From fcb48cb413d310aad51ffe056e1abc7360273d4c Mon Sep 17 00:00:00 2001 From: Andrew Date: Sat, 4 Jul 2020 00:07:01 +0400 Subject: =?UTF-8?q?=D0=94=D0=BE=D0=BF=D0=B8=D1=81=D0=B0=D0=BB=20=D1=87?= =?UTF-8?q?=D0=B0=D1=81=D1=82=D1=8C=20=D0=BF=D1=80=D0=BE=20=D1=81=D0=BB?= =?UTF-8?q?=D0=B5=D0=B4=D0=BE=D0=BE=D0=B1=D1=80=D0=B0=D0=B7=D0=BE=D0=B2?= =?UTF-8?q?=D0=B0=D0=BD=D0=B8=D0=B5=20=D0=B2=20=D0=BB=D0=B5=D1=82=D0=BD?= =?UTF-8?q?=D0=B5=D0=B9=20=D0=BF=D1=80=D0=B0=D0=BA=D1=82=D0=B8=D0=BA=D0=B5?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- pract/sem3/images/comdlg.png | Bin 0 -> 305992 bytes pract/sem3/images/lastvisitedmru.png | Bin 0 -> 37072 bytes pract/sem3/images/opensavemru.png | Bin 0 -> 275593 bytes pract/sem3/images/reg_create1.png | Bin 64510 -> 52291 bytes pract/sem3/images/visible_bar.png | Bin 0 -> 7457 bytes pract/sem3/pract.tex | 92 +++++++++++++++++++++++++---------- 6 files changed, 66 insertions(+), 26 deletions(-) create mode 100644 pract/sem3/images/comdlg.png create mode 100644 pract/sem3/images/lastvisitedmru.png create mode 100644 pract/sem3/images/opensavemru.png create mode 100644 pract/sem3/images/visible_bar.png diff --git a/pract/sem3/images/comdlg.png b/pract/sem3/images/comdlg.png new file mode 100644 index 0000000..49a9700 Binary files /dev/null and b/pract/sem3/images/comdlg.png differ diff --git a/pract/sem3/images/lastvisitedmru.png b/pract/sem3/images/lastvisitedmru.png new file mode 100644 index 0000000..b17884a Binary files /dev/null and b/pract/sem3/images/lastvisitedmru.png differ diff --git a/pract/sem3/images/opensavemru.png b/pract/sem3/images/opensavemru.png new file mode 100644 index 0000000..24afa83 Binary files /dev/null and b/pract/sem3/images/opensavemru.png differ diff --git a/pract/sem3/images/reg_create1.png b/pract/sem3/images/reg_create1.png index c60bdb9..6dd4001 100644 Binary files a/pract/sem3/images/reg_create1.png and b/pract/sem3/images/reg_create1.png differ diff --git a/pract/sem3/images/visible_bar.png b/pract/sem3/images/visible_bar.png new file mode 100644 index 0000000..75e134f Binary files /dev/null and b/pract/sem3/images/visible_bar.png differ diff --git a/pract/sem3/pract.tex b/pract/sem3/pract.tex index b1cafc6..492366e 100644 --- a/pract/sem3/pract.tex +++ b/pract/sem3/pract.tex @@ -134,11 +134,11 @@ % (допускается оба вида нумерации) % \secNumbering -\tableofcontents +% \tableofcontents -\intro +% \intro -введение +% введение \section{Отслеживание следов в системе} @@ -164,7 +164,7 @@ \label{fig:filters} \end{figure} -Первыми среди событий появились CreateFile и их необходимо рассмотреть подробнее. Можно заметить, что все запросы на создание файлов произошли по пути C:{\bsl}WINDOWS. При детальном рассмотрении этих файлов я выяснил, что единственным реальным следом оказался тот файл, что был записан в C:{\bsl}WINDOWS{\bsl}Prefetch (рис. \ref{fig:prefetch}), в то время как остальные запросы являются фантомными, на что указывает дата изменения этих файлов (рис. \ref{fig:system32}). Это можно объяснить тем, что директория system32 является системной, а .dll файлы в ней являются системными библиотеками. В связи с этим в дальнейшем я буду опускать запросы такого рода, так как их не имеет смысла рассматривать. +Первыми среди событий появились CreateFile. Можно заметить, что все запросы на создание файлов произошли по пути <>. При детальном рассмотрении этих файлов я выяснил, что единственным реальным следом оказался тот файл, что был записан в <> (рис. \ref{fig:prefetch}), в то время как остальные запросы являются фантомными, на что указывает дата последнего изменения этих файлов (рис. \ref{fig:system32}). Это можно объяснить тем, что директория system32 является системной, а .dll файлы в ней являются системными библиотеками. В связи с этим в дальнейшем я буду опускать запросы такого рода, так как их не имеет смысла рассматривать. \begin{figure}[H] \centering @@ -180,7 +180,7 @@ \label{fig:system32} \end{figure} -Следующей за этими событиями появилась небольшая группа записей в HKLM{\bsl}SOFTWARE{\bsl}Microsoft{\bsl}Cryptography{\bsl}RNG{\bsl}Seed. (рис. \ref{fig:rngSeed}). Судя по названию, это <<семя>> для ГПСЧ. Данную запись нельзя считать следом, так как этот ключ реестра при каждом запуске системы разный и невозможно установить источник значения, записанного в нём. +Следующей за этими событиями появилась небольшая группа записей в <>. (рис. \ref{fig:rngSeed}). Судя по названию, это <<семя>> для ГПСЧ. Данную запись нельзя считать следом, так как этот ключ реестра при каждом запуске системы разный и невозможно установить источник значения, записанного в нём. \begin{figure}[H] \centering @@ -189,24 +189,24 @@ \label{fig:rngSeed} \end{figure} -Далее следует множество однотипных операций типа RegCreateKey по пути -HKCU{\bsl}Software{\bsl}Microsoft{\bsl}Windows{\bsl}CurrentVersion{\bsl}Applets (рис. \ref{fig:appletsCreate}). Изучив эту ветку через программу regedit я обнаружил указанные ключи. Проверив на новой виртуальной машине, я выяснил, что данной ветки не существует при установке. Эти записи можно считать одним из искомых следов. (рис. \ref{fig:applets}) +Далее следует множество однотипных операций типа RegCreateKey в ветке +<>. Изучив эту ветку через программу regedit я обнаружил указанные ключи. Проверив на новой виртуальной машине, я выяснил, что данной ветки не существует при установке. Эти записи можно считать одним из искомых следов. (рис. \ref{fig:appletsCreate}) \begin{figure}[H] \centering - \includegraphics[width=0.8\textwidth]{reg_create1.png} - \caption{RegCreateKey в Applets} + \includegraphics[width=0.75\textwidth]{reg_create1.png} + \caption{RegCreateKey в Applets и ключ в ветке Recent File List} \label{fig:appletsCreate} \end{figure} -\begin{figure}[H] - \centering - \includegraphics[width=0.8\textwidth]{appletsDir.png} - \caption{Ветка Applets в изучаемой (справа) и новой (слева) системах} - \label{fig:applets} -\end{figure} +% \begin{figure}[H] +% \centering +% \includegraphics[width=0.8\textwidth]{appletsDir.png} +% \caption{Ветка Applets в изучаемой (справа) и новой (слева) системах} +% \label{fig:applets} +% \end{figure} -Далее в списке находится большое количество однотипных операций типа CreateFile (рис. \ref{fig:phantomFiles}). При детальном рассмотрении все записи оказались фантомными: дата последнего изменения файлов не сегодня. +Далее в списке находится большое количество однотипных операций типа CreateFile (рис. \ref{fig:phantomFiles}). При детальном рассмотрении все записи оказались фантомными: дата последнего изменения файлов не изменилась. \begin{figure}[H] \centering @@ -215,25 +215,65 @@ HKCU{\bsl}Software{\bsl}Microsoft{\bsl}Windows{\bsl}CurrentVersion{\bsl}Applets \label{fig:phantomFiles} \end{figure} -С операциями RegCreateKey/RegSetValue (рис. \ref{fig:phantomRegistry}) другая ситуация -- записи в ветки HKLM и Explorer{\bsl}User Shell Folders не являются следами, так как они присутствуют и в новой системе. А оставшиеся записи реестра в ветку HKCU можно считать следом. +С операциями RegCreateKey/RegSetValue (рис. \ref{fig:phantomRegistry}) другая ситуация -- записи в ветки HKLM и Explorer{\bsl}User Shell Folders не являются следами, так как они создаются при установке. А оставшиеся записи реестра в ветку HKCU можно считать следом. \begin{figure}[H] \centering \includegraphics[width=0.8\textwidth]{phantomRegistry.png} - \caption{Фантомные записи в регистр} + \caption{Операции записи в реестр} \label{fig:phantomRegistry} \end{figure} -\conclusion +Также среди этих операций выделились записи в ветку ComDlg32 (рис. \ref{fig:comdlg}). В этой ветке хранятся записи о файлах, которые были открыты или сохранены с помощью диалогового окна Проводника Windows. + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{comdlg.png} + \caption{Обнаруженные операции записи в реестр} + \label{fig:comdlg} +\end{figure} + +В ветке OpenSaveMRU хранится список последних использованных файлов с определенным расширением (в данном случае bmp) (рис. \ref{fig:opensavemru}). + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{opensavemru.png} + \caption{Ветка OpenSaveMRU} + \label{fig:opensavemru} +\end{figure} + +В ветке LastVisitedMRU хранится последний путь, который был открыт в диалоговом окне при использовании программы. В данном случае я в при работе с программой <> я открыл файл в директории <>. Название программы в этом ключе я выделил красным прямоугольником, а начало пути к директории -- синим (рис. \ref{fig:lastvisitedmru}). + +Обе эти ветки являются важными следами, так как по ним можно отследить какие файлы с помощью указанных программ открывались на данной системе. + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{lastvisitedmru.png} + \caption{Ветка LastVisitedMRU} + \label{fig:lastvisitedmru} +\end{figure} + +Далее я скрыл панель палитры, изменил файл и вышел без сохранения. В procmon снова появились однотипные операции, похожие на рассмотренные выше (рис. \ref{fig:appletsCreate}), но с одним важным исключением. Ключ <> появился впервые. Судя по его названию можно предположить, что он отвечает за видимость палитры. В нём записано значение 0, а во время эксперимента я скрыл панель палитры (рис. \ref{fig:visibleBar}). + +\begin{figure}[H] + \centering + \includegraphics[width=0.8\textwidth]{visible_bar.png} + \caption{Ключ Visible} + \label{fig:visibleBar} +\end{figure} + +При включении панели палитры этот ключ пропадает из реестра, из чего можно сделать вывод, что предположение было верным. Это важный след, который указывает на состояние, в котором находится программа после её закрытия. + +% \conclusion -заключение +% заключение -\begin{thebibliography}{99} - \bibitem{Tannenbaum} Э.Танненбаум "Архитектура компьютера" (6-e издание) - \bibitem{RISC} http://shackmaster.narod.ru/vidmodes.htm - \bibitem{ALU} https://profi-user.ru/videoram/ - \bibitem{IBM} https://ru.wikipedia.org/wiki/Видеопамять -\end{thebibliography} +% \begin{thebibliography}{99} +% \bibitem{Tannenbaum} Э.Танненбаум "Архитектура компьютера" (6-e издание) +% \bibitem{RISC} http://shackmaster.narod.ru/vidmodes.htm +% \bibitem{ALU} https://profi-user.ru/videoram/ +% \bibitem{IBM} https://ru.wikipedia.org/wiki/Видеопамять +% \end{thebibliography} % \bibliographystyle{gost780uv} % \bibliography{thesis} -- cgit v1.2.3