Ở phần này, mình sẽ tiếp tục trình bày về một số key liên quan đến system configuration.

1. System Autostart Programs

Key:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM \Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU \Software\Microsoft\Windows\CurrentVersion\Run

HKCU \Software\Microsoft\Windows\CurrentVersion\RunOnce

Run và RunOnce registry keys là các key sử dụng để khởi chạy chương trình một cách tự động mỗi khi người dùng đăng nhập. Value data cho một key là một command line không quá 260 ký tự. Register programs để chạy bằng cách thêm các entry description-string=commandline. Bạn có thể viết nhiều mục dưới một key. Nếu nhiều chương trình được đăng ký theo khóa cụ thể nào, thứ tự chạy các chương trình đó là không xác định. Mội số mã độc có thể lợi dụng key này để khởi chạy chúng khi người dùng đăng nhập.

Nhắc lại một chút, trong các key trên được lưu trong hai rootkey là HKLM và HKCU như vậy vì HKCU sẽ là những cài đặt, cấu hình của riêng user nào đó, mỗi user sẽ có thể có các tùy chọn khởi động chương trình cùng Windows khác nhau, còn HKLM có thể coi là những cài đặt chung dành cho máy tính (local machine) không ảnh hưởng bởi các user khác nhau.

VD: HKCU \Software\Microsoft\Windows\CurrentVersion\Run

Dựa vào thông tin trong hình trên có thể biết được có 4 chương trình sẽ khởi động khi user “HT” login vào và đó là OneDriver, Unikey, OpenVPN-GUI và Zalo. Phần value có thể thấy commandline là đường dẫn tới file thực thi của các ứng dụng đó.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Ngoài ra còn có key: SYSTEM\CurrentControlSet\Services

Key này cho biết thông tin về mỗi Service trên hệ thống. Trong mục Start sẽ cho chúng ta biết Service này được khởi động khi nào. Dưới đây là một số mode Start của service:

Boot 0 Indicates that the service is a device driver started by the system loader. This value is valid only for device drivers.
System 1 Indicates that the service is a device driver started by the IOInitSystem function. This value is valid only for device drivers.
Automatic 2 Indicates that the service is to be started (or was started) by the operating system, at system start-up. If an automatically started service depends on a manually started service, the manually started service is also started automatically at system startup.
Manual 3 Indicates that the service is started only manually, by a user (using the Service Control Manager) or by an application.
Disabled 4 Indicates that the service is disabled, so that it cannot be started by a user or application.

 

Ví dụ:

Chẳng hạn như hình trên, Start =2, service này sẽ được khởi động khi hệ thống khởi động. Để ý ới phân Displaynem và Description và giờ thử mở services.msc ta sẽ thấy sự thú vị:

Một ví dụ khác:

2. Shutdown Information

Một thông tin nữa là thời gian shutdown, thông tin này có thể không quá quan trọng nhưng cũng có thể hữu ích trong việc phát hiện một số hoạt động.

Registry key:

SYSTEAM\CurrentControlSet\Control\Windows

Value data lưu hưới dạng hex, định dạng Windows 64-bit Little Endian. Như trong hình trên, máy tính này convert sang ta sẽ được: 10:05:02 29/5/2021:

Thêm một điều nữa, liệu rằng khi reset máy tính thì giá trị này có thay đổi không? Hãy cùng thử, ví dụ dưới đây sẽ cho câu trả lời.

Trước khi reset máy, kiểm tra ta xác định được thời gian shutdown máy:

Sau khi tiến hành reset máy và một lần nữa kiểm tra lại giá trị của key này, nhận thấy có sự thay đổi, vậy khi reset máy tính, value data này cũng update theo:

 

Đối với Windows XP, ngoài thời gian tắt máy, còn có một key khác giúp chúng ta có thể xác định được số lần shutdown máy. Đó là ở:

SYSTEM\CurrentContro1Set\Control\Watchdog\Display

Kết thúc phần này, mình đã trình bày về những registry key liên quan tới system configuration, cung cấp những thông tin khá cơ bản và cần thiết phục vụ cho quá trình điều tra. Ngoài ra, còn khá nhiều những registry thú vị khác, các bạn có thể tự tìm hiểu và tích lũy dần trong quá trình học tập hay làm việc.

Phần tiếp theo mình sẽ chuyển sang một vấn đề khác, đó chính là những registry key liên quan tới hành vi của người dùng. Mời các bạn đón đọc ở phần tiếp theo!

By,

T4fi, RE_TEAM

44 lượt xem