Как определить запускавшиеся программы в Windows?

Совершенно неслучайно, товарищ показал мне очень интересный способ узнать детальный перечень запускавшихся программ в операционной системе Windows! Скажу честно, даже не подозревал об этом. И уже один раз меня это здорово выручило! Этот трюк, а не то, что не подозревал :)

Ну а теперь продолжим по теме – сведения о запускавшихся программах находятся в ветке системного реестра Amcache.hve (кто знал, что такой есть? я – не знал раньше).

Расположен он по пути \Windows\AppCompat\Programs\Amcache.hve

Как скопировать файл на живой системе – читайте тут.

Анализировать файл предлагается при помощи описанной ранее утилиты RegRipper из предыдущей статьи. Покажу пару примеров.

Пара примеров (один)

  1. Качаем программку RegRipper c GitHub;
  2. Качаем файл реестра Amcache.hve (см. выше);
  3. Прогоняем rip.exe с указанием плагина “amcache”:
    rip -r ..\reg\Amcache.hve -p amcache > amcache.txt
  4. В выходном файле видим путь к исполняемому файлу, время запуска (видимо это именно оно, в UTC) и, что самое вкусное, SHA1-хеш исполняемого файла, что позволяет найти его в базе VirusTotal. Особенно это актуально, если это заранее известный вредоносный файл, который был переименован (например какой-нибудь эксплойт типа mimikatz).
    А вот результат поиска по хешу.. Хоть немного понятно, что это такое. А то по пути файла в Amcache вообще ничего нельзя понять.
    Кстати, не смотрите, что хеш другой. VirusTotal автоматом пересчитывает под другой алгоритм, а искать может и по SHA1.
  5. Таким образом можно расследовать историю заражения и закрепления злоумышленника на инфицированной или взломанной машине. Очень удобно!

Кину статью в Форензику. Тема бессмертная ) Всем добра!

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply