Один частный случай

Персональный раздел для Krec.

Re: Один частный случай

Сообщение andre_m » 25 окт 2012, 12:27

KREC
Обратите внимание на проект RegRipper (RR)
Все равно значения нужных параметров в реестре часто хранятся в зашифрованном виде
и WRR их вам не переведет.
Ну если найдете старый проект Mital'a под названием Windows Registry Analyzer - там есть готовые отчетики по 1.UserAssist, 2.StreamMRU, 3.ShellBags, 4.ProgramsCache, 5.SAM, 6.Windows.
НО WRA давно продан Парабену и стал платным под другим названием.

А RR развивается есть куча полезных плагинов.
RR работает под Perl (Я ставил ActivePerl 5.10 + качал десяток другой доп. модулей с репозиториев).
Да еще в отчете RR есть траблы с переводом кирилицы, но за то все параметры в отчете там расшифрованы.
Самое главное - Perl знать совсем не обязательно.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Один частный случай

Сообщение Krec » 25 окт 2012, 14:26

Антипов Максим писал(а):Митек так обычно на битые файлы ругается.

Krec писал(а):P.S. Собираюсь инфомрацию импортировать и смотреть через парсер/декодер UserAssist (https://didierstevens.com/)

Все правильно делаете, но не обязательно что-то импортировать - этой утилитке можно файлик NTUSER.DAT скормить, она сама все вынет.
P.S. Нужно, чтоб в том каталоге, где NTUSER.DAT лежит запись разрешена была, т.е. лучше его куда-нибудь скопировать, если исследуемый раздел подмонтирован в режиме "только чтение"

Вот оно что !! у меня read-only смонтирован . а я и этот файл пробовал импортировать - не получился !
спасибо большое! спокипровал в свой диск и все нормально схавал UserAssist

Кстати, в UserAssist 2 шкалы измирения: Last(последняя дата изминения) и Last UTC(последняя дата по UTC)
У нас же виндовс в России по GMT, зачит мне надо посмотреть только графу "Last" ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 25 окт 2012, 15:11

andre_m
Ну если найдете старый проект Mital'a под названием Windows Registry Analyzer - там есть готовые отчетики по 1.UserAssist, 2.StreamMRU, 3.ShellBags, 4.ProgramsCache, 5.SAM, 6.Windows.
НО WRA давно продан Парабену и стал платным под другим названием.

А можете сказать как называеться ? может куплю, если не стоит как EnCase :D

А RR развивается есть куча полезных плагинов.
RR работает под Perl (Я ставил ActivePerl 5.10 + качал десяток другой доп. модулей с репозиториев).
Да еще в отчете RR есть траблы с переводом кирилицы, но за то все параметры в отчете там расшифрованы.
Самое главное - Perl знать совсем не обязательно.

да, читал про RR и скриптами.. правда пока как то не рискую работать с скриптами, ибо не понимаю всю концепцию анализа. по этому хочу ПО с GUI, чтоб наглядно понять что к чему, ну а потом можно будет и скриптами работать. Я когда то вроде изучал perl даже )))
И тут облом почему то:
Изображение

Компютер был использован промежутке 11.09.2012(после 18:00) до 12.09 (до 12:00), т.е. в этом промежутке не было никого в офисе, и компьютер был даже из сетевого фильтра выключен (шнур питания снят), а в 12-го числа каким тообразом он оказался включенном и заже загруженным vk.com страницей.
Странно все это, но нигде немогу найти данные в этом промежутке.. Там был установлен ccleaner, я лично чистил там все 15-20 дней назад до инцидента (по просьбе руководства), но вот как видно по скрину - ccleaner больше не использовался.. Тогда вопрос - каким образом уничтожили все записи? И не ужели нигде нет информацию, хотяб понять точное время инцидента.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Антипов Максим » 25 окт 2012, 16:18

Krec писал(а):Кстати, в UserAssist 2 шкалы измирения: Last(последняя дата изминения) и Last UTC(последняя дата по UTC)
У нас же виндовс в России по GMT, зачит мне надо посмотреть только графу "Last" ?

Это если часовой пояс исследуемой ЭВМ совпадает с Вашим, иначе временные метки могут поплыть.
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Один частный случай

Сообщение Константин » 27 окт 2012, 23:14

А вообще, если честно, сначала было прикольно - весело так. А сейчас уже не смешно. Этак у меня не будет получаться MS Office 2003 установить (ошибка - "не хватает свободного места на диске c") и я буду всех задалбывать. В отдельной ветке. Krec, уже надоело - нормальный компьютерщик (даже не forensics) должен сам разбираться с такими вопросами :twisted: (ИМХО)
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 28 окт 2012, 23:22

С какими вопросами? это не стандартные проблемы как бы.. да и в файловом анализе я плохо соображаю.
да и вам, че жалко чтоли? Или если не нравиться - не отвечайте, кто вас заставялет?
Так говорите, как будто вас заставляют... лучще вообще не помогать нивчем, чем в чем то мопогать , а потом такое одолжение делать.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Константин » 29 окт 2012, 00:51

Krec писал(а):да и вам, че жалко чтоли?

Да не жалко - все такими были когда-то. Просто с определенного момента нужно уже перестать спрашивать и пытаться разобраться самому. Ответы на многие из Ваших вопросов имеются в доступных публикациях.
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 29 окт 2012, 00:57

Константин писал(а):
Krec писал(а):да и вам, че жалко чтоли?

Да не жалко - все такими были когда-то. Просто с определенного момента нужно уже перестать спрашивать и пытаться разобраться самому. Ответы на многие из Ваших вопросов имеются в доступных публикациях.

не сказал бы.. в таких публикациях пишут общие термины, а для всего это надо опыт, который у меня нету и неоткуда учиться. По этому приходится спрашивать в форумах.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение xxx2x » 29 окт 2012, 16:25

Девочки не ссорьтесь...

Ps: простите не удержался. :D
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Один частный случай

Сообщение Tapko_o » 07 ноя 2012, 21:51

Krec писал(а):andre_m
А не подксажете каким софтом можно "налету" снимать образ dd ? т.е. не загрузится с Live-cd , а просто из флешки запустить ПО/скрип и чтоб он автоматом создал образ на указаном несте ?
или это фантастика?

Не знаю ответили Вам или нет, но думаю, что мы должны друг-другу помогать (делиться опытом).
Я заливаю на флешку Сlonezilla, и использую ее для снятия образа (отправляю на внеш. жесткий диск). Ранее загружаясь с live-CD собственной сборки я в паре с clonezilla использовал стандартную программа UNIX - dd (перестраховывался).
Tapko_o
 
Сообщения: 10
Зарегистрирован: 07 ноя 2012, 21:33
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 16 ноя 2012, 21:29

Tapko_o писал(а):
Krec писал(а):andre_m
А не подксажете каким софтом можно "налету" снимать образ dd ? т.е. не загрузится с Live-cd , а просто из флешки запустить ПО/скрип и чтоб он автоматом создал образ на указаном несте ?
или это фантастика?

Не знаю ответили Вам или нет, но думаю, что мы должны друг-другу помогать (делиться опытом).
Я заливаю на флешку Сlonezilla, и использую ее для снятия образа (отправляю на внеш. жесткий диск). Ранее загружаясь с live-CD собственной сборки я в паре с clonezilla использовал стандартную программа UNIX - dd (перестраховывался).

Спасибо. уже с live-CD начал делать :)
щас пока бьюсь с этим образом.. немогу найти никаких следов в этом промежутке. все или старое, или новое, а именно на эту дату ничего нету.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Igor Mikhaylov » 17 ноя 2012, 10:59

А системные дата/время компьютера, жесткий диск которого вы исследуете, точно соответствовали реальным?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Один частный случай

Сообщение Krec » 30 ноя 2012, 03:09

Igor Michailov писал(а):А системные дата/время компьютера, жесткий диск которого вы исследуете, точно соответствовали реальным?

да. там системный блок пломбирован был, фирменным наклейкой сборщика.
А дата тоже верно, т.к. проверил последнее вкулючение - все совпадает, да и логически все остальные даты тоже.
А вот именно этот промежуток снят почему то...
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Пред.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron