История запуска программ Windows

История запуска программ windows

Информация о запуске программ в Windows играет важную роль в компьютерной форензике. Мы уже рассказывали про поиск артефактов в Windows. Сегодня познакомлю вас с методами поиска и получения информации о запуске исполняемых программах Windows.

Еще по теме: Расследование взлома компьютера Windows

Получение информации о запуске программ Windows

Для ана­лиза истории запущен­ных при­ложе­ний в Windows сущес­тву­ет мно­жес­тво инс­тру­мен­тов.

Prefetch

Фай­лы трас­сиров­ки лежат в

Из них мож­но почер­пнуть имя выпол­няемо­го фай­ла, количес­тво запус­ков, спис­ки фай­лов, с которы­ми вза­имо­дей­ство­вал исполня­емый файл, а так­же вре­мен­ные мет­ки: вре­мя и дату пер­вого запус­ка, вре­мя изме­нения и вре­мя пос­ледних семи запус­ков.

Ути­литы для ана­лиза:

В сер­верных вер­сиях Windows запись дан­ных по умол­чанию отклю­чена.

За­пус­кайте WinPrefetchView, перехо­дите на вклад­ку Options> Advanced Options и ука­зывайте путь к фай­лам Prefetch.

История запуска приложений Windows

На скрине выше мы видим, что запус­калась еще и динами­чес­кая биб­лиоте­ка AFXML.DLL.

Всег­да обра­щайте вни­мание на исполь­зуемые фай­лы.

Amcache

Amcache — куст реес­тра Windows, который хра­нит информа­цию о запущен­ных при­ложе­ниях, путь, вре­мен­ную мет­ку пер­вого запус­ка и SHA-1-хеш фай­ла. Этот файл вы най­дете здесь:

В Windows 8 эти арте­фак­ты хра­нят­ся в фай­ле RecentFileCache.bcf. Струк­тура это­го кус­та реес­тра опи­сана в статье Leveraging the Windows Amcache.hve File in Forensic Investigations.

Так­же в катало­ге C:\Windows\appcompat\Programs\Install хра­нит­ся информа­ция о каж­дой уста­нов­ленной прог­рамме.

Ути­литы для ана­лиза:

  • AmcacheParser извле­кает дан­ные, содер­жащи­еся в Amcache.hve;
  • RecentFileCacheParser.exe извле­кает дан­ные из фай­ла RecentFileCache.bcf;
  • python-registry-amcache.

При запус­ке AmcacheParser.exe исполь­зуйте сле­дующую коман­ду:

Ре­зуль­тат смот­рим в фай­ле Amcache_UnassociatedFileEntries.csv. Хеш‑сум­му SHA-1 можете сра­зу про­бить на VirusTotal.

Shimcache

Shimcache — это механизм, который обес­печива­ет обратную сов­мести­мость ста­рых при­ложе­ний с более новыми вер­сиями Windows. Его парамет­ры хра­нят­ся в кус­те реес­тра SYSTEM:

Клю­чи:

  • CurrentControlSet\Control\Session;
  • Manager\AppCompatCache\AppCompatCache.

В кеше мож­но най­ти путь к фай­лу, раз­мер фай­ла, вре­мя пос­ледне­го изме­нения, вре­мя пос­ледне­го обновле­ния Shimcache, флаг выпол­нения про­цес­са. В зависи­мос­ти от вер­сии Windows этот спи­сок может слег­ка раз­личать­ся.

Ана­лизи­ровать кеш удоб­но ути­литой AppCompatCacheParser.exe:

UserAssist

В фай­ле кус­та реес­тра поль­зовате­ля NTUSER.DAT есть ключ UserAssist, помога­ющий отсле­живать выпол­няемые прог­раммы. Здесь мож­но най­ти дан­ные о при­ложе­ниях, запущен­ных опре­делен­ным поль­зовате­лем через про­вод­ник Windows. Исполня­емые фай­лы, запущен­ные из коман­дной стро­ки, не отоб­ража­ются. Информа­ция записа­на в дво­ичном виде.

Клю­чи реес­тра UserAssist хра­нят­ся вот в этой вет­ке:

GUID для Windows 7 и выше:

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} — запуск исполня­емо­го фай­ла;
{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F} — запуск исполня­емо­го фай­ла с помощью сим­воличес­кой ссыл­ки.

Каж­дое зна­чение UserAssist закоди­рова­но в фор­мате ROT13. Сре­ди дан­ных есть информа­ция о чис­ле запус­ков исполня­емо­го фай­ла или ссыл­ки, а так­же мет­ка вре­мени пос­ледне­го выпол­нения.

Для пар­синга это­го клю­ча реес­тра мож­но вос­поль­зовать­ся ути­литой 4Discovery.

Заключение

Получение информации о запуске программа в Windows — важная задача. Рассмотренные методы и инструменты могут использоваться в зависимости от конкретных целей. Понимание, как получать эту информацию, поможет в расследовании инцидентов.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий