Book Review: Windows Registry Forensics 2E


 I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to read Harlan Carvey’s second edition of windows registry forensics through a kindle purchase and a hard copy that Harlan was awesome enough to give away when I asked for his feedback on my first blog post. (Thanks Harlan!) Given that a short review is available on Amazon I wanted to expand on that review furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first chapter Harlan lays out,
            -The structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry and nomenclature
-Analysis concepts and examples of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system (Windows) uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry.
            -Location of registry hives (SYSTEM,SOFTWARE, NTUSER, USRCLASS, etc.)
            -Registry redirection and virtualization (32bit vs 64bit OS architecture impact)

The takeaway from this chapter is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst to understand how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry structured, where things are as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se bits of information will be useful in later chapters. Harlan sprinkles in some anecdotes (see tip, note and warning sections)

In chapter two a brief overview of tools such as Microsoft’s regedit, Mitec Windows Registry Recovery, Registry Explorer, AutoRuns, Mandiant’s shimcache parser, Userassist (Stevens) and Regripper. Deleted keys and values are also discussed along with a perl tool called reglack by Jolanta Thomassen. The main takeaway that I got from this chapter is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many tools out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that can help you view or parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst must choose what tool to use based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis at hand.

In chapter 3 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of artifact categories is discussed along with analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security, SAM, SYTEM, SOFTWARE and AmCache hives.

Security
In this section/hive we can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit policy settings of a computer. How is this useful? Well this would help in identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why certain event Ids are not seen if you retrieved a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event logs and would be a great place to start and review before attempting to run tools that parse out specific event IDs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event logs.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r key from this hive is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last write time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy\secrets key which could indicate possible use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSecDump (credential cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft tool). Granted this needs furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r context from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r time stamped sources of information but could provide a pivot point to use when hunting for this tool on endpoints.

SAM
In this hive we can find
              -Local user information details
                           Account creation, last login
              -Local group memberships
              users are presented in SID format
How is this useful? As in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit policy we can use this information to profile a system. For example, what user accounts are members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local administrators groups? Finding suspicious non-standard local user accounts.

The anecdotes in this section are quite useful.

System
Some key takeaways from this section/hive
     -System Name
              Make sure you are analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right system
     -Prefetch settings
          Is it enabled?
     -ShimCacher (Appcompat)
       The application compatibility feature in windows keeps tracks of executable that require                      shimming for compatibility reasons and stores information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry.
      -Windows services
      Information such as file paths and services names is recorded in this hive an attention to non-               standard paths can help in identifying suspicious services.
      -Legacy_*Keys (Windows XP)
       Can be used to correlate when a service starts and stops, to be used in conjunction with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r              keys that provide service info.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r useful information is found in this section and I’ll stop here so that future readers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book can explore.

Software
In this section/hive we can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following takeaways
       -Profiles
          What user profiles are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system (local and domain)
      -Windows version
          Are we dealing with windows XP, 7, 8, 10?
       -Installed Software
          uninstall key
        -Run Key
         Used by legitimate and malicious programs as persistence mechanism. The executable will                 start at system start up. (Be mindful of registry redirection)
        -Image File Execution Options
         You can add a “debugger value” to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r program, attackers like to use this for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sticky                 keys method of persistence.

Again I will stop here and allow future readers to explore.

AmCache
An overview is provided of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AmCache artifact and I will leave it to future readers to explore J

Chapter four discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER and USRCLASS hives, key takeaways
    -User Assist Keys
          Keeps track of items that are double clicked through explorer.
   -Program Compatibility Assistant
            Similar to shimcache
    -Run Keys
Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se executable(s) are launched when a user logs in unlike those found under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365   Software registry hive

-File Acces
Several keys are discussed that provide information on files accessed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user profile, also keywords used in searches through windows explorer.

-File Association
Useful when finding artifacts of a suspicious extension type, this key can provide information on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is configured to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension type. ie. is .mp4 handled by windows media player or VLC?

-Shellbags

I may be wrong in my understanding and please excuse if this explanation is wrong. This artifact has to do with windows explorer and in relation to windows size and usability. This information is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTUSER hive (XP) and USRCLASS (Win 7+) and can help in identifying folder traversal, control panel applet access and FTP artifacts.
             
Chapter five discusses regripper and explains what it is and how to use it. Note that throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous chapters several regripper plugins are discussed which hopefully will allow you to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool based on your analysis needs.

I really enjoyed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and definitely recommend it to anyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR field as a must read. Especially if you have seen presentations at conferences discussing shimcache, shellbags, and stories of how incident responders were able to figure out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker did on a system. Pay close attention to setting analysis goals and on chapters three and four as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se will help in that regard. This book will assist in strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ning your DFIR skills and some of this information once understood can help you start hunting for evil in your environment.


TL;DR… from my Amazon review

“The book provides a detailed discussion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry, its keys and relevancy to digital forensics & incident response (DFIR). The author also focuses on presenting examples and use cases on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader can leverage information in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry as part of an analysis. Discussion of tools is given and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools presented are free and some are open source which you can modify if you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programming language cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are written to fit your needs. The author dedicates a chapter on regripper, a tool that he wrote to parse registry hives and serves as a mini manual. After reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous chapters, hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader will understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool and how one can expand functionality. Overall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author does a great job in presenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, although short (191 pages) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is targeted at what can bring value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader/analyst. I recommend to all who work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFIR field or are starting to.”

Comments

Popular Posts