Sau khi bạn nắm được những thông tin cơ bản, cần thiết về các cấu hình, cài đặt của máy tính, hệ thông đó, công việc tiếp theo là xem xét tới hành vi của người dùng trên máy tính đó. Những hành vi này có thể sẽ tiết lộ những thông tin rất hữu ích với người điều tra. Vì vậy ,tiếp nối series về Registry Analysis, phần này mình sẽ nói về những registry key cung cấp thông tin về hành vi của người dùng.

Đa phần những thông tin này sẽ nằm trong Registry Hive: NTUSER.Dat

1. Search History

Registry key “WordWheelQuery” bắt đầu có từ Windows 7 trở đi. Nó lưu lại lịch sử tìm kiếm chương trình và file trên máy.

KEY: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion \Explorer\WordWheelQuery (Windows 7).

Trên Windows 7 có thể biết chính xác thời điểm một người dùng cụ thể tìm kiếm là vô cùng hữu ích trong việc điều tra cuộc điều tra. Đối với Windows 7, ngoài thanh “Search” của Explorer, bất kỳ tìm kiếm nào được nhập vào “Windows Start Menu” cũng sẽ được lưu vào registry key WordWheelQuery.

Đối với Windows 8 và 10, WordWheelQuery chỉ giới hạn những tìm kiếm thông qua Explorer search bar, vì Win8-10 thiếu đi phần tìm kiếm tại Start button. Ví dụ như trong hình dưới, là một số các tìm kiếm gần đây:

Bạn có thể xem những tìm kiếm gần đây bằng cách click chuột phải vào phần tìm kiếm trên Explorer search bar. Các tìm kiếm này được ghi lại theo thứ tự vào trong registry key WordWheelQuery.

Kết quả trên trùng với những gì mà người dùng đã tìm kiếm thông qua Explorer search bar (Để xác định thứ tự tìm kiếm cần lưu ý đến MRUListEX).

2. Typed path

Registry key: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersio\Explorer \TypedPaths

Ví dụ:

Key này sẽ hiển thị những đường dẫn bạn nhập vào Start menu hoặc Explorer bar. Key này sẽ hữu ích trong tình huống bạn đang chứng tỏ rằng người dùng biết hoặc thử truy cập vào một vị trí cụ thể nào đó.

Rõ ràng rằng đây không phải là một vị trí ngẫu nhiên mà Explorer đã tự mình duyệt. Key này tự động sắp xếp theo thứ tự gần đây nhất (với vị trí số 1 là gần đây nhất). Nói cách khác, không có key MRU, nhưng các đường dẫn được giữ theo thứ tự bắt đầu với giá trị url1 là giá trị cuối cùng được thêm vào.

3. Recent Docs

Key: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion \Explorer\RecentDocs

Bạn có thể dễ dàng kiểm tra các documents được sử dụng gần đây nhất trên hệ thống Windows XP-Win10 bằng cách nhìn vào key RecentDocs. Key này và các key con bên dưới nó cực kỳ có giá trị khi tìm kiếm hoạt động xoay quanh một tệp cụ thể.

Khi bạn kiểm tra các giá trị của key này, các giá trị rất khó đọc. Tuy nhiên, Registry Explorer có thể phân tích cú pháp nội dung của các khóa này để có thể dễ dàng xem chúng. Các giá trị sẽ được hiển thị theo thứ tự MRUlist (hiển thị tệp gần đây nhất được mở).

Các subkey sẽ được chia theo từng extention của tập tin.

Nhìn vào hình trên, phần subkeys, và values có thể cho biết số lượng subkey và value của key.

Ví dụ thể thấy key name = “.vmx” có 12 values tương ứng với 11 tệp được mở gần đây. Giá trị này là 11 bởi ví mỗi key hay subkey trong RecentDocs sẽ có 1 key MRUListEx cho biết thứ tự hiển thị tệp gần đây nhất được mở. Nhưng vì Registry Explorer ở tab Recent documents sẽ tự động đọc key này và sắp xếp chúng theo tự tự MRU nên sẽ chỉ còn 11:

Mở qua tab value sẽ thấy được keyname MRUListEx này:

Ở keyname = “RecentDocs” sẽ tổng hợp khoảng 150 tệp được mở gần đây nhất của tất cả các định dạng, như hình dưới đây:

3. Microsoft Office

Mỗi phiên bản của Office được tìm thấy trong registry key:

NTUSER.DAT\Software\Microsoft\Office\VERSION

Office Versions:

  • 16.0 = Office 2016
  • 15.0 = Office 2013
  • 14.0 = Office 2010
  • 11.0 = Office 2003
  • 12.0 = Office 2007
  • 10.0 = OfficeXP

a)   File MRU/ Place MRU

Không chỉ hệ điều hành sẽ theo dõi các tài liệu cuối cùng được lưu của người dùng mà Microsoft Office cũng như vậy. Mỗi phiên bản Office sẽ giữ một danh sách tất cả các tệp được mở. Những vị trí đó luôn nằm trong một key được gọi là File MRU. Trong key này sẽ liệt kê nhiều tài liệu, bảng tính và bản PowerPoint gần đây mà người dùng đã mở. Danh sách này có thể khá rộng và nhiều hơn so với RecentDocs của hệ thống, do có nhiều dung lượng hơn và không cần ghi đè dữ liệu nhanh.

Đôi khi có sự nhầm lẫn giữa Office 365 và Office 2013/2016, chúng thực sự là cùng một sản phẩm dưới các tên khác nhau. Lưu ý trong trường hợp này, danh sách File MRU sẽ có mục mới nhất được gắn nhãn là số 1. Trong danh sách được sắp xếp theo thứ tự 1-50, với 1 là phần bổ sung gần đây nhất.

Trong các phiên bản mới nhất của Microsoft Office bắt đầu từ Office365, nó được liên kết trực tiếp với LiveID của người dùng, nó được định vị trong key \UserMRU\LiveID_ ####\File MRU. Nó bao gồm đường dẫn đầy đủ của file so với  registry key “RecentDocs”.

VD:

Cũng cần lưu ý rằng 8 byte theo sau chữ “T” trong registry value là thời gian Windows 64 bit theo thứ tự Big-Endian.

Ở cùng một vị trí trong Office365 là một key khác được gọi là “PlaceMRU“, hiển thị cho người điều tra vị trí thư mục nơi cùng một tệp đích đã được mở. Nó cho chúng ta thêm dữ liệu vào hệ thống mà có thể đáng để kiểm tra.

VD:

Office 2013 trở đi, Microsoft Office Word bắt đầu ghi lại vị trí đọc cuối cùng cho các tệp được người dùng mở gần nhất. Bởi vì nhiều tài liệu gắn liền với MS Word, điều này cung cấp cho chúng ta thêm một phần bằng chứng.

Thông thường trên Office 15.0, có tối đa 50 items, nhưng kể từ Bản 16.0, lên ​​đến hàng trăm, mình cũng không thực sự chắc chắn có bao nhiêu bản ghi nó sẽ trong bản 16.0 trở lên.

b)   Reading locations

Key: NTUSER.DAT\Software\Microsoft\Office\VERSION\[Word]\Reading Locations\Document X

Bạn để có nhận thấy rằng, một số tập tin như .docx khi bạn mở lên nó sẽ có một phần như hình trên gợi ý rằng lần sử dụng trước, bạn đang dừng ở vị trí đó. Vậy tức là sẽ có một nơi nào đó lưu lại vị trí đó để chúng ta có thể mở lại đúng vị trí đã dùng ở lần trước, và chính key này sẽ cho chúng ta thông tin này.

Đối với registry key Reading Locations, mỗi key có một khóa con được đặt tên đơn giản là “Document 0″ hoặc ” Document 1″. Key đó chứa thông tin được cập nhật khi tệp được đóng lần cuối. VD Documen 2 sẽ có những thông tin sau:

Datetime: Lưu dưới dạng system time 64-bit, chứa giá trị là ngày, giờ của lần đóng file cuối. Giá trị bắt đầu ngay sau chữ “T”. Giá trị chính xác hơn có thể được tìm thấy trong parent registry key lần cuối cùng ghi vào ” Document 0″.

File Path: Đường dẫn của tập tin

Position: Position dường như lưu trữ dữ liệu được sử dụng để đặt con trỏ tại một điểm trong tài liệu của bạn, tại vị trí mà bạn đã dừng lại. Có vẻ như số thứ hai trong giá trị này được sử dụng để biểu thị vị trí trong tài liệu. Ví dụ: nếu một tệp được mở lần đầu tiên và sau đó đóng lại mà không cần cuộn xuống qua tài liệu, Position value data sẽ là “0 0”. Nếu một tệp được mở và người dùng cuộn xuống một chút qua tài liệu trước khi đóng nó, Position value data có thể có dạng như “0 1500”. Số thứ hai trong giá trị này dường như tăng lên khi người dùng cuộn qua (ví dụ, đọc / chỉnh sửa) tài liệu. Lưu ý rằng vị trí của cursor dường như không ảnh hưởng đến giá trị này. Tức là, trường thứ hai trong dữ liệu giá trị này tăng ngay cả khi cursor không bao giờ được di chuyển từ đầu tài liệu.

Một trong những cách chúng tôi có thể tìm ra cách sử dụng các giá trị này là lấy cùng một tài liệu và mở nó trên một hệ thống khác. Sau đó, chúng tôi sẽ chỉnh sửa registry để khớp với các số ở position trong registry của hệ thống thứ hai và sau đó mở lại tài liệu. Bây giờ con trỏ sẽ di chuyển đến vị trí chỉnh sửa cuối cùng trong tài liệu.

Phần này mình sẽ tạm kết thúc ở đây, hẹn các bạn ở phần tiếp theo!

By,

RE_Team

86 lượt xem