Registry Analyse, Typos weg
parent
de29bbc677
commit
f71b671205
|
|
@ -3,11 +3,11 @@
|
|||
## Anmerkungen Tutorium
|
||||
|
||||
* WAL , wear leveling
|
||||
* bei Flash Speicher werde iNodes durch-rotiert
|
||||
* bei Flash Speicher werden iNodes durch-rotiert
|
||||
* es kann also X-tausend SQlite DBs bei etwa 50 Apps
|
||||
* Smartphones haben 30-40 Partitionen
|
||||
* Autopsy für Smartphone ist erlaubt
|
||||
* Sleuthkit für Win Image, da nicht ok
|
||||
* Sleuthkit für Win Image: da Nintendo nicht ok
|
||||
|
||||
## Fokus
|
||||
|
||||
|
|
@ -52,7 +52,7 @@ Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
|
|||
* **Prefetch**
|
||||
* `sccainfo` für das Lesen von *.pf Files
|
||||
* gehören zu den "Windows-spezifischen Artefakten"
|
||||
* HW Wallert (?)
|
||||
* HW Wallet (?)
|
||||
* Indizien für Crypto Kram (USB -> ?)
|
||||
* **Volume Shadow Copies**
|
||||
* unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
|
||||
|
|
@ -167,5 +167,50 @@ mount -o ro /vss/vss5 /mnt/
|
|||
|
||||
```
|
||||
|
||||
### Registry
|
||||
|
||||
* Authenzifizierungsverfahren für lokale Accounts in Evolution
|
||||
* Rainbow Tables für biszu 7 Zeichen einfach erzeugbar, da unsalted bis Win 7
|
||||
* ```SAM``` file, heute verschlüsselt mit `SYSTEM` Key
|
||||
* Am Anfang der Analyse extrahieren:
|
||||
* ```SAM```
|
||||
* ```SYSTEM```
|
||||
* ```SOFTWARE```- **USB device history** (relevant für APL)
|
||||
* Service Pack, User, System Information
|
||||
|
||||
```bash
|
||||
mmls dell3.E0*
|
||||
# 63 offset kommt hierher
|
||||
|
||||
# RegEx: $: endet mit SAM
|
||||
fls -pro 63 /dev/loop7p2 | grep SAM$
|
||||
# .. nicht APL relevant
|
||||
# Bei toten Loop Devices in der APL können wir uns Anmerkungen schenken, wenn aus loop7 loop7+1 ... wird
|
||||
# WINDOWS /systemn32/config/SAM - Hive
|
||||
# ntuser.dat - profilbezogener Hive (letzte Dateien geöffnet, Drucker benutzt usw.) - wird nicht benötigt (?)
|
||||
|
||||
# Extraktion des Files
|
||||
icat -o 63 dell3.E0* 3667 > /tmp/SAM
|
||||
|
||||
# Cross-check doku,entieren:
|
||||
file /tmp/SAM
|
||||
# da sollte so was wie MS Windows registry file stehen
|
||||
# nicht ausschweifend beschreiben. Nutzung zeigen, nicht wissenschaftlich erklären
|
||||
|
||||
# SYSTEM Hive alles klein, SAM alles groß
|
||||
# -i - case ignorieren
|
||||
fls -pro 63 dell3.E0* | grep system$
|
||||
# es ist die Datei in system32/config/system
|
||||
|
||||
fls -pro 63 dell3.E0* 334 > /tmp/system
|
||||
file /tmp/system
|
||||
|
||||
# Es gibt mehrere ntuser.dat, z. B. bei User Default
|
||||
# Dieser ist ein Template User.
|
||||
|
||||
```
|
||||
|
||||
|
||||
|
||||
## foo
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue