marius/Forensische_Analyse_2023
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Registry Analyse, Typos weg

Browse Source
This commit is contained in:
marius 2023-11-11 13:52:44 +01:00
parent de29bbc677
commit f71b671205
1 changed files with 48 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

51
Notizen_Forensiche_Analyse_S3.md
View File

@ -3,11 +3,11 @@
## Anmerkungen Tutorium ## Anmerkungen Tutorium
* WAL , wear leveling * WAL , wear leveling
* bei Flash Speicher werde iNodes durch-rotiert * bei Flash Speicher werden iNodes durch-rotiert
* es kann also X-tausend SQlite DBs bei etwa 50 Apps * es kann also X-tausend SQlite DBs bei etwa 50 Apps
* Smartphones haben 30-40 Partitionen * Smartphones haben 30-40 Partitionen
* Autopsy für Smartphone ist erlaubt * Autopsy für Smartphone ist erlaubt
* Sleuthkit für Win Image, da nicht ok * Sleuthkit für Win Image: da Nintendo nicht ok
## Fokus ## Fokus
@ -52,7 +52,7 @@ Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
* **Prefetch** * **Prefetch**
* `sccainfo` für das Lesen von *.pf Files * `sccainfo` für das Lesen von *.pf Files
* gehören zu den "Windows-spezifischen Artefakten" * gehören zu den "Windows-spezifischen Artefakten"
* HW Wallert (?) * HW Wallet (?)
* Indizien für Crypto Kram (USB -> ?) * Indizien für Crypto Kram (USB -> ?)
* **Volume Shadow Copies** * **Volume Shadow Copies**
* unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien. * unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
@ -167,5 +167,50 @@ mount -o ro /vss/vss5 /mnt/
``` ```
### Registry
* Authenzifizierungsverfahren für lokale Accounts in Evolution
* Rainbow Tables für biszu 7 Zeichen einfach erzeugbar, da unsalted bis Win 7
* ```SAM``` file, heute verschlüsselt mit `SYSTEM` Key
* Am Anfang der Analyse extrahieren:
* ```SAM```
* ```SYSTEM```
* ```SOFTWARE```- **USB device history** (relevant für APL)
* Service Pack, User, System Information
```bash
mmls dell3.E0*
# 63 offset kommt hierher
# RegEx: $: endet mit SAM
fls -pro 63 /dev/loop7p2 | grep SAM$
# .. nicht APL relevant
# Bei toten Loop Devices in der APL können wir uns Anmerkungen schenken, wenn aus loop7 loop7+1 ... wird
# WINDOWS /systemn32/config/SAM - Hive
# ntuser.dat - profilbezogener Hive (letzte Dateien geöffnet, Drucker benutzt usw.) - wird nicht benötigt (?)
# Extraktion des Files
icat -o 63 dell3.E0* 3667 > /tmp/SAM
# Cross-check doku,entieren:
file /tmp/SAM
# da sollte so was wie MS Windows registry file stehen
# nicht ausschweifend beschreiben. Nutzung zeigen, nicht wissenschaftlich erklären
# SYSTEM Hive alles klein, SAM alles groß
# -i - case ignorieren
fls -pro 63 dell3.E0* | grep system$
# es ist die Datei in system32/config/system
fls -pro 63 dell3.E0* 334 > /tmp/system
file /tmp/system
# Es gibt mehrere ntuser.dat, z. B. bei User Default
# Dieser ist ein Template User.
```
## foo ## foo