек на компьютере, который одновременно используется несколькими пользователями.
Папка AppData (что является сокращением от Application Data) впервые появилась в Windows Vista и присутствует во всех современных версиях операционной системы: Windows 7, 8 и 10.
Найти AppData можно в папке с именем пользователя. Так, в папке моего пользователя с именем Valery папка AppData расположена по адресу:
Как уже упоминалось выше, по умолчанию данная папка является скрытой. Но если в адресную строку файлового менеджера вбить %APPDATA% и нажать Enter, то откроется AppData текущего пользователя.
Папки Local, LocalLow, и Roaming
Папка AppData включает в себя три папки: Local, LocalLow, и Roaming. Разные программы и приложения хранят разные типы настроек и своих данных в каждой из них.
Roaming
Папка Roaming состоит из данных, которые переходят за пользователем от одного компьютера к другому, по причине их синхронизации или если компьютер подсоединён к домену с роумингом профайла. Часто – это важные данные и настройки приложений.
Например, вы здесь найдёте профайл пользователя Google Chrome, Mozilla Firefox и Opera, в которых сохранены закладки и другие данные браузера, которые переходят вместе с пользователем от компьютера к компьютеру. Также здесь хранятся некоторые данные аккаунтов Viber, Skype, антивирусных программ и виртуальных машин.
Local
В папке Local хранятся данные, которые относятся к одному конкретному компьютеру. Они никогда не синхронизируются с другими ПК, даже если компьютер находится в домене. Это специфические данные для конкретного компьютера или файлы большого размера. Это может быть кэш программ и приложений или настройки, синхронизация которых разработчиками не предусмотрена.
Если компьютер не находится в сети, то большой разницы между папками Roaming и Local не будет. Все данные будут хранится только на ПК. Тем не менее, данные таких папок по умолчанию разделяются разработчиками приложений.
LocalLow
Папка LocalLow предназначена для сохранения данных приложений со «слабой интеграцией» (“low integrity”). Таких, которые работают с более ограниченными настройками безопасности. Она предназначена в основном для буферных данных, генерируемых Internet Explorer, Java и программами от Adobe. Например, при использовании браузера в защищённом режиме или режиме инкогнито, он будет иметь доступ только к папке LocalLow.
Если программе или приложению требуется иметь один набор настроек или данных для нескольких или всех пользователей компьютера, то для этого будет использована папка ProgramData. В более ранних версиях Windows для этого использовалась папка AppdData пользователя «Общие» (“All Users”).
Антивирусные программы, например, в папке ProgramData сохраняют логи сканирования и настройки, которые являются общими для всех пользователей.
Но бывают и исключения. Например, Google Chrome хранит все свои настройки и данные пользователя в папке Local. Хотя, теоретически, такие данные должны храниться в папке Roaming. И такие случаи не единичны.
Так, некоторые приложения хранят настройки в корневой папке аккаунта пользователя ( C:\Пользователи\ИмяПользователя\ ), или в документах ( C:\Пользователи\ИмяПользователя\Документы ). Другие, могут хранить свои данные в любом другом месте системы. В Windows, разработчики приложений имеют возможность настраивать их таким образом, что данные будут хранится в любом удобном месте.
Нужно ли резервировать и можно ли удалять данные папки AppData
Большинство пользователей Windows даже не подозревает о существовании папки AppData. Рядовому пользователю компьютера знать о ней нет необходимости. Поэтому она и является скрытой по умолчанию. Данная папка предназначена для хранения программами и приложениями в ней своих служебных данных, и пользователи как правило обращаются к ней только в случае крайней необходимости.
В принципе, необходимости делать резервную копию всей папки нет необходимости. Тем не менее, в ней хранится вся история переписок большинства мессенджеров (как Viber, Skype или Messenger), а также история некоторых браузеров (как Google Chrome). В резервном копировании таких данных, смысл конечно же есть.
И наоборот, в случае удаления или утери одной из папок в AppData, пользователь рискует утерять доступ к важным данным того или иного приложения.
Резервное копирование данных программ и приложений, которые хранятся в AppData, часто сводится к простому копированию их в другое место. Для того, чтобы восстановить их, папку с такими данными достаточно скопировать обратно в то же место папки AppData другого или нового компьютера. В результате, программа или приложение будут использовать данные или настройки из созданной раннее резервной копии.
Только имейте ввиду, что то, будет ли программа корректно использовать данные из резервной копии зависит от свойств каждого отдельного приложения.
Исходя из описанного выше, рекомендуем не вносить никаких изменений в папку AppData если вы не уверены в своих действиях на сто процентов и без крайней на то необходимости.
Как удалить следы работы в Windows
В этой статье я покажу, как удалить следы работы в Windows 10. Мы будем удалять временные файлы, кеш и историю браузеров (Edge Firefox, Chrome, Opera, Яндекс.Браузер), чистить реестр и удалять кеш DNS.
Куки, история посещений, сохраненные пароли, данные из реестра Windows — все эти драгоценности могут попасть в чьи-нибудь грязные руки, если эти руки доберутся до клавиатуры вашего компьютера. Вот почему очень важно уметь удалять логи, кеши и прочие кукисы, чтобы кто-нибудь случайно не выведал информацию, которую лучше держать при себе.
Как удалить следы работы в Windows 10
Windows, словно романтичная барышня, бережно хранит теплые воспоминания о недавно открытых юзером документах и запущенных программах. Чтобы удалить следы работы Windows, можно воспользоваться какой-нибудь подходящей программой, но они не всегда работают корректно. Есть гораздо более простой и действенный метод — без всяких там хитрых утилит и прочего ламерства.
Нажмите Windows + R и в открывшемся окошке набирайте recent , после чего не забудьте нажать Enter. Перед вами— список всех файлов и папок, к которым текущий пользователь обращался в последнее время. Выделяем содержимое этой папки нажатием Ctrl + A и нажимаем Del.
Теперь аналогичным образом удалим следы работы в следующих папках:
Там хранятся пути к файловым объектам, используемым приложениями Windows. Чтобы автоматизировать процесс, можно использовать вот такой скрипт:
Следует сохранить скрипт в простом текстовом файле, присвоить ему расширение .bat и запускать всякий раз, когда у вас возникнет желание удалить следы.
Чтобы в Windows 10 отключить показ часто используемых программ в главном меню, нажми Windows + R, наберите в открывшемся поле ms-settings:personalization , в окне «Параметры» щелкните крысой на значке «Пуск», после чего отключите функции «Показывать недавно добавленные приложения», «Показывать наиболее часто используемые приложения» и «Показывать последние открытые элементы в списках переходов меню „Пуск“».
Отключить показ часто используемых программ Windows
Напоследок можно удалить историю файлового менеджера Windows, которую он пихает повсюду: в адресную строку, в виртуальную папку «Быстрый доступ», показывает, если щелкнуть правой клавишей мыши на значке запущенного проводника в панели задач, и даже использует для автозаполнения в окошке «Выполнить».
Запускаем проводник, открываем вкладку «Вид» и нажимаем кнопку «Параметры». В разделе «Конфиденциальность» сбрасываем оба флажка и нажимаем на кнопку «Очистить».
Удаление следов работы в проводнике Windows
Было бы очень неплохо, если бы Windows все-таки научилась самостоятельно прибивать лишние файлы после завершения сессии пользователя. Это можно настроить с помощью локальных групповых политик.
Нажмите Windows + R, наберите в окне «Выполнить» строку gpedit.msc , не забудьте Enter. Откройте раздел «Конфигурация пользователя → Административные шаблоны → Меню «Пуск» и панель задач» и включите перечисленные ниже политики:
- «Очистить журнал недавно открывавшихся документов при выходе»;
- «Очистка списка недавно использовавшихся программ для новых пользователей»;
- «Очистить уведомления на плитке при выходе»;
- «Удалить список программ, закрепленных в меню „Пуск“»;
- «Удалить список часто используемых программ в меню „Пуск“»;
- «Отключить слежение за действиями пользователя»;
- «Не хранить сведения о недавно открывавшихся документах»;
- «Удалить меню „Недавние документы“ из меню „Пуск“»;
- «Не отображать и не отслеживать элементы переходов в списках удаленных расположений»;
- «Удалить список „Недавно добавленные“ из меню „Пуск“».
Удаление следов с помощью локальных политик
Удаление временных файлов Windows
Временные файлы не только занимают место на диске (которого и без того никогда не хватает), но и порой содержат много полезной инфы. Вам наверняка доводилось восстанавливать из .tmp-файлов вордовские документы, когда у пользователя неожиданно заканчивалось электричество, а заранее купить бесперебойник он пожмотился. Понятно, что аналогичную операцию может при желании проделать кто угодно. Windows 10 хранит временные файлы в нескольких папках, которые можно отрыть, набрав соответствующий путь в окошке «Выполнить» (Windows + R):
- %temp% (она же C:\Users\%Username%\AppData\Local\Temp ) — временные файлы пользователей;
- %windir%\temp — временные файлы самой операционной системы;
- %windir%\Prefetch — кеш файлов для ускорения загрузки Windows и приложений.
Можно почистить содержимое этих папок вручную, а можно использовать скрипт:
При запуске скрипт удалит все временные файлы, которые в данный момент не заняты другими процессами. Можно запускать его вручную или по расписанию. А можно сделать то же самое с помощью графического, извиняюсь за выражение, интерфейса пользователя.
Откройте главное меню и в окне «Параметры» перейдите в раздел «Система –> Память». Кликните по надписи «Временные файлы», затем установите все флажки на следующем экране и нажмите «Удалить файлы».
Удаление временных файлов Windows
Удаление кеша и истории браузеров
Windows хранит временные интернет-файлы пользователя в папке %USERPROFILE%\Local Settings\Temporary Internet Files , а кукисы — в %USERPROFILE%\Cookies . К обеим папкам у пользователя нет доступа даже под локальным админом — эти ограничения введены в целях безопасности. Поэтому содержимое кеша и файлы cookies можно удалить вручную, благо настройки браузеров позволяют это делать с легкостью.
Наследник Internet Explorer — программа Edge служит только для того, чтобы пользователи Windows 10 имели возможность скачать нормальный браузер.
Тем не менее для порядка следует упомянуть и его: нажмите по кнопке […] в правом верхнем углу окна Edge, выберите в открывшемся списке пункт «Параметры», в нем — «Конфиденциальность и безопасность». Нажми на кнопку «Выберите, что нужно очистить» в разделе «Очистить данные браузера», установите все флажки и нажмите на кнопку «Очистить».
Удаление следов работы браузера Microsoft Edge
Firefox
Откройте меню щелчком мыши на соответствующей кнопке в правом верхнем углу окна браузера и в появившемся списке выберите «Настройки», затем — «Приватность и защита». Найдите раздел «Куки и данные», нажми «Удалить данные», установите в открывшемся окне все флажки и нажмите «Удалить».
Удаление следов работы браузера Firefox
Chrome
Здесь тоже нужно щелкнуть по кнопке в правом верхнем углу, перейти в раздел «Настройки → Конфиденциальность и безопасность → Очистить историю». В открывшемся окне выберите в меню пункт «Все время», установите соответствующие флажки и нажмите «Удалить данные».
Удаление следов работы Chrome
По умолчанию Chrome удаляет все данные и локально, и из профайла Google, если пользователь залогинен в аккаунте. Чтобы сохранить историю браузера и кукисы в облаке Google, перед очисткой хранилища браузера нужно выйти из учетной записи.
Opera
Здесь схема действий аналогична: кнопка в правом верхнем углу — кнопка «Очистить» в разделе «Конфиденциальность и безопасность», после чего нужно выбрать в меню пункт «Все время», установить флажки и нажать «Удалить данные».
Яндекс.Браузер
Здесь нужно нажать кнопку «Настройки Яндекс.Браузера» в самой верхней панели, перейти в раздел «История» и щелкнуть по надписи «Очистить историю» слева внизу. Появится уже знакомое окошко с выбором периода и флажками подлежащих удалению типов данных. Выбираем нужные пункты и жмем «Очистить».
Удаление следов работы в реестре Windows
В системном реестре Windows хранится много всякого мусора полезной информации, которую можно использовать с недобрыми намерениями. Это, например, история недавно подключавшихся к компу USB-девайсов или местоположение файлов.
Проблема в том, что изменить, а тем более удалить некоторые ключи реестра невозможно даже из-под учетки админа, да и работа с ним вручную требует слишком много времени и усилий. Чтобы сэкономить пару лишних часов на что-нибудь более веселое, можно использовать для очистки реестра какую-нибудь бесплатную программу. Например, LittleRegistryCleaner.
Программа довольно простая в использовании. В левой части окна LittleRegistryCleaner показаны разделы реестра и категории хранящихся в них данных. Кнопка «Сканирование реестра» запускает поиск ошибок и лишних ключей, которые можно удалить с помощью кнопки «Устранение неполадок».
Удаление следов в реестре Windows
К слову, с помощью меню «Инструменты» можно запустить удобный инструмент «Менеджер автозагрузки», позволяющий вычистить из автозапуска все лишнее, — нужные изменения будут внесены в реестр автоматически.
Еще одна программа для удаления следов в реестре называется USB Oblivion. Использовать ее даже проще, чем ковырять отверткой в ухе: запускаем утилиту, устанавливаем флажок «Произвести реальную очистку» и нажимаем на кнопку «Очистка».
Удаление истории подключения USB
После этого программа перезапустится под админом, остановит мешающие ей жить службы Windows и удалит из реестра все данные, которые могут нести в себе даже намек на конфиденциальность. После завершения этого утомительного процесса утилита перезагрузит систему, не пугайтесь.
Удаление кеша DNS
DNS — это не только сеть магазинов, торгующих компьютерным барахлом, но и система адресации доменных имен в этих ваших интернетах. Все обращения к DNS-серверам кешируются, причем система хранит их столь же бережно, как бабушка — ползунки своих любимых внуков. Чтобы почистить кеш DNS, выполниte консольную команду ipconfig /flushdns .
Заключение
Конечно, для удаления следов на компьютере, все перечисленные выше действия можно выполнить и с помощью всевозможных специализированных программ вроде какой-нибудь Wise care 365. Но лично я им не доверяю: во-первых, бесплатные утилиты часто тащат за собой кучу рекламного дерьсофта, во-вторых, удаляют информацию они весьма избирательно, что-то периодически упуская, а в-третьих, после криминальных историй с CCleaner использовать подобные инструменты порой себе дороже.
Гораздо надежней все делать вручную или использовать частичную автоматизацию с помощью скриптов, примеры которых я приводил выше. Собрать из них один универсальный скрипт вы сможешь и сами на досуге.