Registry Analyse, Typos weg
This commit is contained in:
parent
de29bbc677
commit
f71b671205
@ -3,11 +3,11 @@
|
|||||||
## Anmerkungen Tutorium
|
## Anmerkungen Tutorium
|
||||||
|
|
||||||
* WAL , wear leveling
|
* WAL , wear leveling
|
||||||
* bei Flash Speicher werde iNodes durch-rotiert
|
* bei Flash Speicher werden iNodes durch-rotiert
|
||||||
* es kann also X-tausend SQlite DBs bei etwa 50 Apps
|
* es kann also X-tausend SQlite DBs bei etwa 50 Apps
|
||||||
* Smartphones haben 30-40 Partitionen
|
* Smartphones haben 30-40 Partitionen
|
||||||
* Autopsy für Smartphone ist erlaubt
|
* Autopsy für Smartphone ist erlaubt
|
||||||
* Sleuthkit für Win Image, da nicht ok
|
* Sleuthkit für Win Image: da Nintendo nicht ok
|
||||||
|
|
||||||
## Fokus
|
## Fokus
|
||||||
|
|
||||||
@ -52,7 +52,7 @@ Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
|
|||||||
* **Prefetch**
|
* **Prefetch**
|
||||||
* `sccainfo` für das Lesen von *.pf Files
|
* `sccainfo` für das Lesen von *.pf Files
|
||||||
* gehören zu den "Windows-spezifischen Artefakten"
|
* gehören zu den "Windows-spezifischen Artefakten"
|
||||||
* HW Wallert (?)
|
* HW Wallet (?)
|
||||||
* Indizien für Crypto Kram (USB -> ?)
|
* Indizien für Crypto Kram (USB -> ?)
|
||||||
* **Volume Shadow Copies**
|
* **Volume Shadow Copies**
|
||||||
* unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
|
* unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
|
||||||
@ -167,5 +167,50 @@ mount -o ro /vss/vss5 /mnt/
|
|||||||
|
|
||||||
```
|
```
|
||||||
|
|
||||||
|
### Registry
|
||||||
|
|
||||||
|
* Authenzifizierungsverfahren für lokale Accounts in Evolution
|
||||||
|
* Rainbow Tables für biszu 7 Zeichen einfach erzeugbar, da unsalted bis Win 7
|
||||||
|
* ```SAM``` file, heute verschlüsselt mit `SYSTEM` Key
|
||||||
|
* Am Anfang der Analyse extrahieren:
|
||||||
|
* ```SAM```
|
||||||
|
* ```SYSTEM```
|
||||||
|
* ```SOFTWARE```- **USB device history** (relevant für APL)
|
||||||
|
* Service Pack, User, System Information
|
||||||
|
|
||||||
|
```bash
|
||||||
|
mmls dell3.E0*
|
||||||
|
# 63 offset kommt hierher
|
||||||
|
|
||||||
|
# RegEx: $: endet mit SAM
|
||||||
|
fls -pro 63 /dev/loop7p2 | grep SAM$
|
||||||
|
# .. nicht APL relevant
|
||||||
|
# Bei toten Loop Devices in der APL können wir uns Anmerkungen schenken, wenn aus loop7 loop7+1 ... wird
|
||||||
|
# WINDOWS /systemn32/config/SAM - Hive
|
||||||
|
# ntuser.dat - profilbezogener Hive (letzte Dateien geöffnet, Drucker benutzt usw.) - wird nicht benötigt (?)
|
||||||
|
|
||||||
|
# Extraktion des Files
|
||||||
|
icat -o 63 dell3.E0* 3667 > /tmp/SAM
|
||||||
|
|
||||||
|
# Cross-check doku,entieren:
|
||||||
|
file /tmp/SAM
|
||||||
|
# da sollte so was wie MS Windows registry file stehen
|
||||||
|
# nicht ausschweifend beschreiben. Nutzung zeigen, nicht wissenschaftlich erklären
|
||||||
|
|
||||||
|
# SYSTEM Hive alles klein, SAM alles groß
|
||||||
|
# -i - case ignorieren
|
||||||
|
fls -pro 63 dell3.E0* | grep system$
|
||||||
|
# es ist die Datei in system32/config/system
|
||||||
|
|
||||||
|
fls -pro 63 dell3.E0* 334 > /tmp/system
|
||||||
|
file /tmp/system
|
||||||
|
|
||||||
|
# Es gibt mehrere ntuser.dat, z. B. bei User Default
|
||||||
|
# Dieser ist ein Template User.
|
||||||
|
|
||||||
|
```
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
## foo
|
## foo
|
||||||
|
|
||||||
|
Loading…
Reference in New Issue
Block a user