Вопросы по реестру и не только

Персональный раздел для Krec.

Вопросы по реестру и не только

Сообщение Krec » 07 апр 2013, 00:24

Новое дело у меня :)
поиски ввели к локальному компьютеру и возникли нескоьлко вопрос..
OS - Windows 7 Ultimate

1. Посоветуйте пожалйста нормальную ПО, который считывает NTUSER.DAT файт и дает отчет (расшифрованном виде) ветвь UserAssist. пробовал regdecoderR103 - падает после импорта , UserAssist - при импорте файла(dat) говорит, что нет там ничего, UserAssistview - только локальный показывает. нет возможности цеплять файл.
Очень понравился RegDecoder, но почему то именно при импорте файла NTUSER.DAT рушиться (пробовал как с read-only диском, так и без). с другими ветками реестра из Rapair все ОК
2. что касаеться разделу реестра HKLM\system\currentControlSet\Enum\USBStor - там дата создания только пишеться или дата последнего подключение USB носителей? возможно ли узнать дату последнего подключения? мне кажется там даты регистрации просто, т.к. они сделаны несколько месяцев назад, а в копьютер загружен фотки из фотоаппарата недавно, собственно - была подключена флешка

3. Сделал образ RAW, монтировал и через windows explorer захожу в этот диск (read-only), чтоб просто посмотреть обьем информации визуально - нет ничего, кроме стандартных папок, как будто только установленный windows 7. ставлю галочку отображать скрытые файлы у системные защишенные, то тогда появляются несколько еще, куда не могу зайти(запрешен доступ), загрузил Autopsy и вижу, что там есть папка, в котором и находится весь документ/фото/видео пользователя.
Я вот теперь в недопниманя... это получается пользовтель чем то скрыл папку эту, что даже после разрешение показа скрытых она не отображаеться?
(могу скрины показать, если что)

4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Igor Mikhaylov » 07 апр 2013, 05:19

Krec писал(а):Новое дело у меня :)

Поздравляю.

Krec писал(а):1. Посоветуйте пожалйста нормальную ПО, который считывает NTUSER.DAT файт и дает отчет (расшифрованном виде) ветвь UserAssist. пробовал regdecoderR103 - падает после импорта , UserAssist - при импорте файла(dat) говорит, что нет там ничего, UserAssistview - только локальный показывает. нет возможности цеплять файл.
Очень понравился RegDecoder, но почему то именно при импорте файла NTUSER.DAT рушиться (пробовал как с read-only диском, так и без). с другими ветками реестра из Rapair все ОК

Registry Viewer от AccessData
Сам не юзал, но вот например еще nirsoft.net/utils/userassist_view.html

Krec писал(а):2. что касаеться разделу реестра HKLM\system\currentControlSet\Enum\USBStor - там дата создания только пишеться или дата последнего подключение USB носителей?

Дата создания (первого подключения устройства).

Krec писал(а):возможно ли узнать дату последнего подключения?

Дата/время подключения устройств Plg and Play (и USB устройств в частности) пишется в отдельный лог: setupapi.log (Windows XP), setupapi.dev.log (Windows 7). Setupapi.dev.log, располагается по пути "C:\Windows\inf\". Искать в нём устройство надо по серийному номеру.

Дополнительная информация:
forensicswiki.org/wiki/USB_History_Viewing
forensicmag.com/article/windows-7-registry-forensics-part-6?page=0,1

Krec писал(а):3. Сделал образ RAW, монтировал и через windows explorer захожу в этот диск (read-only), чтоб просто посмотреть обьем информации визуально - нет ничего, кроме стандартных папок, как будто только установленный windows 7. ставлю галочку отображать скрытые файлы у системные защишенные, то тогда появляются несколько еще, куда не могу зайти(запрешен доступ), загрузил Autopsy и вижу, что там есть папка, в котором и находится весь документ/фото/видео пользователя.
Я вот теперь в недопниманя... это получается пользовтель чем то скрыл папку эту, что даже после разрешение показа скрытых она не отображаеться?
(могу скрины показать, если что)

Зацепите FTK Imager’ом и сделайте скрины. Похоже на то, что у вас вредонос сидит в системе.

Krec писал(а):4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

Если специально не потерто, то на компе все и хранится: список контактов, история звонков, чаты.

Chat Examiner, Belkasoft, Forensic Assistant вам в помощь.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 07 апр 2013, 13:37

Registry Viewer от AccessData

Он тоже простооткает, как стандартный regedit.exe, не дешифровывает.
Сам не юзал, но вот например еще nirsoft.net/utils/userassist_view.html

ее юзал - не справился тоже.


setupapi.dev.log (Windows 7). Setupapi.dev.log, располагается по пути "C:\Windows\inf\". Искать в нём устройство надо по серийному номеру.

Нашел файл, весит 3 мб. сам файл последний раз 10 февраля изменен. :( значит тоже неактуальная информация будет там.
Дополнительная информация:
forensicswiki.org/wiki/USB_History_Viewing

Есть такая прога у меня, но он только локально показывает (все очень подробно и понятно). не знаю как скормить ее другим реестром.

Зацепите FTK Imager’ом и сделайте скрины. Похоже на то, что у вас вредонос сидит в системе.

да нужные файлы уже Autopsy перелопатил. Я как понял - немогу зайти в некоторые каталоги, потому что NTFS разрешение не пускает?
вот например один из таких ситуаций:
Изображение

Если специально не потерто, то на компе все и хранится: список контактов, история звонков, чаты.

Мне кажется не потерт.
main.db - около 12 мб весит
в папке chatsync куча папок название которых состоит из 2х цифр или букв, и в каждом файлы типа 8f7a9e02ddd865d6.dat


Chat Examiner, Belkasoft, Forensic Assistant вам в помощь.

Chat Examiner стоит 100$, он точно сможет читать main.db и содержимое папки chatsync ?
Belkasoft 2013 стоит 700-800$ (та версия, которая вполне хватит мне по описанию).
Какой продукт посоветуйте приобрести?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Igor Mikhaylov » 07 апр 2013, 15:11

Krec писал(а):Он тоже простооткает, как стандартный regedit.exe, не дешифровывает.

Дешифровывает. RTFM :evil:

Есть такая прога у меня, но он только локально показывает (все очень подробно и понятно).

Это ссылка на справочные материалы по теме, а не на программу.

Я как понял - немогу зайти в некоторые каталоги, потому что NTFS разрешение не пускает?
вот например один из таких ситуаций:

Documents and Settings в Window 7 нет. Это жесткая ссылка введенная для обратной совместимости. Тут подробнее. А в ходе проводимого исследования вы точно не натыкались на свои данные? Думаю, что декодированная переписка Skype вас приятно удивит. :lol:


Chat Examiner стоит 100$, он точно сможет читать main.db и содержимое папки chatsync ?

Скачайте демку Chat Examiner - он покажет до 15 строчек в найденных данных (т.е. 15 первых контактов, 15 первых вызовов, 15 первых строчек в конкретном чате). Если результат устроит - купите (в принципе, можно воспользоваться и бесплатными утилитами).
Часто, даже того что Chat Examiner отображает в демо-режиме более чем достаточно. :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 07 апр 2013, 20:16

Дешифровывает. RTFM


но как? он просто открывает как обычный редактор реестра!

А в ходе проводимого исследования вы точно не натыкались на свои данные? Думаю, что декодированная переписка Skype вас приятно удивит.

Не понял.. на какие данные? все данные пользователя нашел.. только оказался свежей системой. думаю о поисках преджних файлов. Стоит делать поиск Autopsy или с R-Studio ?

До скайпа пока не дошел. не знаю что там будет. Но мне это очень важно, т.к. акцент сделан на переписки.

P.S. Кстати, выявнить софт пиратский или лицензионный - это "забота" этсперта? если да, то как и где проверить валидность ? или только с документами?
Компьютер стоял дома, на нем фотошоп и офис новый. 95% уверен, что пиратский софт.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Igor Mikhaylov » 07 апр 2013, 20:26

Krec писал(а):Компьютер стоял дома, на нем фотошоп и офис новый. 95% уверен, что пиратский софт.

На статью все равно не хватит. А если нет разницы, зачем заморачиваться?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 07 апр 2013, 23:09

На статью все равно не хватит. А если нет разницы, зачем заморачиваться?


почему не хватает? для домашних пользователей нарушение авторских прав не канает? сумма ушерба вроде за 50к.
---------

Скайпом разобрался. софт от Paraben справился на ура. Купил.
Если бы еще учиться как оттуда диалоги импортировать в html или pdf, было бы вообще шикарно.

остались вопросы открыты :

1. насчет UserAssist (как получить дешифрованные данные из реестра)
2. есть такой замечательный софт - USBDeview ( http://www.nirsoft.net/utils/usb_devices_view.html )
как скормить его реестром смонтированного диска?

3. R-Studio твердо утверждает, что на HDD нет никаких удаленных файлов (только несколько картинок и все). чем можно еще пробовать? там видимо был форматирован HDD, и с нуля установлен все.
хотел бы достать файлы из старой системы
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Aital » 07 апр 2013, 23:35

Krec писал(а):4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

SkypeLogView
Aital
 
Сообщения: 55
Зарегистрирован: 21 фев 2012, 13:34
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 08 апр 2013, 03:27

Aital писал(а):
Krec писал(а):4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

SkypeLogView

читаем внимательно:
Скайпом разобрался. софт от Paraben справился на ура. Купил.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Igor Mikhaylov » 08 апр 2013, 05:14

Krec писал(а):
На статью все равно не хватит. А если нет разницы, зачем заморачиваться?

почему не хватает? для домашних пользователей нарушение авторских прав не канает? сумма ушерба вроде за 50к.

больше 100т.р.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 10 апр 2013, 02:19

Восстановил фотографии после удаления (точнее форматирования), в папке 10 файлов, 2 только рабочие, а те 8 не открываются, хотя по весу похоже на рабочие.. Можно ли ручным как то "чинить" эти файлы?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Igor Mikhaylov » 10 апр 2013, 05:00

1)Попробуйте разные утилиты восстановления.
2)Пробегитесь по диску демо-версией http://www.thumbnailexpert.com/ (ее функционала вполне достаточно. чтобы определиться не застряли ли где-то в базах миниатюр интересные вам файлы).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 11 апр 2013, 04:06

Ок. спасибо, попробую.

Вот один "организационный" вопрос..
нашел интересную переписку для дела, методом поиска по адресу почты.
он кроме того, что находится в наразмеченном томе (как я понял), еще и в кодированном виде, с кучей мусора. я то декодировал и получил читаемый текст, но вот как это оформить в документе? что/откуда и в каком виде выставить это?
вот скрин этого момента:
Изображение
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Вопросы по реестру и не только

Сообщение Антипов Максим » 11 апр 2013, 12:31

Krec писал(а):...в наразмеченном томе (как я понял)...

Странно... Что по этому поводу таблица разделов говорит? FTK Imager? Unallocated раздел, или нет? Гадание на кофейной гуще здесь как бы не уместно...
Krec писал(а):...еще и в кодированном виде, с кучей мусора. я то декодировал и получил читаемый текст, но вот как это оформить в документе? что/откуда и в каком виде выставить это?

1. Если раздел все же не размечен, и остатков хоть какой-нибудь фс там не нашлось (надеюсь средства для поиска остатков фс имеются?) - вполне будет достаточно использовать привязку к логической нумерации секторов, а в заключении написать примерно так: "В не размеченной области НЖМД в цепочке секторов начиная с сектора с номером Х до сектора с номером У (считая с начала НЖМД) обнаружены закодированные данные, содержащие строку "ХХХ". Если обнаруженные данные имеют хоть какую-нибудь узнаваемую структуру (EML к примеру) - не стесняться указать и это.
2. Если обнаружилась хоть какая-то фс - искать какие в ней есть сведения об обнаруженных секторах (Браян Кериор в помощь - ибо перепечатывать его сюда смысла не вижу).
3. Еще в обязательном порядке, для избежания разночтений и лишних вопросов стоит указать, чем декодировались обнаруженные данные для приведения в читаемый вид.
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 11 апр 2013, 15:01

Странно... Что по этому поводу таблица разделов говорит? FTK Imager? Unallocated раздел, или нет? Гадание на кофейной гуще здесь как бы не уместно...

этот файл с данными обнаружен на "диске С", где и стоит система. Вот предварительное дерево в FTK
Изображение

Этот файл нашел в Partition 2, т.к. пока только этот логический диск анализирую.
А вот дерево этого раздела:
Изображение

Я как то запутался :( подскажите пожалуйста как это в разделе NTFS (на нем стоит система) еще и есть раздел Unallocated space ? Это что значит и как быть в такой ситуации?
надеюсь средства для поиска остатков фс имеются?

:roll: Autopsy умеет это делать ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

След.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron