Im vierten Praktikum üben wir uns an der Analyse von NTFS-Dateisystemen und der Untersuchung der Windows-Registry.

NTFS-Analyse

Sie untersuchen hierfür das in Praktikum 2 erstellte Image partition_1.dd. Bestätigen Sie zunächst die Unverändertheit der Partition.

Wir bestimmen die Unverändertheit der Partition, indem wir die Hashsumme berechnen und mit unseren Notizen abgleichen.

$ sha256sum partition_1.dd 
cc224419f690065a653efa9cb58dbf546b72e7db752fe71229bfb4d11dd8e685  partition_1.dd

Die Hashsummen stimmen überein. An partition_1.dd ist somit keine Veränderung vorgenommen worden.

Schreiben Sie anschließend den ersten Block der Partition nach partition_1_boot.dd und vermerken Sie dessen Hashwert.

$ dd if=partition_1.dd of=partition_1_boot.dd bs=512 count=1\n1+0 Datensätze ein\n1+0 Datensätze aus\n512 Bytes (512 B) kopiert, 4,2755e-05 s, 12,0 MB/s

$ sha256sum partition_1_boot.dd \n3465621fa66dfbebd42a10e53473eeee45ed10916de4980dc4799c2b08c043f6  partition_1_boot.dd

Da wir in den folgenden Aufgaben den Hexdump benötigen, geben wir ihn an dieser Stelle gleich vollständig aus.

$ xxd partition_1_boot.dd \n0000000: eb52 904e 5446 5320 2020 2000 0208 0000  .R.NTFS    .....\n0000010: 0000 0000 00f8 0000 3f00 ff00 0008 0000  ........?.......\n0000020: 0000 0000 8000 8000 ff17 9c00 0000 0000  ................\n0000030: 0000 0400 0000 0000 0200 0000 0000 0000  ................\n0000040: f600 0000 0100 0000 4e70 500e 9b50 0e5c  ........NpP..P.\n0000050: 0000 0000 fa33 c08e d0bc 007c fbb8 c007  .....3.....|....\n0000060: 8ed8 e816 00b8 000d 8ec0 33db c606 0e00  ..........3.....\n0000070: 10e8 5300 6800 0d68 6a02 cb8a 1624 00b4  ..S.h..hj....$..\n0000080: 08cd 1373 05b9 ffff 8af1 660f b6c6 4066  ...s......f...@f\n0000090: 0fb6 d180 e23f f7e2 86cd c0ed 0641 660f  .....?.......Af.\n00000a0: b7c9 66f7 e166 a320 00c3 b441 bbaa 558a  ..f..f. ...A..U.\n00000b0: 1624 00cd 1372 0f81 fb55 aa75 09f6 c101  .$...r...U.u....\n00000c0: 7404 fe06 1400 c366 601e 0666 a110 0066  t......f`..f...f\n00000d0: 0306 1c00 663b 0620 000f 823a 001e 666a  ....f;. ...:..fj\n00000e0: 0066 5006 5366 6810 0001 0080 3e14 0000  .fP.Sfh.....>...\n00000f0: 0f85 0c00 e8b3 ff80 3e14 0000 0f84 6100  ........>.....a.\n0000100: b442 8a16 2400 161f 8bf4 cd13 6658 5b07  .B..$.......fX[.\n0000110: 6658 6658 1feb 2d66 33d2 660f b70e 1800  fXfX..-f3.f.....\n0000120: 66f7 f1fe c28a ca66 8bd0 66c1 ea10 f736  f......f..f....6\n0000130: 1a00 86d6 8a16 2400 8ae8 c0e4 060a ccb8  ......$.........\n0000140: 0102 cd13 0f82 1900 8cc0 0520 008e c066  ........... ...f\n0000150: ff06 1000 ff0e 0e00 0f85 6fff 071f 6661  ..........o...fa\n0000160: c3a0 f801 e809 00a0 fb01 e803 00fb ebfe  ................\n0000170: b401 8bf0 ac3c 0074 09b4 0ebb 0700 cd10  .....<.t........\n0000180: ebf2 c30d 0a41 2064 6973 6b20 7265 6164  .....A disk read\n0000190: 2065 7272 6f72 206f 6363 7572 7265 6400   error occurred.\n00001a0: 0d0a 4e54 4c44 5220 6973 206d 6973 7369  ..NTLDR is missi\n00001b0: 6e67 000d 0a4e 544c 4452 2069 7320 636f  ng...NTLDR is co\n00001c0: 6d70 7265 7373 6564 000d 0a50 7265 7373  mpressed...Press\n00001d0: 2043 7472 6c2b 416c 742b 4465 6c20 746f   Ctrl+Alt+Del to\n00001e0: 2072 6573 7461 7274 0d0a 0000 0000 0000   restart........\n00001f0: 0000 0000 0000 0000 83a0 b3c9 0000 55aa  ..............U.

Ermitteln Sie Sektor- und Clustergröße.

• Sektorgröße (Offset 11-12): 0002 = 0x0200 = 512 Byte pro Sektor
• Clustergröße (Offset: 13): 08 = 0x08 = 8 Sektoren pro Cluster

Wir verfizieren unsere Berechnung durch fsstat.

$ fsstat partition_1.dd

[...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

[...]

Wie ist die Größe des Dateisystems in Byte?

• Dateisystemgröße (Offset 40-47): ff17 9c00 0000 0000 = 0x9c17ff = 10.229.759 HDD-Blöcke
• 10.229.759 HDD-Blöcke = 5.237.636.608 Byte
• 5.237.636.608 Byte ≈ 5.114.879 KiB ≈ 4.995 MiB ≈ 4,9 GiB

Wir verfizieren unsere Berechnung durch fsstat.

$ fsstat partition_1.dd

[...]

CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 1278718
Total Sector Range: 0 - 10229758

[...]

In welchem Cluster liegt der Beginn der MFT?

• Clusterbeginn (Offset 48-55): 0000 0400 0000 0000 = 0x40000 = 262.144

Wir verifizieren unsere Berechnung durch fsstat.

$ fsstat partition_1.dd

[...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

[...]

Wie lässt sich mittels dd ein 10 Byte langes Passwort in den letzten 10 Byte des MFT-Eintrags der $MFT verstecken? Wie lautet dieser Befehl fur $MFTMirr?

Zunächst schauen wir uns die letzten Bytes des MFT-Eintrags an, um später die Ergebnisse nachvollziehen zu können.

$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

[...]
\n400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................\n400003f0:0000 0000 0000 0000 0000 0000 0000 6600  ..............f.

Die letzten beiden Bytes des MFT-Eintrags sind bereits belegt. Diese dürfen wir nicht verändern, daher überspringen wir nun 1073742836 Bytes (262144*4096+1012).

$ dd if=passwort.txt of=partition_1.dd seek=1073742836 bs=1 count=10 conv=notrunc\n10+0 Datensätze ein\n10+0 Datensätze aus\n10 Bytes (10 B) kopiert, 6,3537e-05 s, 157 kB/s

Wir überprüfen nun unsere Arbeit, indem wir uns den Hexdump am Ende nochmals anschauen.

$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

[...]
\n400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................\n400003f0:0000 0000 3150 4153 5357 4f52 4431 6600  ....1PASSWORD1f.

Das Kopieren war also erfolgreich. Für $MFTMirr müssten wir den Offset lediglich weitere 1024 Byte weiterschieben, um die Änderung dort ebenfalls vorzunehmen.

Wie lassen sich die ersten 100 MFT-Einträge herausschreiben?

Hierfür müssen wir zunächst bestimmen, wie groß ein MFT-Eintrag ist. Die Information dazu steht am Offset 64 im MFT.

$ xxd -skip 64 -l 1 partition_1.dd \n0000040: f6

Als Dezimalzahl würde dies 246 bedeuten. Das macht auf den ersten Blick keinen großen Sinn. Nach einer kurzen Recherche hat sich ergeben, dass diese Zahl vorzeichenbehafted (signed) ist und daher erstmal umgewandelt werden muss. Hierfür invertieren wir alle Bits und addieren 1 darauf. Danach verwenden wir das Resultat als Exponent für 2ⁿ, um die Eintragsgröße zu ermitteln.

1. 11110110 → 00001001
2. 00001001 + 1 = 00001010
3. 00001010 = 10
4. 2¹⁰ = 1024 Byte

Wir wissen nun, dass ein Record 1024 Byte groß sein muss. Für dd bedeutet dies, dass wir 102400 Byte herausschreiben müssen für 100 Records.

# icat partition_1.dd 0 | dd of=einhundert.dd bs=1024 count=100\n100+0 Datensätze ein\n100+0 Datensätze aus\n102400 Bytes (102 kB) kopiert, 0,00724432 s, 14,1 MB/s

Was ist ein ADS?

NTFS ermöglicht sogenannte Alternate Data Streams (ADS). Mit dieser Funktion können Daten vom Benutzer unsichtbar fest an eine Datei gebunden gespeichert werden. An jede Datei können beliebig viele andere Dateien angehängt werden, die nicht sichtbar sind, aber – solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet – zusammen mit der Datei verschoben und kopiert werden. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstrom namens meinedatei.txt. Neben Dateien können auch Ordner zusätzliche Datenströme enthalten..https://de.wikipedia.org/wiki/Alternativer_Datenstrom

Wie lasst sich unter Zuhilfenahme des Sleuthkit herausfinden, ob eine Datei einen ADS verwendet?

Mit fls können wir uns alle Dateien auf dem Dateisystem anzeigen lassen. Ein ADS ist am Doppelpunkt zwischen den Dateinamen zu erkennen. Beispielhaft suchen wir nun nach einer Datei, die auf g endet und einen ADS besitzt.

$ fls -f ntfs -r partition_1.dd | grep g:
+ r/r 7821-128-5:	Edoofy.jpeg:PasswortSteganos

Wollen wir uns den Inhalt des ADS ansehen, müssen wir diesen über die Metadata Address ansprechen. Die 7821 steht für die Inode, die 128 für den Attribute Type und die 5 für eine einzigartige ID.

$ icat -f ntfs partition_1.dd 7821-128-5
"W)5S_DXitLN" 

Welche Informationen über die Datei mit der Inode-Nummer 3727 können Sie aus der MFT gewinnen?

$ icat partition_1.dd 0 | xxd -l 1024 -skip 3816448\n03a3c00: 4649 4c45 3000 0300 ada3 a002 0000 0000  FILE0...........\n03a3c10: 0300 0200 3800 0100 2002 0000 0004 0000  ....8... .......\n03a3c20: 0000 0000 0000 0000 0500 0000 8f0e 0000  ................\n03a3c30: 0200 0000 0000 0000 1000 0000 6000 0000  ............`...\n03a3c40: 0000 0000 0000 0000 4800 0000 1800 0000  ........H.......\n03a3c50: 06f7 5f0e 5a4b cf01 00fd d9ba f507 c901  .._.ZK..........\n03a3c60: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..\n03a3c70: 2000 0000 0000 0000 0000 0000 0000 0000   ...............\n03a3c80: 0000 0000 9901 0000 0000 0000 0000 0000  ................\n03a3c90: 0000 0000 0000 0000 3000 0000 7800 0000  ........0...x...\n03a3ca0: 0000 0000 0000 0300 5a00 0000 1800 0100  ........Z.......\n03a3cb0: 8e0e 0000 0000 0300 06f7 5f0e 5a4b cf01  .........._.ZK..\n03a3cc0: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..\n03a3cd0: 06f7 5f0e 5a4b cf01 0000 0000 0000 0000  .._.ZK..........\n03a3ce0: 0000 0000 0000 0000 2000 0000 0000 0000  ........ .......\n03a3cf0: 0c02 5700 4900 4e00 4400 4f00 5700 7e00  ..W.I.N.D.O.W.~.\n03a3d00: 3100 2e00 4a00 5000 4700 6900 7200 6100  1...J.P.G.i.r.a.\n03a3d10: 3000 0000 c000 0000 0000 0000 0000 0200  0...............\n03a3d20: a600 0000 1800 0100 8e0e 0000 0000 0300  ................\n03a3d30: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..\n03a3d40: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..\n03a3d50: 0000 0000 0000 0000 0000 0000 0000 0000  ................\n03a3d60: 2000 0000 0000 0000 3201 5700 6900 6e00   .......2.W.i.n.\n03a3d70: 6400 6f00 7700 7300 2000 5800 5000 2000  d.o.w.s. .X.P. .\n03a3d80: 5000 6900 7200 6100 7400 6500 6400 2000  P.i.r.a.t.e.d. .\n03a3d90: 4500 6400 6900 7400 6900 6f00 6e00 2000  E.d.i.t.i.o.n. .\n03a3da0: 2d00 2000 3400 3b00 3300 2000 5300 6300  -. .4.;.3. .S.c.\n03a3db0: 7200 6500 6500 6e00 2000 4600 6f00 7200  r.e.e.n. .F.o.r.\n03a3dc0: 6d00 6100 7400 2e00 6a00 7000 6700 0000  m.a.t...j.p.g...\n03a3dd0: 8000 0000 4800 0000 0100 0000 0000 0400  ....H...........\n03a3de0: 0000 0000 0000 0000 3000 0000 0000 0000  ........0.......\n03a3df0: 4000 0000 0000 0000 0010 0300 0000 0200  @...............\n03a3e00: 8603 0300 0000 0000 8603 0300 0000 0000  ................\n03a3e10: 3131 f452 0200 0100 ffff ffff 8279 4711  11.R.........yG.\n03a3e20: 0000 0000 0000 0000 0000 0000 0000 0000  ................
[...]\n03a3ff0: 0000 0000 0000 0000 0000 0000 0000 0200  ................

Welche Bedeutung hat das Resident-Flag?

When a file’s attributes can fit within the MFT file record, they are called resident attributes. For example, information such as filename and time stamp are always included in the MFT file record. When all of the information for a file is too large to fit in the MFT file record, some of its attributes are nonresident. The nonresident attributes are allocated one or more clusters of disk space elsewhere in the volume.http://ntfs.com/ntfs-files-types.htm

Wenn die Attribute einer Datei kleiner als 700KiB sind, werden sie im MFT Record abgelegt. Sollten sie nicht mehr in den Record passen, werden sie als nonresident gekennzeichnet und werden anderweitig abgelegt. Zugriffe auf solche Attribute erzeugen folglich Performanzverluste.

Welche Bedeutung hat das Attribut $LOGGED_UTILITY_STREAM?

The $LOGGED_UTILITY_STREAM Attribute: Type 0x100 — layout and treatment is similar to $DATA attribute. Every EFS encrypted file will have this attribute to store the file encryption key used during encryption/de.http://www.c-jump.com/bcc/t256t/Week04NtfsReview/W01_0500_the_loggedutilitys.htm

Dieses Attribut wird scheinbar von einem Encrypting File System (EFS) genutzt, um darin die verwendeten Schlüssel während der Verschlüsselung abzulegen. Folglich besitzt jede verschlüsselte Datei dieses Attribut.

Ist Cluster 45904 alloziert?

Die Informationen zu den allozierten Clustern können wir $Bitmap entnehmen. Dafür brauchen wir aber noch etwas mehr Hintergrundwissen.

This file keeps track of all of the used and unused clusters on an NTFS volume. Each bit in the Bitmap represents 1 cluster, if that bit is “1” then the cluster is in use. For example if a byte in the BitMap is “F”, this means that 4 clusters are in use as F (hex) = 1111 in binary.https://whereismydata.wordpress.com/2009/06/01/forensics-what-is-the-bitmap/

Dank dieser Information wissen wir nun, dass jedes Bit ein Cluster repräsentiert. In der Binärdarstellung eines Bytes steht ganz rechts das kleinste Cluster und links das größte Cluster.

$ icat partition_1.dd 6 | xxd -skip 5738 -l 1\n000166a: fe

0xfe entspricht wird binär als 11111110 dargestellt. Gemäß unserer Definition steht rechts das kleinste Cluster. Cluster 45904 ist daher nicht alloziert.

Anwendungsforensik

In dieser Aufgabe sollen Sie ein paar Fragen zur Windows Registry beantworten. Bitte verwenden Sie im Folgenden partition_1.dd.

Welche Anwendungen werden beim Start des Systems aufgerufen?

Microsoft beschreibt, dass Informationen zum Autostart an den folgenden Stellen in der Registry gefunden werden kann.

List of common autorun locations: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\System\CurrentControlSet\Services HKLM\System\CurrentControlSet\Control\Terminal Server HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce.https://support.microsoft.com/de-de/kb/2647300/de

Mithilfe von regripper werten wir die Registry aus.

user_run v.20130329

(NTUSER.DAT) [Autostart] Get autostart key contents from NTUSER.DAT hive

  Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE: C:\WINDOWS\system32\ctfmon.exe
    Skype: "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    SSS15 Browser Monitor: "C:\Program Files\Steganos Privacy Suite 15\SteganosBrowserMonitor.exe"

soft_run v.20130329
(Software) [Autostart] Get autostart key contents from Software hive

  Microsoft\Windows\CurrentVersion\Run
  LastWrite Time Tue Apr  1 01:24:26 2014 (UTC)
    DWQueuedReporting - "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t
    BluetoothAuthenticationAgent - rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    Steganos HotKeys - "C:\Program Files\Steganos Privacy Suite 15\SteganosHotKeyService.exe"
    PHIME2002ASync - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    CoolSwitch - C:\WINDOWS\system32\taskswitch.exe
    PHIME2002A - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    SSS15 Chrome Autofill Relay - "C:\Program Files\Steganos Privacy Suite 15\passwordmanagercom.exe"
    SSS15 File Redirection Starter - "C:\Program Files\Steganos Privacy Suite 15\fredirstarter.exe"
    IMJPMIG8.1 - "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

Welche Dateien wurden zuletzt verwendet?

recentdocs v.20100405
(NTUSER.DAT) Gets contents of user's RecentDocs key

  RecentDocs
  **All values printed in MRUList\MRUListEx order.
  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
  LastWrite Time Sun Mar 30 17:38:32 2014 (UTC)
    1 = Startup
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs
    3 = My Pictures
    9 = 4.jpeg
    8 = 3.jpeg
    7 = 2.jpeg
    5 = index.jpeg
    6 = Edoofy.jpeg
    4 = images.jpeg
    2 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.htm
  LastWrite Time Sun Mar 30 17:08:51 2014 (UTC)
  MRUListEx = 0
    0 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpeg
  LastWrite Time Sun Mar 30 17:15:37 2014 (UTC)
  MRUListEx = 5,4,1,3,2,0
    5 = 4.jpeg
    4 = 3.jpeg
    1 = 2.jpeg
    3 = index.jpeg
    2 = Edoofy.jpeg
    0 = images.jpeg

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.vbs
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Folder
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0,2
    0 = Startup
    2 = My Pictures

Welche Anwendungen wurden zuletzt über den Common-Dialog aufgerufen?

comdlg32 v.20121008
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
LastWrite Time Sun Mar 30 16:53:10 2014 (UTC)
LastVisitedMRU
LastWrite: Sun Mar 30 17:14:43 2014
MRUList = bca
b -> EXE: firefox.exe
-> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
c -> EXE: Skype.exe
-> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
a -> EXE: IEXPLORE.EXE
-> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents
OpenSaveMRU\*
LastWrite Time: Sun Mar 30 17:15:37 2014 Z
MRUList = ihgefdcba
i -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures.jpeg
h -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures.jpeg
g -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures

Skip to content



Menu


Close
							



Persönliches Blog & Wissensdatenbank
									









						

Maximilian Krieg

Wissen, Technik & Erfahrungen
		
		











Search for:













Menu
 Kontakt




						

Maximilian Krieg

Wissen, Technik & Erfahrungen
		
		











Search for:













Menu
									


Persönliches Blog & Wissensdatenbank
		


Search for:






 Kontakt
			



Startseite
  
Blog
  
Computer Forensik (Praktikum 4)					








Computer Forensik (Praktikum 4)
			

  Maximilian 11. Juli 2015 Computer Forensik 0 Comments			


Im vierten Praktikum üben wir uns an der Analyse von NTFS-Dateisystemen und der Untersuchung der Windows-Registry.
Skript-Anfang
Praktikum 4 – Seite 1
Skript-Ende
Praktikum 4 – Seite 1
NTFS-Analyse
Sie untersuchen hierfür das in Praktikum 2 erstellte Image partition_1.dd. Bestätigen Sie zunächst die Unverändertheit der Partition.
Wir bestimmen die Unverändertheit der Partition, indem wir die Hashsumme berechnen und mit unseren Notizen abgleichen.
$ sha256sum partition_1.dd 
cc224419f690065a653efa9cb58dbf546b72e7db752fe71229bfb4d11dd8e685  partition_1.dd
Die Hashsummen stimmen überein. An partition_1.dd ist somit keine Veränderung vorgenommen worden.
Schreiben Sie anschließend den ersten Block der Partition nach partition_1_boot.dd und vermerken Sie dessen Hashwert.
$ dd if=partition_1.dd of=partition_1_boot.dd bs=512 count=1
1+0 Datensätze ein
1+0 Datensätze aus
512 Bytes (512 B) kopiert, 4,2755e-05 s, 12,0 MB/s

$ sha256sum partition_1_boot.dd 
3465621fa66dfbebd42a10e53473eeee45ed10916de4980dc4799c2b08c043f6  partition_1_boot.dd
Da wir in den folgenden Aufgaben den Hexdump benötigen, geben wir ihn an dieser Stelle gleich vollständig aus.
$ xxd partition_1_boot.dd 
0000000: eb52 904e 5446 5320 2020 2000 0208 0000  .R.NTFS    .....
0000010: 0000 0000 00f8 0000 3f00 ff00 0008 0000  ........?.......
0000020: 0000 0000 8000 8000 ff17 9c00 0000 0000  ................
0000030: 0000 0400 0000 0000 0200 0000 0000 0000  ................
0000040: f600 0000 0100 0000 4e70 500e 9b50 0e5c  ........NpP..P.\
0000050: 0000 0000 fa33 c08e d0bc 007c fbb8 c007  .....3.....|....
0000060: 8ed8 e816 00b8 000d 8ec0 33db c606 0e00  ..........3.....
0000070: 10e8 5300 6800 0d68 6a02 cb8a 1624 00b4  ..S.h..hj....$..
0000080: 08cd 1373 05b9 ffff 8af1 660f b6c6 4066  ...s......f...@f
0000090: 0fb6 d180 e23f f7e2 86cd c0ed 0641 660f  .....?.......Af.
00000a0: b7c9 66f7 e166 a320 00c3 b441 bbaa 558a  ..f..f. ...A..U.
00000b0: 1624 00cd 1372 0f81 fb55 aa75 09f6 c101  .$...r...U.u....
00000c0: 7404 fe06 1400 c366 601e 0666 a110 0066  t......f`..f...f
00000d0: 0306 1c00 663b 0620 000f 823a 001e 666a  ....f;. ...:..fj
00000e0: 0066 5006 5366 6810 0001 0080 3e14 0000  .fP.Sfh.....>...
00000f0: 0f85 0c00 e8b3 ff80 3e14 0000 0f84 6100  ........>.....a.
0000100: b442 8a16 2400 161f 8bf4 cd13 6658 5b07  .B..$.......fX[.
0000110: 6658 6658 1feb 2d66 33d2 660f b70e 1800  fXfX..-f3.f.....
0000120: 66f7 f1fe c28a ca66 8bd0 66c1 ea10 f736  f......f..f....6
0000130: 1a00 86d6 8a16 2400 8ae8 c0e4 060a ccb8  ......$.........
0000140: 0102 cd13 0f82 1900 8cc0 0520 008e c066  ........... ...f
0000150: ff06 1000 ff0e 0e00 0f85 6fff 071f 6661  ..........o...fa
0000160: c3a0 f801 e809 00a0 fb01 e803 00fb ebfe  ................
0000170: b401 8bf0 ac3c 0074 09b4 0ebb 0700 cd10  .....<.t........
0000180: ebf2 c30d 0a41 2064 6973 6b20 7265 6164  .....A disk read
0000190: 2065 7272 6f72 206f 6363 7572 7265 6400   error occurred.
00001a0: 0d0a 4e54 4c44 5220 6973 206d 6973 7369  ..NTLDR is missi
00001b0: 6e67 000d 0a4e 544c 4452 2069 7320 636f  ng...NTLDR is co
00001c0: 6d70 7265 7373 6564 000d 0a50 7265 7373  mpressed...Press
00001d0: 2043 7472 6c2b 416c 742b 4465 6c20 746f   Ctrl+Alt+Del to
00001e0: 2072 6573 7461 7274 0d0a 0000 0000 0000   restart........
00001f0: 0000 0000 0000 0000 83a0 b3c9 0000 55aa  ..............U.
Ermitteln Sie Sektor- und Clustergröße.

Sektorgröße (Offset 11-12): 0002 = 0x0200 = 512 Byte pro Sektor
Clustergröße (Offset: 13): 08 = 0x08 = 8 Sektoren pro Cluster

Wir verfizieren unsere Berechnung durch fsstat.
$ fsstat partition_1.dd

[...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

[...]
Wie ist die Größe des Dateisystems in Byte?

Dateisystemgröße (Offset 40-47): ff17 9c00 0000 0000 = 0x9c17ff = 10.229.759 HDD-Blöcke
10.229.759 HDD-Blöcke = 5.237.636.608 Byte
5.237.636.608 Byte ≈ 5.114.879 KiB ≈ 4.995 MiB ≈ 4,9 GiB

Wir verfizieren unsere Berechnung durch fsstat.
$ fsstat partition_1.dd

[...]

CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 1278718
Total Sector Range: 0 - 10229758

[...]
In welchem Cluster liegt der Beginn der MFT?

Clusterbeginn (Offset 48-55): 0000 0400 0000 0000 = 0x40000 = 262.144

Wir verifizieren unsere Berechnung durch fsstat.
$ fsstat partition_1.dd

[...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

[...]
Wie lässt sich mittels dd ein 10 Byte langes Passwort in den letzten 10 Byte des MFT-Eintrags der $MFT verstecken? Wie lautet dieser Befehl fur $MFTMirr?
Zunächst schauen wir uns die letzten Bytes des MFT-Eintrags an, um später die Ergebnisse nachvollziehen zu können.
$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

[...]

400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................
400003f0:0000 0000 0000 0000 0000 0000 0000 6600  ..............f.
Die letzten beiden Bytes des MFT-Eintrags sind bereits belegt. Diese dürfen wir nicht verändern, daher überspringen wir nun 1073742836 Bytes (262144*4096+1012).
$ dd if=passwort.txt of=partition_1.dd seek=1073742836 bs=1 count=10 conv=notrunc
10+0 Datensätze ein
10+0 Datensätze aus
10 Bytes (10 B) kopiert, 6,3537e-05 s, 157 kB/s
Wir überprüfen nun unsere Arbeit, indem wir uns den Hexdump am Ende nochmals anschauen.
$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

[...]

400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................
400003f0:0000 0000 3150 4153 5357 4f52 4431 6600  ....1PASSWORD1f.
Das Kopieren war also erfolgreich. Für $MFTMirr müssten wir den Offset lediglich weitere 1024 Byte weiterschieben, um die Änderung dort ebenfalls vorzunehmen.
Wie lassen sich die ersten 100 MFT-Einträge herausschreiben?
Hierfür müssen wir zunächst bestimmen, wie groß ein MFT-Eintrag ist. Die Information dazu steht am Offset 64 im MFT.
$ xxd -skip 64 -l 1 partition_1.dd 
0000040: f6
Als Dezimalzahl würde dies 246 bedeuten. Das macht auf den ersten Blick keinen großen Sinn. Nach einer kurzen Recherche hat sich ergeben, dass diese Zahl vorzeichenbehafted (signed) ist und daher erstmal umgewandelt werden muss. Hierfür invertieren wir alle Bits und addieren 1 darauf. Danach verwenden wir das Resultat als Exponent für 2n, um die Eintragsgröße zu ermitteln.

11110110 → 00001001
00001001 + 1 = 00001010
00001010 = 10
210 = 1024 Byte

Wir wissen nun, dass ein Record 1024 Byte groß sein muss. Für dd bedeutet dies, dass wir 102400 Byte herausschreiben müssen für 100 Records.
# icat partition_1.dd 0 | dd of=einhundert.dd bs=1024 count=100
100+0 Datensätze ein
100+0 Datensätze aus
102400 Bytes (102 kB) kopiert, 0,00724432 s, 14,1 MB/s
Was ist ein ADS?

NTFS ermöglicht sogenannte Alternate Data Streams (ADS). Mit dieser Funktion können Daten vom Benutzer unsichtbar fest an eine Datei gebunden gespeichert werden. An jede Datei können beliebig viele andere Dateien angehängt werden, die nicht sichtbar sind, aber – solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet – zusammen mit der Datei verschoben und kopiert werden. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstrom namens meinedatei.txt. Neben Dateien können auch Ordner zusätzliche Datenströme enthalten..https://de.wikipedia.org/wiki/Alternativer_Datenstrom

Wie lasst sich unter Zuhilfenahme des Sleuthkit herausfinden, ob eine Datei einen ADS verwendet?
Mit fls können wir uns alle Dateien auf dem Dateisystem anzeigen lassen. Ein ADS ist am Doppelpunkt zwischen den Dateinamen zu erkennen. Beispielhaft suchen wir nun nach einer Datei, die auf g endet und einen ADS besitzt.
$ fls -f ntfs -r partition_1.dd | grep g:
+ r/r 7821-128-5:	Edoofy.jpeg:PasswortSteganos
Wollen wir uns den Inhalt des ADS ansehen, müssen wir diesen über die Metadata Address ansprechen. Die 7821 steht für die Inode, die 128 für den Attribute Type und die 5 für eine einzigartige ID.
$ icat -f ntfs partition_1.dd 7821-128-5
"W)5S_DXitLN" 
Welche Informationen über die Datei mit der Inode-Nummer 3727 können Sie aus der MFT gewinnen?
$ icat partition_1.dd 0 | xxd -l 1024 -skip 3816448
03a3c00: 4649 4c45 3000 0300 ada3 a002 0000 0000  FILE0...........
03a3c10: 0300 0200 3800 0100 2002 0000 0004 0000  ....8... .......
03a3c20: 0000 0000 0000 0000 0500 0000 8f0e 0000  ................
03a3c30: 0200 0000 0000 0000 1000 0000 6000 0000  ............`...
03a3c40: 0000 0000 0000 0000 4800 0000 1800 0000  ........H.......
03a3c50: 06f7 5f0e 5a4b cf01 00fd d9ba f507 c901  .._.ZK..........
03a3c60: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3c70: 2000 0000 0000 0000 0000 0000 0000 0000   ...............
03a3c80: 0000 0000 9901 0000 0000 0000 0000 0000  ................
03a3c90: 0000 0000 0000 0000 3000 0000 7800 0000  ........0...x...
03a3ca0: 0000 0000 0000 0300 5a00 0000 1800 0100  ........Z.......
03a3cb0: 8e0e 0000 0000 0300 06f7 5f0e 5a4b cf01  .........._.ZK..
03a3cc0: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3cd0: 06f7 5f0e 5a4b cf01 0000 0000 0000 0000  .._.ZK..........
03a3ce0: 0000 0000 0000 0000 2000 0000 0000 0000  ........ .......
03a3cf0: 0c02 5700 4900 4e00 4400 4f00 5700 7e00  ..W.I.N.D.O.W.~.
03a3d00: 3100 2e00 4a00 5000 4700 6900 7200 6100  1...J.P.G.i.r.a.
03a3d10: 3000 0000 c000 0000 0000 0000 0000 0200  0...............
03a3d20: a600 0000 1800 0100 8e0e 0000 0000 0300  ................
03a3d30: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3d40: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3d50: 0000 0000 0000 0000 0000 0000 0000 0000  ................
03a3d60: 2000 0000 0000 0000 3201 5700 6900 6e00   .......2.W.i.n.
03a3d70: 6400 6f00 7700 7300 2000 5800 5000 2000  d.o.w.s. .X.P. .
03a3d80: 5000 6900 7200 6100 7400 6500 6400 2000  P.i.r.a.t.e.d. .
03a3d90: 4500 6400 6900 7400 6900 6f00 6e00 2000  E.d.i.t.i.o.n. .
03a3da0: 2d00 2000 3400 3b00 3300 2000 5300 6300  -. .4.;.3. .S.c.
03a3db0: 7200 6500 6500 6e00 2000 4600 6f00 7200  r.e.e.n. .F.o.r.
03a3dc0: 6d00 6100 7400 2e00 6a00 7000 6700 0000  m.a.t...j.p.g...
03a3dd0: 8000 0000 4800 0000 0100 0000 0000 0400  ....H...........
03a3de0: 0000 0000 0000 0000 3000 0000 0000 0000  ........0.......
03a3df0: 4000 0000 0000 0000 0010 0300 0000 0200  @...............
03a3e00: 8603 0300 0000 0000 8603 0300 0000 0000  ................
03a3e10: 3131 f452 0200 0100 ffff ffff 8279 4711  11.R.........yG.
03a3e20: 0000 0000 0000 0000 0000 0000 0000 0000  ................
[...]
03a3ff0: 0000 0000 0000 0000 0000 0000 0000 0200  ................
Offset
Zweck
Auswertung
0-3
Signature: either FILE or BAAD, which denotes a bad entry
4649 4c45 = 0x454c4946 =“FILE“
4-5
Offset to fixup array
3000 = 0x0030 = Fixup array beginnt ab Byte 0x30 (=0400)
6-7
Number of entries in fixup array
0300 = 0x0003 = 3 Einträge
8-15
$LogFile sequence number
ada3 a002 0000 0000 = 0x02a0a3ad = Sequenznummer 44082093
16-17
Sequence number
0300 = 0x0003 = Sequemznummer 3
18-19
Link count
0200 = 0x0002 = 2 Links
20-21
Offset to first attribute
3800 = 0x0038 = 56
22-23
Flags
0100 = 0x0001 = 0x01 (0x01: record in use, 0x02 directory)
24-27
Used size of MFT entry
2002 0000 = 0x0220 = 533 (0x03a3c00 + 0x220 = 0x3a3e20)
28-31
Allocated size of MFT entry
0004 0000 = 0x0400 = 1024
32-39
File reference to base record
0000 0000 0000 0000 = 0x0= 0
40-41
Next attribute identifier
0500 = 0x0005 = 5
Welche Bedeutung hat das Resident-Flag?

When a file’s attributes can fit within the MFT file record, they are called resident attributes. For example, information such as filename and time stamp are always included in the MFT file record. When all of the information for a file is too large to fit in the MFT file record, some of its attributes are nonresident. The nonresident attributes are allocated one or more clusters of disk space elsewhere in the volume.http://ntfs.com/ntfs-files-types.htm

Wenn die Attribute einer Datei kleiner als 700KiB sind, werden sie im MFT Record abgelegt. Sollten sie nicht mehr in den Record passen, werden sie als nonresident gekennzeichnet und werden anderweitig abgelegt. Zugriffe auf solche Attribute erzeugen folglich Performanzverluste.
Welche Bedeutung hat das Attribut $LOGGED_UTILITY_STREAM?

The $LOGGED_UTILITY_STREAM Attribute: Type 0x100 — layout and treatment is similar to $DATA attribute. Every EFS encrypted file will have this attribute to store the file encryption key used during encryption/de.http://www.c-jump.com/bcc/t256t/Week04NtfsReview/W01_0500_the_loggedutilitys.htm

Dieses Attribut wird scheinbar von einem Encrypting File System (EFS) genutzt, um darin die verwendeten Schlüssel während der Verschlüsselung abzulegen. Folglich besitzt jede verschlüsselte Datei dieses Attribut.
Ist Cluster 45904 alloziert?
Die Informationen zu den allozierten Clustern können wir $Bitmap entnehmen. Dafür brauchen wir aber noch etwas mehr Hintergrundwissen.

This file keeps track of all of the used and unused clusters on an NTFS volume. Each bit in the Bitmap represents 1 cluster, if that bit is “1” then the cluster is in use. For example if a byte in the BitMap is “F”, this means that 4 clusters are in use as F (hex) = 1111 in binary.https://whereismydata.wordpress.com/2009/06/01/forensics-what-is-the-bitmap/

Dank dieser Information wissen wir nun, dass jedes Bit ein Cluster repräsentiert. In der Binärdarstellung eines Bytes steht ganz rechts das kleinste Cluster und links das größte Cluster.
$ icat partition_1.dd 6 | xxd -skip 5738 -l 1
000166a: fe
0xfe entspricht wird binär als 11111110 dargestellt. Gemäß unserer Definition steht rechts das kleinste Cluster. Cluster 45904 ist daher nicht alloziert.
Anwendungsforensik
In dieser Aufgabe sollen Sie ein paar Fragen zur Windows Registry beantworten. Bitte verwenden Sie im Folgenden partition_1.dd.
Welche Anwendungen werden beim Start des Systems aufgerufen?
Microsoft beschreibt, dass Informationen zum Autostart an den folgenden Stellen in der Registry gefunden werden kann.

List of common autorun locations: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\System\CurrentControlSet\Services HKLM\System\CurrentControlSet\Control\Terminal Server HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce.https://support.microsoft.com/de-de/kb/2647300/de

Mithilfe von regripper werten wir die Registry aus.
user_run v.20130329

(NTUSER.DAT) [Autostart] Get autostart key contents from NTUSER.DAT hive

  Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE: C:\WINDOWS\system32\ctfmon.exe
    Skype: "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    SSS15 Browser Monitor: "C:\Program Files\Steganos Privacy Suite 15\SteganosBrowserMonitor.exe"

soft_run v.20130329
(Software) [Autostart] Get autostart key contents from Software hive

  Microsoft\Windows\CurrentVersion\Run
  LastWrite Time Tue Apr  1 01:24:26 2014 (UTC)
    DWQueuedReporting - "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t
    BluetoothAuthenticationAgent - rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    Steganos HotKeys - "C:\Program Files\Steganos Privacy Suite 15\SteganosHotKeyService.exe"
    PHIME2002ASync - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    CoolSwitch - C:\WINDOWS\system32\taskswitch.exe
    PHIME2002A - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    SSS15 Chrome Autofill Relay - "C:\Program Files\Steganos Privacy Suite 15\passwordmanagercom.exe"
    SSS15 File Redirection Starter - "C:\Program Files\Steganos Privacy Suite 15\fredirstarter.exe"
    IMJPMIG8.1 - "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Welche Dateien wurden zuletzt verwendet?
recentdocs v.20100405
(NTUSER.DAT) Gets contents of user's RecentDocs key

  RecentDocs
  **All values printed in MRUList\MRUListEx order.
  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
  LastWrite Time Sun Mar 30 17:38:32 2014 (UTC)
    1 = Startup
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs
    3 = My Pictures
    9 = 4.jpeg
    8 = 3.jpeg
    7 = 2.jpeg
    5 = index.jpeg
    6 = Edoofy.jpeg
    4 = images.jpeg
    2 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.htm
  LastWrite Time Sun Mar 30 17:08:51 2014 (UTC)
  MRUListEx = 0
    0 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpeg
  LastWrite Time Sun Mar 30 17:15:37 2014 (UTC)
  MRUListEx = 5,4,1,3,2,0
    5 = 4.jpeg
    4 = 3.jpeg
    1 = 2.jpeg
    3 = index.jpeg
    2 = Edoofy.jpeg
    0 = images.jpeg

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.vbs
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Folder
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0,2
    0 = Startup
    2 = My Pictures
Welche Anwendungen wurden zuletzt über den Common-Dialog aufgerufen?
comdlg32 v.20121008

  Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
  LastWrite Time Sun Mar 30 16:53:10 2014 (UTC)
  LastVisitedMRU
  LastWrite: Sun Mar 30 17:14:43 2014
    MRUList = bca
    b -> EXE: firefox.exe
      -> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
    c -> EXE: Skype.exe
      -> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
    a -> EXE: IEXPLORE.EXE
      -> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents

  OpenSaveMRU\*
  LastWrite Time: Sun Mar 30 17:15:37 2014 Z
    MRUList = ihgefdcba
    i -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\4.jpeg
    h -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\3.jpeg
    g -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\2.jpeg
    e -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
    f -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
    d -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg
    c -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm
    b -> C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe

  OpenSaveMRU\exe
  LastWrite Time: Sun Mar 30 16:54:29 2014 Z
    MRUList = ba
    b -> C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe

  OpenSaveMRU\htm
  LastWrite Time: Sun Mar 30 17:08:51 2014 Z
    MRUList = a
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm

  OpenSaveMRU\jpeg
  LastWrite Time: Sun Mar 30 17:15:37 2014 Z
    MRUList = fedbca
    f -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\4.jpeg
    e -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\3.jpeg
    d -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\2.jpeg
    b -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
    c -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg





Schreiben Sie einen Kommentar Antwort abbrechen
Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert
Kommentar * 
Name * 
E-Mail-Adresse * 
Website 
 

Δ
	

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.

		

              			











Cookie-Zustimmung verwalten






Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.




Funktional



Funktional

Immer aktiv					










Vorlieben


Vorlieben











Statistiken


Statistiken











Marketing


Marketing













Optionen verwalten
Dienste verwalten
Verwalten Sie {vendor_count} Lieferanten
Lesen Sie mehr über diese Zwecke




Akzeptieren
Ablehnen
Einstellungen ansehen
Einstellungen speichern
Einstellungen ansehen



{title}
{title}
{title}




Zustimmung verwalten












.jpeg
e -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
f -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
d -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg
c -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm
b -> C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
a -> C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe
OpenSaveMRU\exe
LastWrite Time: Sun Mar 30 16:54:29 2014 Z
MRUList = ba
b -> C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
a -> C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe
OpenSaveMRU\htm
LastWrite Time: Sun Mar 30 17:08:51 2014 Z
MRUList = a
a -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm
OpenSaveMRU\jpeg
LastWrite Time: Sun Mar 30 17:15:37 2014 Z
MRUList = fedbca
f -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures.jpeg
e -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures.jpeg
d -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures

Skip to content



Menu


Close
							



Persönliches Blog & Wissensdatenbank
									









						

Maximilian Krieg

Wissen, Technik & Erfahrungen
		
		











Search for:













Menu
 Kontakt




						

Maximilian Krieg

Wissen, Technik & Erfahrungen
		
		











Search for:













Menu
									


Persönliches Blog & Wissensdatenbank
		


Search for:






 Kontakt
			



Startseite
  
Blog
  
Computer Forensik (Praktikum 4)					








Computer Forensik (Praktikum 4)
			

  Maximilian 11. Juli 2015 Computer Forensik 0 Comments			


Im vierten Praktikum üben wir uns an der Analyse von NTFS-Dateisystemen und der Untersuchung der Windows-Registry.
Skript-Anfang
Praktikum 4 – Seite 1
Skript-Ende
Praktikum 4 – Seite 1
NTFS-Analyse
Sie untersuchen hierfür das in Praktikum 2 erstellte Image partition_1.dd. Bestätigen Sie zunächst die Unverändertheit der Partition.
Wir bestimmen die Unverändertheit der Partition, indem wir die Hashsumme berechnen und mit unseren Notizen abgleichen.
$ sha256sum partition_1.dd 
cc224419f690065a653efa9cb58dbf546b72e7db752fe71229bfb4d11dd8e685  partition_1.dd
Die Hashsummen stimmen überein. An partition_1.dd ist somit keine Veränderung vorgenommen worden.
Schreiben Sie anschließend den ersten Block der Partition nach partition_1_boot.dd und vermerken Sie dessen Hashwert.
$ dd if=partition_1.dd of=partition_1_boot.dd bs=512 count=1
1+0 Datensätze ein
1+0 Datensätze aus
512 Bytes (512 B) kopiert, 4,2755e-05 s, 12,0 MB/s

$ sha256sum partition_1_boot.dd 
3465621fa66dfbebd42a10e53473eeee45ed10916de4980dc4799c2b08c043f6  partition_1_boot.dd
Da wir in den folgenden Aufgaben den Hexdump benötigen, geben wir ihn an dieser Stelle gleich vollständig aus.
$ xxd partition_1_boot.dd 
0000000: eb52 904e 5446 5320 2020 2000 0208 0000  .R.NTFS    .....
0000010: 0000 0000 00f8 0000 3f00 ff00 0008 0000  ........?.......
0000020: 0000 0000 8000 8000 ff17 9c00 0000 0000  ................
0000030: 0000 0400 0000 0000 0200 0000 0000 0000  ................
0000040: f600 0000 0100 0000 4e70 500e 9b50 0e5c  ........NpP..P.\
0000050: 0000 0000 fa33 c08e d0bc 007c fbb8 c007  .....3.....|....
0000060: 8ed8 e816 00b8 000d 8ec0 33db c606 0e00  ..........3.....
0000070: 10e8 5300 6800 0d68 6a02 cb8a 1624 00b4  ..S.h..hj....$..
0000080: 08cd 1373 05b9 ffff 8af1 660f b6c6 4066  ...s......f...@f
0000090: 0fb6 d180 e23f f7e2 86cd c0ed 0641 660f  .....?.......Af.
00000a0: b7c9 66f7 e166 a320 00c3 b441 bbaa 558a  ..f..f. ...A..U.
00000b0: 1624 00cd 1372 0f81 fb55 aa75 09f6 c101  .$...r...U.u....
00000c0: 7404 fe06 1400 c366 601e 0666 a110 0066  t......f`..f...f
00000d0: 0306 1c00 663b 0620 000f 823a 001e 666a  ....f;. ...:..fj
00000e0: 0066 5006 5366 6810 0001 0080 3e14 0000  .fP.Sfh.....>...
00000f0: 0f85 0c00 e8b3 ff80 3e14 0000 0f84 6100  ........>.....a.
0000100: b442 8a16 2400 161f 8bf4 cd13 6658 5b07  .B..$.......fX[.
0000110: 6658 6658 1feb 2d66 33d2 660f b70e 1800  fXfX..-f3.f.....
0000120: 66f7 f1fe c28a ca66 8bd0 66c1 ea10 f736  f......f..f....6
0000130: 1a00 86d6 8a16 2400 8ae8 c0e4 060a ccb8  ......$.........
0000140: 0102 cd13 0f82 1900 8cc0 0520 008e c066  ........... ...f
0000150: ff06 1000 ff0e 0e00 0f85 6fff 071f 6661  ..........o...fa
0000160: c3a0 f801 e809 00a0 fb01 e803 00fb ebfe  ................
0000170: b401 8bf0 ac3c 0074 09b4 0ebb 0700 cd10  .....<.t........
0000180: ebf2 c30d 0a41 2064 6973 6b20 7265 6164  .....A disk read
0000190: 2065 7272 6f72 206f 6363 7572 7265 6400   error occurred.
00001a0: 0d0a 4e54 4c44 5220 6973 206d 6973 7369  ..NTLDR is missi
00001b0: 6e67 000d 0a4e 544c 4452 2069 7320 636f  ng...NTLDR is co
00001c0: 6d70 7265 7373 6564 000d 0a50 7265 7373  mpressed...Press
00001d0: 2043 7472 6c2b 416c 742b 4465 6c20 746f   Ctrl+Alt+Del to
00001e0: 2072 6573 7461 7274 0d0a 0000 0000 0000   restart........
00001f0: 0000 0000 0000 0000 83a0 b3c9 0000 55aa  ..............U.
Ermitteln Sie Sektor- und Clustergröße.

Sektorgröße (Offset 11-12): 0002 = 0x0200 = 512 Byte pro Sektor
Clustergröße (Offset: 13): 08 = 0x08 = 8 Sektoren pro Cluster

Wir verfizieren unsere Berechnung durch fsstat.
$ fsstat partition_1.dd

[...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

[...]
Wie ist die Größe des Dateisystems in Byte?

Dateisystemgröße (Offset 40-47): ff17 9c00 0000 0000 = 0x9c17ff = 10.229.759 HDD-Blöcke
10.229.759 HDD-Blöcke = 5.237.636.608 Byte
5.237.636.608 Byte ≈ 5.114.879 KiB ≈ 4.995 MiB ≈ 4,9 GiB

Wir verfizieren unsere Berechnung durch fsstat.
$ fsstat partition_1.dd

[...]

CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 0 - 1278718
Total Sector Range: 0 - 10229758

[...]
In welchem Cluster liegt der Beginn der MFT?

Clusterbeginn (Offset 48-55): 0000 0400 0000 0000 = 0x40000 = 262.144

Wir verifizieren unsere Berechnung durch fsstat.
$ fsstat partition_1.dd

[...]

METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 262144
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 16832
Root Directory: 5

[...]
Wie lässt sich mittels dd ein 10 Byte langes Passwort in den letzten 10 Byte des MFT-Eintrags der $MFT verstecken? Wie lautet dieser Befehl fur $MFTMirr?
Zunächst schauen wir uns die letzten Bytes des MFT-Eintrags an, um später die Ergebnisse nachvollziehen zu können.
$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

[...]

400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................
400003f0:0000 0000 0000 0000 0000 0000 0000 6600  ..............f.
Die letzten beiden Bytes des MFT-Eintrags sind bereits belegt. Diese dürfen wir nicht verändern, daher überspringen wir nun 1073742836 Bytes (262144*4096+1012).
$ dd if=passwort.txt of=partition_1.dd seek=1073742836 bs=1 count=10 conv=notrunc
10+0 Datensätze ein
10+0 Datensätze aus
10 Bytes (10 B) kopiert, 6,3537e-05 s, 157 kB/s
Wir überprüfen nun unsere Arbeit, indem wir uns den Hexdump am Ende nochmals anschauen.
$ xxd  -skip 1073741824 -l 1024 partition_1.dd 

[...]

400003e0:0000 0000 0000 0000 0000 0000 0000 0000  ................
400003f0:0000 0000 3150 4153 5357 4f52 4431 6600  ....1PASSWORD1f.
Das Kopieren war also erfolgreich. Für $MFTMirr müssten wir den Offset lediglich weitere 1024 Byte weiterschieben, um die Änderung dort ebenfalls vorzunehmen.
Wie lassen sich die ersten 100 MFT-Einträge herausschreiben?
Hierfür müssen wir zunächst bestimmen, wie groß ein MFT-Eintrag ist. Die Information dazu steht am Offset 64 im MFT.
$ xxd -skip 64 -l 1 partition_1.dd 
0000040: f6
Als Dezimalzahl würde dies 246 bedeuten. Das macht auf den ersten Blick keinen großen Sinn. Nach einer kurzen Recherche hat sich ergeben, dass diese Zahl vorzeichenbehafted (signed) ist und daher erstmal umgewandelt werden muss. Hierfür invertieren wir alle Bits und addieren 1 darauf. Danach verwenden wir das Resultat als Exponent für 2n, um die Eintragsgröße zu ermitteln.

11110110 → 00001001
00001001 + 1 = 00001010
00001010 = 10
210 = 1024 Byte

Wir wissen nun, dass ein Record 1024 Byte groß sein muss. Für dd bedeutet dies, dass wir 102400 Byte herausschreiben müssen für 100 Records.
# icat partition_1.dd 0 | dd of=einhundert.dd bs=1024 count=100
100+0 Datensätze ein
100+0 Datensätze aus
102400 Bytes (102 kB) kopiert, 0,00724432 s, 14,1 MB/s
Was ist ein ADS?

NTFS ermöglicht sogenannte Alternate Data Streams (ADS). Mit dieser Funktion können Daten vom Benutzer unsichtbar fest an eine Datei gebunden gespeichert werden. An jede Datei können beliebig viele andere Dateien angehängt werden, die nicht sichtbar sind, aber – solange der Vorgang innerhalb von NTFS-Laufwerken stattfindet – zusammen mit der Datei verschoben und kopiert werden. Der Zugriff auf die versteckten Dateifragmente findet mit einem Doppelpunkt statt: beispiel.txt:meinedatei.txt kennzeichnet einen zu der Datei beispiel.txt gehörigen Datenstrom namens meinedatei.txt. Neben Dateien können auch Ordner zusätzliche Datenströme enthalten..https://de.wikipedia.org/wiki/Alternativer_Datenstrom

Wie lasst sich unter Zuhilfenahme des Sleuthkit herausfinden, ob eine Datei einen ADS verwendet?
Mit fls können wir uns alle Dateien auf dem Dateisystem anzeigen lassen. Ein ADS ist am Doppelpunkt zwischen den Dateinamen zu erkennen. Beispielhaft suchen wir nun nach einer Datei, die auf g endet und einen ADS besitzt.
$ fls -f ntfs -r partition_1.dd | grep g:
+ r/r 7821-128-5:	Edoofy.jpeg:PasswortSteganos
Wollen wir uns den Inhalt des ADS ansehen, müssen wir diesen über die Metadata Address ansprechen. Die 7821 steht für die Inode, die 128 für den Attribute Type und die 5 für eine einzigartige ID.
$ icat -f ntfs partition_1.dd 7821-128-5
"W)5S_DXitLN" 
Welche Informationen über die Datei mit der Inode-Nummer 3727 können Sie aus der MFT gewinnen?
$ icat partition_1.dd 0 | xxd -l 1024 -skip 3816448
03a3c00: 4649 4c45 3000 0300 ada3 a002 0000 0000  FILE0...........
03a3c10: 0300 0200 3800 0100 2002 0000 0004 0000  ....8... .......
03a3c20: 0000 0000 0000 0000 0500 0000 8f0e 0000  ................
03a3c30: 0200 0000 0000 0000 1000 0000 6000 0000  ............`...
03a3c40: 0000 0000 0000 0000 4800 0000 1800 0000  ........H.......
03a3c50: 06f7 5f0e 5a4b cf01 00fd d9ba f507 c901  .._.ZK..........
03a3c60: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3c70: 2000 0000 0000 0000 0000 0000 0000 0000   ...............
03a3c80: 0000 0000 9901 0000 0000 0000 0000 0000  ................
03a3c90: 0000 0000 0000 0000 3000 0000 7800 0000  ........0...x...
03a3ca0: 0000 0000 0000 0300 5a00 0000 1800 0100  ........Z.......
03a3cb0: 8e0e 0000 0000 0300 06f7 5f0e 5a4b cf01  .........._.ZK..
03a3cc0: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3cd0: 06f7 5f0e 5a4b cf01 0000 0000 0000 0000  .._.ZK..........
03a3ce0: 0000 0000 0000 0000 2000 0000 0000 0000  ........ .......
03a3cf0: 0c02 5700 4900 4e00 4400 4f00 5700 7e00  ..W.I.N.D.O.W.~.
03a3d00: 3100 2e00 4a00 5000 4700 6900 7200 6100  1...J.P.G.i.r.a.
03a3d10: 3000 0000 c000 0000 0000 0000 0000 0200  0...............
03a3d20: a600 0000 1800 0100 8e0e 0000 0000 0300  ................
03a3d30: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3d40: 06f7 5f0e 5a4b cf01 06f7 5f0e 5a4b cf01  .._.ZK...._.ZK..
03a3d50: 0000 0000 0000 0000 0000 0000 0000 0000  ................
03a3d60: 2000 0000 0000 0000 3201 5700 6900 6e00   .......2.W.i.n.
03a3d70: 6400 6f00 7700 7300 2000 5800 5000 2000  d.o.w.s. .X.P. .
03a3d80: 5000 6900 7200 6100 7400 6500 6400 2000  P.i.r.a.t.e.d. .
03a3d90: 4500 6400 6900 7400 6900 6f00 6e00 2000  E.d.i.t.i.o.n. .
03a3da0: 2d00 2000 3400 3b00 3300 2000 5300 6300  -. .4.;.3. .S.c.
03a3db0: 7200 6500 6500 6e00 2000 4600 6f00 7200  r.e.e.n. .F.o.r.
03a3dc0: 6d00 6100 7400 2e00 6a00 7000 6700 0000  m.a.t...j.p.g...
03a3dd0: 8000 0000 4800 0000 0100 0000 0000 0400  ....H...........
03a3de0: 0000 0000 0000 0000 3000 0000 0000 0000  ........0.......
03a3df0: 4000 0000 0000 0000 0010 0300 0000 0200  @...............
03a3e00: 8603 0300 0000 0000 8603 0300 0000 0000  ................
03a3e10: 3131 f452 0200 0100 ffff ffff 8279 4711  11.R.........yG.
03a3e20: 0000 0000 0000 0000 0000 0000 0000 0000  ................
[...]
03a3ff0: 0000 0000 0000 0000 0000 0000 0000 0200  ................
Offset
Zweck
Auswertung
0-3
Signature: either FILE or BAAD, which denotes a bad entry
4649 4c45 = 0x454c4946 =“FILE“
4-5
Offset to fixup array
3000 = 0x0030 = Fixup array beginnt ab Byte 0x30 (=0400)
6-7
Number of entries in fixup array
0300 = 0x0003 = 3 Einträge
8-15
$LogFile sequence number
ada3 a002 0000 0000 = 0x02a0a3ad = Sequenznummer 44082093
16-17
Sequence number
0300 = 0x0003 = Sequemznummer 3
18-19
Link count
0200 = 0x0002 = 2 Links
20-21
Offset to first attribute
3800 = 0x0038 = 56
22-23
Flags
0100 = 0x0001 = 0x01 (0x01: record in use, 0x02 directory)
24-27
Used size of MFT entry
2002 0000 = 0x0220 = 533 (0x03a3c00 + 0x220 = 0x3a3e20)
28-31
Allocated size of MFT entry
0004 0000 = 0x0400 = 1024
32-39
File reference to base record
0000 0000 0000 0000 = 0x0= 0
40-41
Next attribute identifier
0500 = 0x0005 = 5
Welche Bedeutung hat das Resident-Flag?

When a file’s attributes can fit within the MFT file record, they are called resident attributes. For example, information such as filename and time stamp are always included in the MFT file record. When all of the information for a file is too large to fit in the MFT file record, some of its attributes are nonresident. The nonresident attributes are allocated one or more clusters of disk space elsewhere in the volume.http://ntfs.com/ntfs-files-types.htm

Wenn die Attribute einer Datei kleiner als 700KiB sind, werden sie im MFT Record abgelegt. Sollten sie nicht mehr in den Record passen, werden sie als nonresident gekennzeichnet und werden anderweitig abgelegt. Zugriffe auf solche Attribute erzeugen folglich Performanzverluste.
Welche Bedeutung hat das Attribut $LOGGED_UTILITY_STREAM?

The $LOGGED_UTILITY_STREAM Attribute: Type 0x100 — layout and treatment is similar to $DATA attribute. Every EFS encrypted file will have this attribute to store the file encryption key used during encryption/de.http://www.c-jump.com/bcc/t256t/Week04NtfsReview/W01_0500_the_loggedutilitys.htm

Dieses Attribut wird scheinbar von einem Encrypting File System (EFS) genutzt, um darin die verwendeten Schlüssel während der Verschlüsselung abzulegen. Folglich besitzt jede verschlüsselte Datei dieses Attribut.
Ist Cluster 45904 alloziert?
Die Informationen zu den allozierten Clustern können wir $Bitmap entnehmen. Dafür brauchen wir aber noch etwas mehr Hintergrundwissen.

This file keeps track of all of the used and unused clusters on an NTFS volume. Each bit in the Bitmap represents 1 cluster, if that bit is “1” then the cluster is in use. For example if a byte in the BitMap is “F”, this means that 4 clusters are in use as F (hex) = 1111 in binary.https://whereismydata.wordpress.com/2009/06/01/forensics-what-is-the-bitmap/

Dank dieser Information wissen wir nun, dass jedes Bit ein Cluster repräsentiert. In der Binärdarstellung eines Bytes steht ganz rechts das kleinste Cluster und links das größte Cluster.
$ icat partition_1.dd 6 | xxd -skip 5738 -l 1
000166a: fe
0xfe entspricht wird binär als 11111110 dargestellt. Gemäß unserer Definition steht rechts das kleinste Cluster. Cluster 45904 ist daher nicht alloziert.
Anwendungsforensik
In dieser Aufgabe sollen Sie ein paar Fragen zur Windows Registry beantworten. Bitte verwenden Sie im Folgenden partition_1.dd.
Welche Anwendungen werden beim Start des Systems aufgerufen?
Microsoft beschreibt, dass Informationen zum Autostart an den folgenden Stellen in der Registry gefunden werden kann.

List of common autorun locations: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM\System\CurrentControlSet\Services HKLM\System\CurrentControlSet\Control\Terminal Server HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce.https://support.microsoft.com/de-de/kb/2647300/de

Mithilfe von regripper werten wir die Registry aus.
user_run v.20130329

(NTUSER.DAT) [Autostart] Get autostart key contents from NTUSER.DAT hive

  Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE: C:\WINDOWS\system32\ctfmon.exe
    Skype: "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    SSS15 Browser Monitor: "C:\Program Files\Steganos Privacy Suite 15\SteganosBrowserMonitor.exe"

soft_run v.20130329
(Software) [Autostart] Get autostart key contents from Software hive

  Microsoft\Windows\CurrentVersion\Run
  LastWrite Time Tue Apr  1 01:24:26 2014 (UTC)
    DWQueuedReporting - "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t
    BluetoothAuthenticationAgent - rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    Steganos HotKeys - "C:\Program Files\Steganos Privacy Suite 15\SteganosHotKeyService.exe"
    PHIME2002ASync - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    CoolSwitch - C:\WINDOWS\system32\taskswitch.exe
    PHIME2002A - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    SSS15 Chrome Autofill Relay - "C:\Program Files\Steganos Privacy Suite 15\passwordmanagercom.exe"
    SSS15 File Redirection Starter - "C:\Program Files\Steganos Privacy Suite 15\fredirstarter.exe"
    IMJPMIG8.1 - "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
Welche Dateien wurden zuletzt verwendet?
recentdocs v.20100405
(NTUSER.DAT) Gets contents of user's RecentDocs key

  RecentDocs
  **All values printed in MRUList\MRUListEx order.
  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
  LastWrite Time Sun Mar 30 17:38:32 2014 (UTC)
    1 = Startup
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs
    3 = My Pictures
    9 = 4.jpeg
    8 = 3.jpeg
    7 = 2.jpeg
    5 = index.jpeg
    6 = Edoofy.jpeg
    4 = images.jpeg
    2 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.htm
  LastWrite Time Sun Mar 30 17:08:51 2014 (UTC)
  MRUListEx = 0
    0 = imgres.htm

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpeg
  LastWrite Time Sun Mar 30 17:15:37 2014 (UTC)
  MRUListEx = 5,4,1,3,2,0
    5 = 4.jpeg
    4 = 3.jpeg
    1 = 2.jpeg
    3 = index.jpeg
    2 = Edoofy.jpeg
    0 = images.jpeg

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.vbs
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0
    0 = Microsoft .NET Framework v4 - Slow Windows XP Boot Fix.vbs

  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Folder
  LastWrite Time Tue Apr  1 02:58:37 2014 (UTC)
  MRUListEx = 0,2
    0 = Startup
    2 = My Pictures
Welche Anwendungen wurden zuletzt über den Common-Dialog aufgerufen?
comdlg32 v.20121008

  Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
  LastWrite Time Sun Mar 30 16:53:10 2014 (UTC)
  LastVisitedMRU
  LastWrite: Sun Mar 30 17:14:43 2014
    MRUList = bca
    b -> EXE: firefox.exe
      -> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
    c -> EXE: Skype.exe
      -> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures
    a -> EXE: IEXPLORE.EXE
      -> Last Dir: C:\Documents and Settings\Owner\Local Settings\My Documents

  OpenSaveMRU\*
  LastWrite Time: Sun Mar 30 17:15:37 2014 Z
    MRUList = ihgefdcba
    i -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\4.jpeg
    h -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\3.jpeg
    g -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\2.jpeg
    e -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
    f -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
    d -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg
    c -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm
    b -> C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe

  OpenSaveMRU\exe
  LastWrite Time: Sun Mar 30 16:54:29 2014 Z
    MRUList = ba
    b -> C:\Documents and Settings\Owner\Local Settings\My Documents\SkypeSetup.exe
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\Firefox Setup Stub 28.0.exe

  OpenSaveMRU\htm
  LastWrite Time: Sun Mar 30 17:08:51 2014 Z
    MRUList = a
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\imgres.htm

  OpenSaveMRU\jpeg
  LastWrite Time: Sun Mar 30 17:15:37 2014 Z
    MRUList = fedbca
    f -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\4.jpeg
    e -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\3.jpeg
    d -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\2.jpeg
    b -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
    c -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
    a -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg





Schreiben Sie einen Kommentar Antwort abbrechen
Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert
Kommentar * 
Name * 
E-Mail-Adresse * 
Website 
 

Δ
	

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.

		

              			











Cookie-Zustimmung verwalten






Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.




Funktional



Funktional

Immer aktiv					










Vorlieben


Vorlieben











Statistiken


Statistiken











Marketing


Marketing













Optionen verwalten
Dienste verwalten
Verwalten Sie {vendor_count} Lieferanten
Lesen Sie mehr über diese Zwecke




Akzeptieren
Ablehnen
Einstellungen ansehen
Einstellungen speichern
Einstellungen ansehen



{title}
{title}
{title}




Zustimmung verwalten












.jpeg
b -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\index.jpeg
c -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\Edoofy.jpeg
a -> C:\Documents and Settings\Owner\Local Settings\My Documents\My Pictures\images.jpeg