Tuesday, December 26, 2023

DIGITAL FORENSICS:Decoding Windows Registry Artifacts

DIGITAL FORENSICS:Decoding Windows Registry Artifacts

ROT13   ("หมุน 13 ตำแหน่ง"  เป็นเทคนิคแทนที่ตัวอักษรอย่างง่ายที่แทนที่ตัวอักษรด้วยตัวอักษรตัวที่ 13 ตามหลังในอักษรละติน ROT13 ซึ่งพัฒนาขึ้นในยุคโรม  และต่อมาได้นำวิธีนี้มาใช้ในระบบคอมพิวเตอร์ด้วย

Caesar cipher เป็นเทคนิคการแทนที่ตัวอักษรที่ง่ายและแพร่หลายที่สุด โดยอักษรแต่ละตัวจะถูกแทนที่ด้วยตัวอักษรที่อยู่ลำดับถัดไป ตามจำนวนที่แน่นอน แล้วแต่จำนวน

Decoding Windows Registry Artifacts

ROT เช่นตัวที่นิยมที่สุดในยุคนั้นคือ ROT13 ก็จะทำการ Shift ตัวอักษรไปอีก 13 ตัว เช่น  ROT13(“Julius Caesar”) = “Whyvhf Pnrfne”


Introduction to CyberChef

  • Open this page:

https://gchq.github.io/CyberChef/


  • On the top right, in the Input box, enter:  Digital Forensics Examiner


  • Find the ROT13 operation and drag it to the Recipe pane.


The encrypted message appears in the lower right Output pane, beginning with Qvtvgny, as shown below.

Decoding Windows Registry Artifacts


Disable the ROT13 operation. Now the output is the same as the input, as shown below.

Decoding Windows Registry Artifacts


Registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

The key in the Registry. UserAssist shows the program that was executed in Windows with last execution (executable and links) time and path of executed program.

ในวินโดว์ รีจิสทรีจะติดตามข้อมูลที่ระบบปฏิบัติการ ตั้งค่าแอปพลิเคชันและข้อมูลเฉพาะของผู้ใช้ (User)   แต่กิจกรรมของพวกเขามักจะถูกบันทึกไว้เมื่อพวกเขาเรียกใช้โปรแกรมติดตั้งหรือแอพพลิเคชั่น กลุ่มรีจิสทรี HKEY_CURRENT_USER จะจัดเก็บการตั้งค่าเฉพาะสำหรับผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน

    และใน Windows มีรายการรีจิสตรีจำนวนหนึ่งภายใต้ UserAssist ซึ่งช่วยให้ผู้ตรวจสอบสามารถดูว่าโปรแกรมใดบ้างที่ถูกเรียกใช้งานเมื่อเร็วๆ นี้บนระบบ สิ่งนี้มีประโยชน์อย่างยิ่งในการสืบสวนที่ผู้ตรวจสอบต้องการดูว่ามีการใช้งานแอปพลิเคชันใดอยู่หรือไม่ เช่น เครื่องมือการเข้ารหัสหรือการล้างข้อมูล  

     ข้อมูล UserAssist จะมีข้อมูลว่าแอปพลิเคชันถูกเรียกใช้จากทางลัด (ไฟล์ LNK) หรือจากไฟล์ปฏิบัติการโดยตรง  (executable) ซึ่งจะช่วยให้ผู้ตรวจสอบได้รับบริบทเพิ่มเติมเกี่ยวกับการทำงานของโปรแกรม

    มีการนำเทคนิค ROT13 ทำการ Encode   ข้อมูลไว้ภายใต้กลุ่ม  UserAssist  รีจิสทรีส่วนนี้ติดตามข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งและทำงานบนเครื่อง และสามารถช่วยคุณค้นหาหลักฐานการมีอยู่และการทำงานของแอปพลิเคชันเหล่านั้น

อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าไม่ใช่ทุกแอปพลิเคชันที่ใช้ Windows Registry เพื่อจัดเก็บรายละเอียดการกำหนดค่าและการดำเนินการ แม้ว่าจะไม่พบบันทึกที่นั่น แต่ก็ไม่ได้หมายความว่าแอปพลิเคชันบางตัวไม่เคยเป็นส่วนหนึ่งของระบบ 

Extracting UserAssist information from the Windows registry

รีจิสทรีของ Windows เก็บข้อมูลกลุ่ม HKEY_CURRENT_USER ในไฟล์ NTUSER.DAT ที่อยู่ใน C:\Users\%useraccount% บัญชีผู้ใช้แต่ละบัญชีในระบบมี NTUSER.DAT ของตัวเอง ไฟล์นี้มีข้อมูลการกำหนดค่าผู้ใช้ ซึ่งจะอัปเดตตลอด 

วิธีที่รวดเร็วที่สุดในการรับข้อมูล UserAssist คือการวิเคราะห์โฟลเดอร์ C:\Users\%useraccount% โดยใช้เครื่องมือนิติวิทยาศาสตร์ดิจิทัล  เช่น Autopsy ,AccessData Registry Viewer ,Beklasoft,Magnet ,Registry  Recon ,CyberChef ,OSforensics Registry Viewer ,Registry Explorer


คุณสามารถแยกวิเคราะห์ NTUSER.DAT ได้ด้วยตนเอง อย่างไรก็ตาม มันเกี่ยวข้องกับการเจาะลึกโครงสร้างไฟล์และเทคนิคการเข้ารหัส เนื่องจากไฟล์เก็บข้อมูลในรูปแบบไบนารี และข้อมูล UserAssist ถูกทำให้สับสนด้วยการเข้ารหัส ROT13 นอกจากนี้ เมื่อต้องจัดการกับบันทึกที่อาจถูกลบ เครื่องมือทั่วไป เช่น Registry Editor อาจทำให้เราอ่านค่าเหล่านั้นได้ยาก

DIGITAL FORENSICS:Decoding Windows Registry Artifacts

เครื่องมือ  Forensics Tools จะแยกวิเคราะห์ข้อมูลรีจิสทรี UserAssist และถอดรหัสข้อมูลที่เข้ารหัส ROT13 โดยให้ชื่อไฟล์และพาธแก่ผู้ตรวจสอบ จำนวนการเรียกใช้แอปพลิเคชัน ผู้ใช้ที่เกี่ยวข้อง และวันที่/เวลาที่โปรแกรมถูกเรียกใช้งานครั้งล่าสุด

Analyzing the UserAssist artifact

  • Autopsy V.4.19
DIGITAL FORENSICS Analyzing the UserAssist artifact
ชื่อและเส้นทางแอปพลิเคชันที่ดำเนินการ (ฟิลด์ชื่อ ค่าแสดงค่าดั้งเดิมที่เข้ารหัสใน ROT13) name and path (red highlights) 
  • Registry  Recon V.2.4

DIGITAL FORENSICS:Decode ROT13

  • AccessData Registry Viewer V.1.8
DIGITAL FORENSICS:Decoding Windows Registry Artifacts

  • OSforensics Registry Viewer V.7.1
DIGITAL FORENSICS:Decoding Windows Registry Artifacts

  • Belkasoft X

DIGITAL FORENSICS:Decode ROT13

  • Registry Explorer V.2.0
DIGITAL FORENSICS decodes ROT13

  • CyberChef    > Decode ROT13
DIGITAL FORENSICS:Decoding Windows Registry Artifacts


เส้นทางการดำเนินการจริงบนเครื่อง เช่น "C:\Program Files\ExampleApp"
ชุดค่า  GUID/เส้นทาง โดยที่ GUID แสดงถึงโฟลเดอร์ระบบมาตรฐาน คุณสามารถค้นหาข้อมูลเกี่ยวกับวิธีการตีความ GUID เหล่านี้ได้ในบทความของ Microsoft "Known Folder GUIDs forFile Dialog Custom Places"
Known Folder GUIDs for File Dialog Custom Places
ตัวอย่าง
The UserAssist data is obfuscated with ROT13 encoding. 
System 1AC14E77-02E7-4E5D-B744-2EB1AE5198B7
  1. Encode > {1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\pzq.rkr     
  2. Decode >{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\cmd.exe   

     

อ่านเพื่มเติม: CyberChef

                    ROT13

อ้างอิง :


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...