Один частный случай

Персональный раздел для Krec.

Re: Один частный случай

Сообщение Krec » 14 окт 2012, 18:44

Igor Michailov писал(а):много чего :D

подскажете ? :D
хотяб общию информацию, например что , а где находиться - уже сам попробую. просто анализом файловых систем я слаб и нет практики особого .
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 18 окт 2012, 02:15

У меня возникли 2 вопроса, кто может, помогите пожалйста:

1. Почему то реестр не могу открыть как надо... монтировал диск, скачал WRR, оказал файл NTUSER.DAT пользователя(одинственный пользователь в системе, не считая профили по умолчанию), но там в разделе, где должен быть реестр - такая картина:
Изображение

не могу понять где основные ветки реестра.

2. С помощью программы HstEx ( http://kb.digital-detective.co.uk/display/HstEx3/Home ) вроде восстановил удаленную историю хрома.. почему вроде, потому что создал файл, с расширением .hstx, теперь вот не знаю чем открыть, чтоб изучать что к чему там..
может кто то работал с этой программой и знает чем открыть ее файлы?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение drloser » 18 окт 2012, 02:27

Krec писал(а):... создал файл, с расширением .hstx, теперь вот не знаю чем открыть...
Этим http://kb.digital-detective.co.uk/display/NetAnalysis1/Home
Все съедено до нас
Аватара пользователя
drloser
Член клуба
 
Сообщения: 1108
Зарегистрирован: 22 июн 2011, 08:06
Откуда: Нигерия в снегах
Благодарил (а): 12 раз.
Поблагодарили: 50 раз.

Re: Один частный случай

Сообщение Krec » 18 окт 2012, 03:01

drloser писал(а):
Krec писал(а):... создал файл, с расширением .hstx, теперь вот не знаю чем открыть...
Этим http://kb.digital-detective.co.uk/display/NetAnalysis1/Home

больше нечем? а то evalution версия не позволяет открыть :(
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение drloser » 18 окт 2012, 05:03

Krec писал(а):больше нечем?
Неа. Порекомендую, если еще не известен ресурс http://www.browserforensics.com/. Там должны быть ответы на большинство вопросов: что, как и чем.
Все съедено до нас
Аватара пользователя
drloser
Член клуба
 
Сообщения: 1108
Зарегистрирован: 22 июн 2011, 08:06
Откуда: Нигерия в снегах
Благодарил (а): 12 раз.
Поблагодарили: 50 раз.

Re: Один частный случай

Сообщение raider79 » 18 окт 2012, 09:59

Krec писал(а):1. Почему то реестр не могу открыть как надо... монтировал диск, скачал WRR, оказал файл NTUSER.DAT пользователя(одинственный пользователь в системе, не считая профили по умолчанию), но там в разделе, где должен быть реестр - такая картина:
Изображение

не могу понять где основные ветки реестра.

картина правильная. остальные ветки лежат в \Windows\System32\Config\ также в виде отдельных файлов. учите матчасть.
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение Krec » 18 окт 2012, 21:50

raider79

да, да )) спасибо, действительно там находятся... я просто не думая как в книге написано было так и делал )) теперь буду знать.

К сожалению USB накопителей не были зарегистрированы в этот промежуток времени...
что еще может дать полезного реестр в моем случае?

P.S. С историей браузера пока вожусь, посмотрю получится что то выяснить..
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 19 окт 2012, 22:36

че то нет никаких зацепок :( как будто знающий человек за компьютером был, т.е. знал где что подтереть...

Поставил даже HstEx, восстановил удаленные записи, я думал "повезло", щас там будет стертая история хрома.
кое как открыл историю, а там почему то на промежуток 21.05.2011 до 15.06.2011 г. , тоже не могу понять почему..


все ? больше ничего нельзя выяснить ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение miapress » 21 окт 2012, 16:59

а давайте для krec-а выделим отдельную ветку на форуме... :)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Один частный случай

Сообщение Krec » 21 окт 2012, 23:09

miapress писал(а):а давайте для krec-а выделим отдельную ветку на форуме... :)

:mrgreen: назначить мне там модетатором.

А по делу никто не сможет ничего сказать? нет никаких timestamp на этот промежуток, А логи все стерты .
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Igor Mikhaylov » 22 окт 2012, 10:08

miapress писал(а):а давайте для krec-а выделим отдельную ветку на форуме... :)

Легко viewforum.php?f=94
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Один частный случай

Сообщение Krec » 22 окт 2012, 14:41

Igor Michailov писал(а):
miapress писал(а):а давайте для krec-а выделим отдельную ветку на форуме... :)

Легко viewforum.php?f=94

:mrgreen: спасибо за заботу))))))))))
Это не будет влиять на "помощь" ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Igor Mikhaylov » 22 окт 2012, 15:18

ну не знаю
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Один частный случай

Сообщение Krec » 25 окт 2012, 03:38

Подскажите пожалуйста где находится данные UserAssist на образе диска?

на "живом" системе они находятся по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Ну я по этой логите думал загружу через WRR ветку Software из [disk:]\WINDOWS\repair\software
перешел раздел $$$PROTO.HIV\Microsoft\Windows\CurrentVersion\Explorer, но там нету подраздела UserAssist

ну думал искать тогда в других местах.. нашел его в файле [disk:]\Documents and Settings\Admin\NTUSER.DAT
по адресу: $$$PROTO.HIV\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
но радость не длилось долго, почему то при попытке зайти папку, где основная информция - получил такую ошибку:
Изображение

может кому то знаком из за чего эта ошибка и как снять инфомрацию оттуда ?
пробовал даже импортировать этот раздел реестра - тоже самая ошибка выдает.

P.S. Собираюсь инфомрацию импортировать и смотреть через парсер/декодер UserAssist (https://didierstevens.com/)
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Антипов Максим » 25 окт 2012, 11:33

Митек так обычно на битые файлы ругается.

Krec писал(а):P.S. Собираюсь инфомрацию импортировать и смотреть через парсер/декодер UserAssist (https://didierstevens.com/)

Все правильно делаете, но не обязательно что-то импортировать - этой утилитке можно файлик NTUSER.DAT скормить, она сама все вынет.
P.S. Нужно, чтоб в том каталоге, где NTUSER.DAT лежит запись разрешена была, т.е. лучше его куда-нибудь скопировать, если исследуемый раздел подмонтирован в режиме "только чтение"
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Пред.След.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron