diff options
Diffstat (limited to 'pract')
| -rw-r--r-- | pract/sem3/images/comdlg.png | bin | 0 -> 305992 bytes | |||
| -rw-r--r-- | pract/sem3/images/lastvisitedmru.png | bin | 0 -> 37072 bytes | |||
| -rw-r--r-- | pract/sem3/images/opensavemru.png | bin | 0 -> 275593 bytes | |||
| -rw-r--r-- | pract/sem3/images/reg_create1.png | bin | 64510 -> 52291 bytes | |||
| -rw-r--r-- | pract/sem3/images/visible_bar.png | bin | 0 -> 7457 bytes | |||
| -rw-r--r-- | pract/sem3/pract.tex | 92 |
6 files changed, 66 insertions, 26 deletions
diff --git a/pract/sem3/images/comdlg.png b/pract/sem3/images/comdlg.png Binary files differnew file mode 100644 index 0000000..49a9700 --- /dev/null +++ b/pract/sem3/images/comdlg.png diff --git a/pract/sem3/images/lastvisitedmru.png b/pract/sem3/images/lastvisitedmru.png Binary files differnew file mode 100644 index 0000000..b17884a --- /dev/null +++ b/pract/sem3/images/lastvisitedmru.png diff --git a/pract/sem3/images/opensavemru.png b/pract/sem3/images/opensavemru.png Binary files differnew file mode 100644 index 0000000..24afa83 --- /dev/null +++ b/pract/sem3/images/opensavemru.png diff --git a/pract/sem3/images/reg_create1.png b/pract/sem3/images/reg_create1.png Binary files differindex c60bdb9..6dd4001 100644 --- a/pract/sem3/images/reg_create1.png +++ b/pract/sem3/images/reg_create1.png diff --git a/pract/sem3/images/visible_bar.png b/pract/sem3/images/visible_bar.png Binary files differnew file mode 100644 index 0000000..75e134f --- /dev/null +++ b/pract/sem3/images/visible_bar.png diff --git a/pract/sem3/pract.tex b/pract/sem3/pract.tex index b1cafc6..492366e 100644 --- a/pract/sem3/pract.tex +++ b/pract/sem3/pract.tex @@ -134,11 +134,11 @@ % (допускается оба вида нумерации) % \secNumbering -\tableofcontents +% \tableofcontents -\intro +% \intro -введение +% введение \section{Отслеживание следов в системе} @@ -164,7 +164,7 @@ \label{fig:filters} \end{figure} -Первыми среди событий появились CreateFile и их необходимо рассмотреть подробнее. Можно заметить, что все запросы на создание файлов произошли по пути C:{\bsl}WINDOWS. При детальном рассмотрении этих файлов я выяснил, что единственным реальным следом оказался тот файл, что был записан в C:{\bsl}WINDOWS{\bsl}Prefetch (рис. \ref{fig:prefetch}), в то время как остальные запросы являются фантомными, на что указывает дата изменения этих файлов (рис. \ref{fig:system32}). Это можно объяснить тем, что директория system32 является системной, а .dll файлы в ней являются системными библиотеками. В связи с этим в дальнейшем я буду опускать запросы такого рода, так как их не имеет смысла рассматривать. +Первыми среди событий появились CreateFile. Можно заметить, что все запросы на создание файлов произошли по пути <<C:{\bsl}WINDOWS>>. При детальном рассмотрении этих файлов я выяснил, что единственным реальным следом оказался тот файл, что был записан в <<C:{\bsl}WINDOWS{\bsl}Prefetch>> (рис. \ref{fig:prefetch}), в то время как остальные запросы являются фантомными, на что указывает дата последнего изменения этих файлов (рис. \ref{fig:system32}). Это можно объяснить тем, что директория system32 является системной, а .dll файлы в ней являются системными библиотеками. В связи с этим в дальнейшем я буду опускать запросы такого рода, так как их не имеет смысла рассматривать. \begin{figure}[H] \centering @@ -180,7 +180,7 @@ \label{fig:system32} \end{figure} -Следующей за этими событиями появилась небольшая группа записей в HKLM{\bsl}SOFTWARE{\bsl}Microsoft{\bsl}Cryptography{\bsl}RNG{\bsl}Seed. (рис. \ref{fig:rngSeed}). Судя по названию, это <<семя>> для ГПСЧ. Данную запись нельзя считать следом, так как этот ключ реестра при каждом запуске системы разный и невозможно установить источник значения, записанного в нём. +Следующей за этими событиями появилась небольшая группа записей в <<HKLM{\bsl}SOFTWARE{\bsl}Microsoft{\bsl}Cryptography{\bsl}RNG{\bsl}Seed>>. (рис. \ref{fig:rngSeed}). Судя по названию, это <<семя>> для ГПСЧ. Данную запись нельзя считать следом, так как этот ключ реестра при каждом запуске системы разный и невозможно установить источник значения, записанного в нём. \begin{figure}[H] \centering @@ -189,24 +189,24 @@ \label{fig:rngSeed} \end{figure} -Далее следует множество однотипных операций типа RegCreateKey по пути -HKCU{\bsl}Software{\bsl}Microsoft{\bsl}Windows{\bsl}CurrentVersion{\bsl}Applets (рис. \ref{fig:appletsCreate}). Изучив эту ветку через программу regedit я обнаружил указанные ключи. Проверив на новой виртуальной машине, я выяснил, что данной ветки не существует при установке. Эти записи можно считать одним из искомых следов. (рис. \ref{fig:applets}) +Далее следует множество однотипных операций типа RegCreateKey в ветке +<<HKCU{\bsl}Software{\bsl}Microsoft{\bsl}Windows{\bsl}CurrentVersion{\bsl}Applets>>. Изучив эту ветку через программу regedit я обнаружил указанные ключи. Проверив на новой виртуальной машине, я выяснил, что данной ветки не существует при установке. Эти записи можно считать одним из искомых следов. (рис. \ref{fig:appletsCreate}) \begin{figure}[H] \centering - \includegraphics[width=0.8\textwidth]{reg_create1.png} - \caption{RegCreateKey в Applets} + \includegraphics[width=0.75\textwidth]{reg_create1.png} + \caption{RegCreateKey в Applets и ключ в ветке Recent File List} \label{fig:appletsCreate} \end{figure} -\begin{figure}[H] - \centering - \includegraphics[width=0.8\textwidth]{appletsDir.png} - \caption{Ветка Applets в изучаемой (справа) и новой (слева) системах} - \label{fig:applets} -\end{figure} +% \begin{figure}[H] +% \centering +% \includegraphics[width=0.8\textwidth]{appletsDir.png} +% \caption{Ветка Applets в изучаемой (справа) и новой (слева) системах} +% \label{fig:applets} +% \end{figure} -Далее в списке находится большое количество однотипных операций типа CreateFile (рис. \ref{fig:phantomFiles}). При детальном рассмотрении все записи оказались фантомными: дата последнего изменения файлов не сегодня. +Далее в списке находится большое количество однотипных операций типа CreateFile (рис. \ref{fig:phantomFiles}). При детальном рассмотрении все записи оказались фантомными: дата последнего изменения файлов не изменилась. \begin{figure}[H] \centering @@ -215,25 +215,65 @@ HKCU{\bsl}Software{\bsl}Microsoft{\bsl}Windows{\bsl}CurrentVersion{\bsl}Applets \label{fig:phantomFiles} \end{figure} -С операциями RegCreateKey/RegSetValue (рис. \ref{fig:phantomRegistry}) другая ситуация -- записи в ветки HKLM и Explorer{\bsl}User Shell Folders не являются следами, так как они присутствуют и в новой системе. А оставшиеся записи реестра в ветку HKCU можно считать следом. +С операциями RegCreateKey/RegSetValue (рис. \ref{fig:phantomRegistry}) другая ситуация -- записи в ветки HKLM и Explorer{\bsl}User Shell Folders не являются следами, так как они создаются при установке. А оставшиеся записи реестра в ветку HKCU можно считать следом. \begin{figure}[H] \centering \includegraphics[width=0.8\textwidth]{phantomRegistry.png} - \caption{Фантомные записи в регистр} + \caption{Операции записи в реестр} \label{fig:phantomRegistry} \end{figure} -\conclusion +Также среди этих операций выделились записи в ветку ComDlg32 (рис. \ref{fig:comdlg}). В этой ветке хранятся записи о файлах, которые были открыты или сохранены с помощью диалогового окна Проводника Windows. + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{comdlg.png} + \caption{Обнаруженные операции записи в реестр} + \label{fig:comdlg} +\end{figure} + +В ветке OpenSaveMRU хранится список последних использованных файлов с определенным расширением (в данном случае bmp) (рис. \ref{fig:opensavemru}). + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{opensavemru.png} + \caption{Ветка OpenSaveMRU} + \label{fig:opensavemru} +\end{figure} + +В ветке LastVisitedMRU хранится последний путь, который был открыт в диалоговом окне при использовании программы. В данном случае я в при работе с программой <<mspaint.exe>> я открыл файл в директории <<C:{\bsl}Documents and Settings{\bsl}student1{\bsl}Рабочий стол{\bsl}dir>>. Название программы в этом ключе я выделил красным прямоугольником, а начало пути к директории -- синим (рис. \ref{fig:lastvisitedmru}). + +Обе эти ветки являются важными следами, так как по ним можно отследить какие файлы с помощью указанных программ открывались на данной системе. + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{lastvisitedmru.png} + \caption{Ветка LastVisitedMRU} + \label{fig:lastvisitedmru} +\end{figure} + +Далее я скрыл панель палитры, изменил файл и вышел без сохранения. В procmon снова появились однотипные операции, похожие на рассмотренные выше (рис. \ref{fig:appletsCreate}), но с одним важным исключением. Ключ <<HKCU{\bsl}Software{\bsl}Microsoft{\bsl} Windows{\bsl}CurrentVersion{\bsl}Applets{\bsl}Paint{\bsl}General-Bar4{\bsl}Visible>> появился впервые. Судя по его названию можно предположить, что он отвечает за видимость палитры. В нём записано значение 0, а во время эксперимента я скрыл панель палитры (рис. \ref{fig:visibleBar}). + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{visible_bar.png} + \caption{Ключ Visible} + \label{fig:visibleBar} +\end{figure} + +При включении панели палитры этот ключ пропадает из реестра, из чего можно сделать вывод, что предположение было верным. Это важный след, который указывает на состояние, в котором находится программа после её закрытия. + +% \conclusion -заключение +% заключение -\begin{thebibliography}{99} - \bibitem{Tannenbaum} Э.Танненбаум "Архитектура компьютера" (6-e издание) - \bibitem{RISC} http://shackmaster.narod.ru/vidmodes.htm - \bibitem{ALU} https://profi-user.ru/videoram/ - \bibitem{IBM} https://ru.wikipedia.org/wiki/Видеопамять -\end{thebibliography} +% \begin{thebibliography}{99} +% \bibitem{Tannenbaum} Э.Танненбаум "Архитектура компьютера" (6-e издание) +% \bibitem{RISC} http://shackmaster.narod.ru/vidmodes.htm +% \bibitem{ALU} https://profi-user.ru/videoram/ +% \bibitem{IBM} https://ru.wikipedia.org/wiki/Видеопамять +% \end{thebibliography} % \bibliographystyle{gost780uv} % \bibliography{thesis} |
