From f71b6712055314a8607d34129ad08360265f2b39 Mon Sep 17 00:00:00 2001
From: marius <marius@because-security.com>
Date: Sat, 11 Nov 2023 13:52:44 +0100
Subject: [PATCH] Registry Analyse, Typos weg

---
 Notizen_Forensiche_Analyse_S3.md | 51 ++++++++++++++++++++++++++++++--
 1 file changed, 48 insertions(+), 3 deletions(-)

diff --git a/Notizen_Forensiche_Analyse_S3.md b/Notizen_Forensiche_Analyse_S3.md
index 80d8798..7112bc7 100644
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@@ -3,11 +3,11 @@
 ## Anmerkungen Tutorium
 
 * WAL , wear leveling
-  * bei Flash Speicher werde iNodes durch-rotiert
+  * bei Flash Speicher werden iNodes durch-rotiert
   * es kann also X-tausend SQlite DBs bei etwa 50 Apps
   * Smartphones haben 30-40 Partitionen
 * Autopsy für Smartphone ist erlaubt
-  * Sleuthkit für Win Image, da nicht ok
+  * Sleuthkit für Win Image: da Nintendo nicht ok
 
 ## Fokus
 
@@ -52,7 +52,7 @@ Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
 * **Prefetch**
   * `sccainfo` für das Lesen von *.pf Files
   * gehören zu den "Windows-spezifischen Artefakten"
-    * HW Wallert (?)
+    * HW Wallet (?)
       * Indizien für Crypto Kram (USB -> ?)
 * **Volume Shadow Copies**
   * unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien. 
@@ -167,5 +167,50 @@ mount -o ro /vss/vss5 /mnt/
 
 ```
 
+### Registry
+
+* Authenzifizierungsverfahren für lokale Accounts in Evolution
+* Rainbow Tables für biszu 7 Zeichen einfach erzeugbar, da unsalted bis Win 7
+* ```SAM``` file, heute verschlüsselt mit `SYSTEM` Key
+* Am Anfang der Analyse extrahieren:
+  * ```SAM```
+  * ```SYSTEM```
+  * ```SOFTWARE```- **USB device history** (relevant für APL)
+    * Service Pack, User, System Information
+
+```bash
+mmls dell3.E0*
+# 63 offset kommt hierher
+
+# RegEx: $: endet mit SAM
+fls -pro 63 /dev/loop7p2 | grep SAM$ 
+# .. nicht APL relevant
+# Bei toten Loop Devices in der APL können wir uns Anmerkungen schenken, wenn aus loop7 loop7+1 ... wird
+# WINDOWS /systemn32/config/SAM - Hive
+# ntuser.dat - profilbezogener Hive (letzte Dateien geöffnet, Drucker benutzt usw.) - wird nicht benötigt (?)
+
+# Extraktion des Files
+icat -o 63 dell3.E0* 3667 > /tmp/SAM
+
+# Cross-check doku,entieren:
+file /tmp/SAM
+# da sollte so was wie MS Windows registry file stehen
+# nicht ausschweifend beschreiben. Nutzung zeigen, nicht wissenschaftlich erklären
+
+# SYSTEM Hive alles klein, SAM alles groß 
+# -i - case ignorieren
+fls -pro 63 dell3.E0* | grep system$
+# es ist die Datei in system32/config/system
+
+fls -pro 63 dell3.E0* 334 > /tmp/system
+file /tmp/system
+
+# Es gibt mehrere ntuser.dat, z. B. bei User Default
+# Dieser ist ein Template User.
+
+```
+
+
+
 ## foo