Главная » Восстановление » Особенности форензики в Windows 10
форензика в Windows 10

Особенности форензики в Windows 10

Со времени выхода Windows Vista многие технические аспекты работы Windows (системный реестр, запись событий в журналы и другие) несколько изменились. Вот почему руководства для компьютерных криминалистов, описанные, к примеру, для Windows XP, сейчас не работают на более поздних релизах Windows. Что же говорить про «десятку», на которую разработчики постоянно выпускают Update packs.

Еще по теме: Дистрибутивы для криминалистического анализа

Особенности форензики в Windows 10

Вот наглядное сравнение изменений:
форензика windows 10
Итак, по сравнению со всеми остальными версиями ОС в «десятке» появились дополнительные источники данных, которые эксперт компьютерной криминалистики может использовать для сбора артефактов:

  • Edge Browser — браузер, пришедший на смену IE;
  • Cortana — голосовой движок, призванный стать новым HMI по логике Microsoft;
  • OneDrive — облачное хранилище, в том числе часто используемое для небольших бэкапов личных файлов и как сторидж приложений для мобильных устройств на базе Android;
  • Native Applications (Skype, Photo App, Webcam App) — приложения, «из коробки» доступные сразу после установки системы;
  • Notification — системные оповещения из трея, где очень часто можно обнаружить сведения о программах, запущенных в режиме ожидания, антивирусном ПО, остановке брандмауэра и прочем;
  • Prefetch files — так сказать, кешированные файлы для быстрого запуска, эта фича присуща не только «десятке», но ее тоже отчасти можно привлечь для получения дополнительных крупиц информации.

Стоит добавить, что после выхода Windows 7 в продажу Microsoft составила чек-лист основных артефактов и их источников, которые могут использоваться различными экспертами, занимающимися разбором инцидентов. Список получил название Windows Jump Lists и ты можешь посмотреть его для Windows 7 и для Windows 10.

Полезные материалы об особенностях форензики в Windows 10:

Общий чек-лист проверки

Для поиска и сбора криминалистических доказательств необходимо проверять следующие основные пункты на нашей системе:

  • оперативную память (системные и пользовательские процессы, внедренные DLL, посторонние службы и запущенный вредоносный код);
  • жесткий диск (удаленные портации, размеченные области диска, стертые файлы, слепки теневых копий, «остатки» от корзины, ярлычки LNK и Notification, установленный софт, скачанные файлы и так далее);
  • сетевой стек (поднятые коннекты, открытые порты, «неизвестные» сервисы на портах, паразитный трафик с нашей машины);
  • системный реестр (инсталлированный и удаленный софт, временные ярлыки, ассоциации файлов и прочее);
  • системные журналы (запись таких событий, как логон, эскалация прав, доступ к директориям, изменение групповой политики, создание/удаление учетки, сбой и перезагрузка);
  • файлы подкачки и гибернации (часть данных в этих файлах успешно сохраняется в неизменном виде);
  • данные приложений (Skype, OneDrive, Xbox), почта и браузеры (история посещений, закладки, скачанные файлы, быть может, пассы).

После того как мы ознакомились с особенностями форезники в Windows 10 можно переходить к созданию образа жесткого диска и снятию дампа оперативной памяти Windows 10.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *