README.hta

Вечер перестает быть томным: минутка форензики вошла в чат. А вообще, если вы как-либо связаны с расследованием инцидентов, то вам не понаслышке знаком такой источник артефактов как Amcache.hve (%SystemRoot%\AppCompat\Programs\Amcache). Но знали ли вы, что

1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных

2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)

3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку

4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта

5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла AEINV_WER — AEINV_WER_{MachineId}_YYYYMMDD_HHmmss.xml, который может быть в той же директории

6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет

В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот

www.tgoop.com/s3Ch1n7/438

3.7K viewsNov 18 at 17:26

Вечер перестает быть томным: минутка форензики вошла в чат. А вообще, если вы как-либо связаны с расследованием инцидентов, то вам не понаслышке знаком такой источник артефактов как Amcache.hve (%SystemRoot%\AppCompat\Programs\Amcache). Но знали ли вы, что

1. Evidence of presence: данный куст реестра хранит информацию об установленных приложениях, загруженных драйверах и выполненных или существующих в системе программах. То есть он не может быть использован для подтверждения, что определенный файл исполнялся в системе, без других источников данных

2. Указанный SHA1 не всегда является хешем самого файла. Если файл большого размера, берется хеш только от первых 30 МБ (31,457,280 байт)

3. А еще этот самый хеш по умолчанию содержит 4 нуля непосредственно перед самим значением. Новичков это может немного сбивать с толку

4. Имеет 2 формата хранения данных, при этом они оба могут использоваться в одном кусте реестра. Необходимо это учитывать и убедиться, что используемый инструментарий поддерживает оба варианта

5. Его предшественником был RecentFileCache.bcf (Amcache считается Win7+, однако на некоторых системах могут быть оба файла), у которого есть ряд странных ограничений. Например, туда пишутся далеко не все бинари (нет внешних, сетевых устройств, не во всех случаях обрабатывается %USERPROFILE%). Но еще грустнее от того, что данный источник артефактов не содержит хешей, таких ценных и порой чрезвычайно важных в процессе расследования. Но не все знают, что тот самый хеш есть шанс достать из файла AEINV_WER — AEINV_WER_{MachineId}_YYYYMMDD_HHmmss.xml, который может быть в той же директории

6. Данные обновляются не только при непосредственном исполнении PE-файла, но и запланированными задачами ProgramDataUpdater и Microsoft Compability Appraiser. Это может помочь при восстановлении хронологии событий, если точных временных меток нет

В целом, у меня все, но если хочется хардкора и поизучать всевозможные поля, то вот

BY README.hta