What Is Cyber Forensics Part (24+25)

indow Registry Analysis Part (2) (Window Forensics)
User တစ္ေယာက္ဟာ Window ကုိစတင္အသုံးၿပီဆုိတာနဲ့ သူလုပ္ေဆာင္သမွ်အားလုံးကုိ Registry ကေနမွတ္တမ္းတင္ထားပါတယ္။
ဥပမာ ....
Login Time
Account Level
File Open activities
Network Connecting activities
Browser activities
portable device ခ်ိတ္ဆက္မႈ စတာေတြကုိ မွတ္တမ္းတင္ထားပါတယ္။
အခ်ဳိ႕ေသာ အခ်က္အလက္ေတြကေတာ့ Window Shut Down ခ်တာနဲ႕ ေပ်ာက္သြားပါတယ္။ Every things Leave a Trace.
မွတ္သားထားတဲ့ေနရာေတြကေတာ့ part 23 မွာေရးထားတဲ့ key တစ္ခုခ်င္းစီေအာက္မွာရွိေနတဲ့ Sub key ေတြ ေအာက္မွာ သြားသိမ္းဆည္းထားတာပါ။
Registry File location
Windows\System32\Config
---------------------------
ဒါကေတာ့ registry မွာ တစ္ကယ္အလုပ္လုပ္တဲ့ hive (subkey) ေတြရဲ့ Location ပါ။
HKEY_LOCAL_MACHINE \SYSTEM : \system32\config\system
HKEY_LOCAL_MACHINE \SAM : \system32\config\sam
HKEY_LOCAL_MACHINE \SECURITY : \system32\config\security
HKEY_LOCAL_MACHINE \SOFTWARE : \system32\config\software
HKEY_USERS \UserProfile : \winnt\profiles\username
HKEY_USERS.DEFAULT : \system32\config\default
================================

What Is Cyber Forensics Part (25)
Window Registry Analysis Part (3) (Window Forensics)
User ၀င္ေရာက္တဲ့ အခ်ိန္ကေန
လုပ္ေဆာင္သမွ် ခ်ိတ္ဆက္သမွ်ကုိ Registry ကေန မွတ္တမ္းတင္ထားတယ္ဆုိတာ Part 23 မွာေဖာ္ၿပၿပီးပါၿပီး ... ဘယ္လုိအလုပ္လုပ္လဲဆုိတာနည္းနည္းၾကည့္ရေအာင္ပါ ...
User တစ္ေယာက္က Login ၀င္ဖုိ႔အတြက္ Username Password ရုိက္လုိက္တာနဲ႕ ရုိက္လုိက္တဲ့ User name ဟာ Registry ထဲက SAM မွာရွိတဲ့ User name နဲ႕ တူမတူ တုိက္စစ္ပါတယ္။ Password ကေန hash generate လုပ္ၿပီး SAM ထဲမွာ သိမ္းထားတဲ့ hash နဲ႕တူမတူတုိက္စစ္ပါတယ္။
တုိက္စစ္ၿပီးတာနဲ႕ တူတယ္ဆိုရင္ Window ACL ကေန အခု login ၀င္တဲ့သူဟာ administrator လား သာမန္ User လား Guest Account လား ဘယ္အဆင့္လဲဆုိတာ ခြဲျခားပါတယ္။
Domain User (AD system) ဆုိရင္ေတာ့ Username အစား Security Identifiers (SIDs) အေနနဲ႕ မွတ္သားထားပါတယ္။ ၿပီးရင္ ရုိက္လုိက္တဲ့ user name ဟာ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Profilelis ထဲမွာ ရွိတဲ့ SIDs နဲ႕ ကုိက္ညီမႈရွိမရွိ ၾကည့္ပါတယ္။ က်န္တဲအဆင့္ေတြျဖစ္တဲ့ Password နဲ႕ ACL တိုိက္စစ္တဲ့ အပုိင္းကေတာ့ အတူတူပါပဲ။
User Login pass or fill ျဖစ္တာေတြကုိ Registry မွာပဲ Event Log အျဖစ္ မွတ္တမ္းတင္ထားပါတယ္။Security, Software , Hardware warning ပိုင္းကုိလဲ Event log မွာၾကည့္ႏုိင္ငါတယ္ ...
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
User က Login ၀င္ၿပီးတာနဲ႕ ဘာ Service ေတြ Run မယ္ ဘယ္ Application ေတြက စမယ္ဆုိတာကုိ Auto Start လုပ္ေဆာင္တဲ့အပုိင္းပါ (Malware အရွိႏုိင္ဆုံးအပုိင္းေတြပါ)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
========
User က Login ၀င္ေရာက္ၿပီးတာနဲ႕ Wireless or Lan ခ်ိတ္ဆက္မယ္ ဆုိရင္ ခ်ိတ္ဆက္တဲ့ SSID Name , DHCP or Static , DNS, စတာေတြကုိ Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards
ေအာက္မွ သိမ္းဆည္းထားလုိက္ပါတယ္။ (Volatile information ပါ)
Live System (power on ) ေနတဲ့ အေနအထားမွာ ဒီအပုိင္းကုိ စစ္ေဆးရမွာပါ ။
Portable Device ေတြ ကြန္ပ်ဴတာမွာ တြဲလုိက္မယ္ ဆုိတာနဲ႕ ဘယ္ေန႕ ဘယ္အခ်ိန္မွာ ဘယ္ Device (Serial No) , Device Name ကဆုိတာ မွတ္သားထားပါတယ္။
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Enum\USBSTOR\
HKEY_LOCAL_MACHINE\SYSTEM|MountedDevices
=====
User ဟာ ကြန္ပ်ဴတာမွာ Firefox Browser ကုိသုံးတာနဲ႕ အသုံးၿပဳတာကုိ
HKEY_CURRENT_USER\Software\Mozilla\Firefox မွာ မွတ္သားထားလုိက္ပါတယ္။
User တစ္ေယာက္ လုပ္ေတာင္မွဳထဲက အမ်ားဆုံးေတြကုိ
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU
မွာ မွတ္သားထားပါတယ္။
User ေနာက္ဆုံး လုပ္ေဆာင္ခဲ့မွ်ေတြကုိေတာ့
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search မွာ မွတ္သားထားပါတယ္။
User ဟာ Software တစ္ခုကုိ Install လုပ္လုိက္တာနဲ့
HKEY_CURRENT_USER\Software မွာမွတ္သားထားပါတယ္။
Registry ပုိင္းအေနနဲ႕ေတာ့ လုပ္ေဆာင္တာေတြ က်န္ပါေသးတယ္ ..
Registry ထဲမွာ မွတ္သားထားတာေတြကုိ Power on အေနအထားမွာ မွတ္သားတာေတြရွိၿပီး power off အေနအထားတုိ႕မွာဆက္လက္မွတ္သားထားတာေတြလဲရွိပါတယ္ ...


Comments

Popular posts from this blog

B-Trees (NTFS)

NTFS Index Attributes

Volatility Workbench (GUI) for the Volatility tool