Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Основной источник улик, связанных с браузером, — история просмотров. Ее анализ может выявить места, откуда взломщики загружали инструменты или, например, где они размещали собранные данные. Обычно эти данные хранятся в базах данных SQLite, которые можно найти здесь:

Microsoft Edge: C: \Users\%USERNAME%\AppData\Local\Microsoft\Edge\User Data\Default\History

Google Chrome: C: \Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\History

Mozilla Firefox: C: \Users\%USERPNAME%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\places.sqlite

Базы данных SQLite можно анализировать либо вручную, используя, например, DB Browser для SQLite (https://sqlitebrowser.org/dl/), либо с помощью специализированных инструментов криминалистики для браузеров, например BrowsingHistoryView (https://www.nirsoft.net/utils/browsing_history_view.html).

Рис. 7.14. Анализ истории веб-поиска с помощью BrowsingHistoryView

Полезными криминалистическими артефактами также являются файлы «куки» и кэш.

Файлы «куки» позволяют веб-браузерам отслеживать и сохранять информацию о сеансе каждого пользователя, в том числе и о посещенных веб-сайтах. Эта информация также хранится в базах данных SQLite:

Microsoft Edge: C: \Users\%USERNAME%\AppData\Local\Microsoft\Edge\User Data\Default\Cookies

Google Chrome: C: \Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Cookies

Mozilla Firefox: C: \Users\%USERNAME%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite

Еще один артефакт, связанный с браузером, — его кэш, то есть компоненты веб-страниц, сохраненные (или кэшированные) локально, чтобы при следующем посещении страницы загружались быстрее.

Вот где находятся файлы кэша для разных браузеров:

Microsoft Edge: C: \Users\%USERNAME%\AppData\Local\Microsoft\Edge\User Data\Default\Cache

Google Chrome: C: \Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Cache

Mozilla Firefox: C: \Users\%USERNAME%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\Cache

Существует несколько инструментов, способных интерпретировать данные, хранящиеся в файлах кэша. Некоторые из них — ChromeCacheView (https://www.nirsoft.net/utils/chrome_cache_view.html) и MozillaCacheView (https://www.nirsoft.net/utils/mozilla_cache_viewer.html), но есть и другие.

Еще один источник цифровых улик — реестр Windows.

Реестр Windows представляет собой иерархическую базу данных, в которой хранятся различные параметры конфигурации, а также важная информация о запуске программ и действиях пользователей.

Вот где расположены файлы реестра:

Файлы SAM, SYSTEM и SOFTWARE находятся в папке C: \Windows\System32\config.

Файлы NTUSER.DAT и USRCLASS.DAT индивидуальны для каждого пользователя, NTUSER.DAT находится в папке C: \Users\%USERNAME%, а USRCLASS.DAT — в папке C: \Users\%USERNAME%\AppData\Local\Microsoft\Windows.

Файл Amcache.hve находится в папке C: \Windows\AppCompat\Programs.

Файл Syscache.hve хранится в папке C: \System Volume Information. Он имеется только в Windows 7 и Windows Server 2008 R2, но может быть очень полезен, поскольку содержит хеши SHA1 для двоичных файлов, которые были запущены.

Теперь давайте рассмотрим наиболее распространенные источники улик, которые вы можете найти при анализе файлов реестра Windows:

UserAssist (NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\{GUID}\Count) содержит информацию о программах с графическим интерфейсом, запускаемых пользователем, а также информацию о количестве запусков, дате и времени последнего исполнения.

ShimCache (SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache) содержит информацию о выполняемых программах, включая их пути, размер и даты последней модификации.

Amcache (Amcache.hve\Root\File\{Volume GUID}\#######) содержит информацию о выполняемых программах, включая их пути, хеши SHA1 и временны́е метки первого выполнения.

Конечно, артефакты запуска программ — это не единственные цифровые улики, которые можно извлечь из реестра Windows. Другой важный тип улик — артефакты, свидетельствующие о недавнем использовании файлов и папок. Давайте рассмотрим самые распространенные:

Most Recently Used (MRU) (NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU) содержит списки недавно использованных файлов на основе их расширений.

Recent files (NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs) — еще один источник информации о недавно использованных файлах.

Shell bags (USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags) содержит список недавно использованных папок, включая общие сетевые ресурсы и съемные устройства.