What Is Cyber Forensics Part (23) Window Registry Analysis Part (1) (Window Forensics)
Window Registry ဟာ ကြန္ပ်ဴတာမွာ အေရးပါတဲ့ အစိတ္အပုိင္း တစ္ခုျဖစ္ပါတယ္။ အသုံးျပဳရာမွာ ပုိၿပီးေတာ့ stability နဲ႕ Reliability ရွိေအာင္ျပဳလုပ္ေပးပါတယ္
Window Default Application
Install လုပ္ထားတဲ့ Application
User Information
System Information
Security ပုိင္းဆုိင္ရာ
Network Information
Driver Information စတာေတြပါ၀င္ပါတယ္ ။
Window Default Application
Install လုပ္ထားတဲ့ Application
User Information
System Information
Security ပုိင္းဆုိင္ရာ
Network Information
Driver Information စတာေတြပါ၀င္ပါတယ္ ။
Registry ဟာ Tree ပုံစံနဲဖြဲ႕စည္းထားၿပီး
Folder နဲ႕ File ဖြဲစည္္းပုံအတုိင္း တည္ေဆာက္ထားတာ ျဖစ္ပါတယ္။
Key, Sub key, Name , Data Type , Value တုိ႕ပါ၀င္ပါတယ္။
Folder နဲ႕ File ဖြဲစည္္းပုံအတုိင္း တည္ေဆာက္ထားတာ ျဖစ္ပါတယ္။
Key, Sub key, Name , Data Type , Value တုိ႕ပါ၀င္ပါတယ္။
Logical Group ဟာ window ရဲ့ Run Box ကေန regedit လုိ႕ ရုိက္ လုိက္ရင္ ေပၚေနတဲ့ အပုိင္း ၅ ပုိင္းကေတာ့ Root Folder အပုိင္းျဖစ္ပါ တယ္ Key လုိ႕လဲ ေခၚပါတယ္
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
အထက္ပါ ၅ ပုိင္းကုိေတာ့ တစ္ပုိင္းစီကုိ Keys လုိ႕သတ္မွတ္ပါတယ္
Key တစ္ခုျခင္းေအာက္မွာ သက္ဆုိင္ရာအပုိင္းအလုိက္ SubKey ေတြရွိပါတယ္။Sub keys တစ္ခုစီမွာလဲ ဆုိင္ရာဆုိင္ရာ Subkey ေတြရွိပါတယ္။
=========================
Key တစ္ခုျခင္းေအာက္မွာ သက္ဆုိင္ရာအပုိင္းအလုိက္ SubKey ေတြရွိပါတယ္။Sub keys တစ္ခုစီမွာလဲ ဆုိင္ရာဆုိင္ရာ Subkey ေတြရွိပါတယ္။
=========================
HKEY_CLASSES_ROOT
Software နဲ့ပတ္သတ္တဲ့ Configuration ေတြ File System ေတြ Shortcut Information ေတြပါ၀င္ပါတယ္။အလြယ္ဆုံးေျပာရရင္ software Shortcut ကုိဖြင့္တာနဲ႕ ဘယ္ Application ကုိဖြင့္ရမယ္ဆုိတာကုိ Window Explorer နဲ႕တြဲၿပီး အလုပ္လုပ္ပါတယ္ ။
HKEY_CURRENT_USER
လက္ရွိ၀င္ေရာက္တဲ့ User Level နဲပတ္သတ္တဲ့ Software Hardware Configuration ေတြကုိ သတ္မွတ္ေပးပါတယ္။ Guest Account ဆုိ Guest Level အလုိက္ သတ္မွတ္ေပးပါတယ္။
HKEY_LOCAL_MACHINE
Computer တစ္ခုလုံးရဲ႕ Sofware Hardware အခ်က္အလက္ကုိေဖာ္ျပေပးပါတယ္။
HKEY_USERS
လက္ရွိ၀င္ေရာက္တဲ့ User Level နဲပတ္သတ္တဲ့ Software Hardware Configuration ေတြကုိ သတ္မွတ္ေပးပါတယ္။ သူ႕မွာ ၀င္ေရာက္အသုံးျပဳတဲ့ User အားလုံးရဲ႕ အခ်က္အလက္ေတြမွတ္သားထားပါတယ္။
HKEY_CURRENT_CONFIG
လက္ရွိအသုံးျပဳေနစဥ္မွာ ျဖစ္ေနတဲ့ Hardware အခ်က္အလက္မ်ားကုိ
မွတ္သားထားပါတယ္။
======================
မွတ္သားထားပါတယ္။
======================
ေနာက္ဆက္ၿပီးေဖာ္ျပမွာကေတာ့ Root Folder ေအာက္မွာ ရွိတဲ့ တစ္ကယ္တန္း အလုပ္လုပ္တဲ့ Physical Group ျဖစ္တဲ့ Registry File Hive File ၅ ခုအေၾကာင္းပါ။
Software
System
SAM
Security
Default
================
Software
Default window Setting ေတြ Software အခ်က္အလက္ေတြအားလုံးပါ၀င္ပါတယ္
System
SAM
Security
Default
================
Software
Default window Setting ေတြ Software အခ်က္အလက္ေတြအားလုံးပါ၀င္ပါတယ္
System
Computer System တစ္ခုလုံးရဲ႕ Hardware အခ်က္အလက္ေတြ အားလုံးပါ၀င္ပါတယ္။
SAM
Window ကုိ login ၀င္ေေရာက္မဲ့ User account ေတြ႕ရဲ့ password ေတြကုိ hash File အေနနဲ့သိမ္းဆည္းထားပါတယ္
Window ကုိ login ၀င္ေေရာက္မဲ့ User account ေတြ႕ရဲ့ password ေတြကုိ hash File အေနနဲ့သိမ္းဆည္းထားပါတယ္
Security
Security ပုိင္းဆုိင္ရာအခ်က္အလက္ေတြကုိ သိမ္းဆည္းထားပါတယ္။
Task manager ပိတ္တာ USB သုံးလုိ႕မရေအာင္ ပိတ္တာ စသည္ျဖင့္ပါ။ SAM မွာသိမ္းထားတဲ့ အခ်က္အလက္ေတြေတာ့ မပါ၀င္ပါဘူး
Task manager ပိတ္တာ USB သုံးလုိ႕မရေအာင္ ပိတ္တာ စသည္ျဖင့္ပါ။ SAM မွာသိမ္းထားတဲ့ အခ်က္အလက္ေတြေတာ့ မပါ၀င္ပါဘူး
Default
User Default Setting ျဖစ္ပါတယ္္။ User တစ္ေယာက္ဖန္တီးလုိက္တာနဲ႕ ႕Window ကုိအသုံးျပဳဖုိ႕ Default Configuration ခ်ထားၿပီးသားျဖစ္မွာပါ။
===============
Sub key ေတြမွာ ရွိတဲ့ Data Type အမ်ဳိးအစားမ်ား
အသုံးအမ်ားဆုံးကေတာ့ .REG_EXPAND_SZ / REG_DWORD /၊REG_BINARY သုံးခုျဖစ္ပါတယ္။
အသုံးအမ်ားဆုံးကေတာ့ .REG_EXPAND_SZ / REG_DWORD /၊REG_BINARY သုံးခုျဖစ္ပါတယ္။
1.REG_BINARY
Raw Binary Data ျဖစ္ၿပီး Hardware အခ်က္အလက္ေတြကို Computer မွ binary data အျဖစ္သိမ္းထားပါတယ္။
Registery editor မွာအက်ဥ္းခ်ံဳးေဖာ္ၿပႏုိင္ရန္ Hexa Decimal နဲ႔ျပေပးပါတယ္။
Registery editor မွာအက်ဥ္းခ်ံဳးေဖာ္ၿပႏုိင္ရန္ Hexa Decimal နဲ႔ျပေပးပါတယ္။
2.REG_DWORD
------------------------
4 byte အရွည္ရွိတဲ႔ ကိန္းဂဏန္းမ်ားနဲ႔သိမ္းဆည္းၿပီး Device Driver မ်ား Service နဲ႔သက္ဆိုင္ေသာ parameter ကိုေဖာ္ျပေပးပါတယ္။
Binary သုိ႕မဟုတ္ Hexa အေနနဲေဖာ္ၿပေပးပါတယ္။
------------------------
4 byte အရွည္ရွိတဲ႔ ကိန္းဂဏန္းမ်ားနဲ႔သိမ္းဆည္းၿပီး Device Driver မ်ား Service နဲ႔သက္ဆိုင္ေသာ parameter ကိုေဖာ္ျပေပးပါတယ္။
Binary သုိ႕မဟုတ္ Hexa အေနနဲေဖာ္ၿပေပးပါတယ္။
3.REG_EXPAND_SZ
----------------------------
Program ေတြ application ေတြကုိ အဆင္ေၿပေအာင္ သုံးႏုိင္ဖုိ႕ အတြက္ ၿပဳလုပ္ေပးတဲ့ variable သည္ အခု Data Type အမ်ဳိးအစားမွာ ပါ၀င္ပါတယ္။
----------------------------
Program ေတြ application ေတြကုိ အဆင္ေၿပေအာင္ သုံးႏုိင္ဖုိ႕ အတြက္ ၿပဳလုပ္ေပးတဲ့ variable သည္ အခု Data Type အမ်ဳိးအစားမွာ ပါ၀င္ပါတယ္။
4.REG_MULTI_SZ
--------------------------
multiple String အမ်ဳိးအစားျဖစ္ၿပီး, user မ်ားနားလည္ႏုိင္တဲ့ ပုံစံနဲ့ေဖာ္
ၿပထားပါတယ္။
--------------------------
multiple String အမ်ဳိးအစားျဖစ္ၿပီး, user မ်ားနားလည္ႏုိင္တဲ့ ပုံစံနဲ့ေဖာ္
ၿပထားပါတယ္။
5.REG_SZ
-----------------
စာသားမ်ားပါဝင္ျပီး အလ်ားသတ္မွတ္ခ်က္ရွိေသာ အကၡရာစဥ္ ကိန္းတန္းတစ္ခုကိုေဖာ္ျပပါတယ္။
-----------------
စာသားမ်ားပါဝင္ျပီး အလ်ားသတ္မွတ္ခ်က္ရွိေသာ အကၡရာစဥ္ ကိန္းတန္းတစ္ခုကိုေဖာ္ျပပါတယ္။
6.REG_FULL_RESOCE_DESCRIPTOR
------------------------------------------------------
Hardware အစိတ္အပုိင္း ဒါမွမဟုတ္ Dirver တစ္ခုရဲ့ Resource List ကိုသိမ္းဆည္းရန္ ဒီဇိုင္းထုတ္ထားေသာ Nested Array တစ္ခုရွိပါသည္။
------------------------------------------------------
Hardware အစိတ္အပုိင္း ဒါမွမဟုတ္ Dirver တစ္ခုရဲ့ Resource List ကိုသိမ္းဆည္းရန္ ဒီဇိုင္းထုတ္ထားေသာ Nested Array တစ္ခုရွိပါသည္။
Comments