Ta dokumentacja została stworzona w celach edukacyjnych, badawczych i analizy incydentów. Wszystkie zamieszczone procedury, lokalizacje i bazy danych są wykorzystywane przez specjalistów bezpieczeństwa do wyszukiwania złośliwego oprogramowania oraz śladów manipulacji systemowych.
Podstawy Windows Forensics
Analiza kluczowych artefaktów systemu Windows dostarczających dowodów na uruchomienie aplikacji, czas działania i działania użytkownika.
Ścieżka: C:\\Windows\\Prefetch
Charakterystyka: Prefetch służy do optymalizacji uruchamiania aplikacji. Generowany po uruchomieniu dowolnego programu (maks. 1024 pliki w Win 10/11). Zawiera dokładną datę pierwszego i ostatnich 8 uruchomień, ścieżkę do pliku wykonywalnego oraz listę wczytanych bibliotek DLL w pierwszych 10 sekundach.
PECmd.exe -f "C:\\Windows\\Prefetch\\CMD.EXE-3AEE5D12.pf" --csv C:\\Output
Ścieżka: C:\\Windows\\AppCompat\\Programs\\Amcache.hve
Charakterystyka: Plik rejestru systemu przechowujący metadane programów, które zostały zainstalowane lub uruchomione na komputerze. Zawiera m.in. skróty SHA-1 plików wykonywalnych, wersje, ścieżki i czas pierwszej modyfikacji.
AmcacheParser.exe -f "C:\\Windows\\AppCompat\\Programs\\Amcache.hve" --csv C:\\Output
Rejestr: SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCompatCache
Charakterystyka: Mechanizm Windows służący kompatybilności wstecznej aplikacji. Przechowuje informacje o programach uruchomionych w systemie (do 1024 wpisów). Dane są zapisywane na dysk dopiero przy wyłączaniu lub restarcie systemu.
Rejestr: NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UserAssist
Charakterystyka: Śledzi programy GUI uruchomione przez danego użytkownika z poziomu Explorera. Co ciekawe, klucze w rejestrze są zakodowane algorytmem ROT13 w celu ukrycia jawnych nazw.
Rejestr BAM: SYSTEM\\CurrentControlSet\\Services\\Bam\\State\\UserSettings
Charakterystyka: Funkcja zarządzania energią wprowadzona w Windows 10. Przechowuje pełne ścieżki i dokładne czasy ostatniego uruchomienia procesów tła dla każdego użytkownika osobno (SID).
Ścieżka: C:\\Windows\\System32\\winevt\\Logs
Kluczowe Identyfikatory Zdarzeń (Event ID):
- 4624: Udane logowanie (Logon Type 2 - lokalne, Logon Type 10 - RDP)
- 4625: Nieudane logowanie
- 4688: Utworzenie nowego procesu (wymaga włączonego audytu)
- 7045: Utworzenie nowej usługi w systemie (kluczowe dla detekcji persistence)
NTFS Forensics
Niskopoziomowa analiza systemu plików NTFS mająca na celu odzyskanie skasowanych plików, wykrycie ukrytych strumieni i zbadanie historii operacji na dysku.
Charakterystyka: Najważniejszy plik w systemie NTFS. Każdy plik i katalog na dysku posiada co najmniej jeden rekord w MFT o rozmiarze 1024 bajtów. Przechowuje atrybuty czasowe MACB (Modified, Accessed, Created, MFT Modified).
Przeniesienie lub modyfikacja pliku może wygenerować charakterystyczne anomalie w
atrybutach $STANDARD_INFORMATION
oraz $FILE_NAME
(znane jako "Timestomping").
Lokalizacja: $Extend\\$UsnJrnl
Charakterystyka: Dziennik zmian NTFS. Rejestruje wszystkie zmiany dokonane na plikach i folderach (stworzenie, usunięcie, zmiana nazwy, modyfikacja danych). Pozwala prześledzić historię operacji użytkownika, nawet jeśli pliki zostały permanentnie usunięte.
Charakterystyka: Funkcja pozwalająca przypisać dodatkowe strumienie
danych do jednego pliku. Najpopularniejszy to Zone.Identifier
(dodaje flagę pobrania z Internetu - "Mark of the Web"). Może być użyty przez
atakujących do ukrywania złośliwych plików wykonywalnych wewnątrz legalnych plików
tekstowych.
Ścieżka: C:\\$Recycle.Bin\\<SID>
Zasada działania: Po usunięciu pliku generowane są dwa nowe pliki:
$Ixxxxxx: Zawiera oryginalną ścieżkę, rozmiar oraz czas usunięcia.$Rxxxxxx: Zawiera faktyczną zawartość usuniętego pliku.
Charakterystyka: Volume Shadow Copy Service (VSS) tworzy kopie zapasowe wolumenu. Umożliwia odzyskanie plików sprzed ich modyfikacji lub usunięcia przez intruza/ransomware.
vssadmin list shadows
Browser & Discord Forensics
Analiza historii, pobranych plików, sesji oraz pamięci podręcznej (Cache) przeglądarek internetowych i aplikacji Discord.
Chrome, Edge & Opera
Lokalizacje baz danych SQLite oraz Cache:
- History: AppData\\Local\\Google\\Chrome\\User Data\\Default\\History
- Cache: AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cache\\Cache_Data\\
- Edge History: AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\History
Firefox
Firefox przechowuje informacje w profilu użytkownika:
- History & Marks: AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\<profile>\\places.sqlite
- Form Data: formhistory.sqlite
- Cookies: cookies.sqlite
Discord Forensics
Discord bazuje na technologii Electron. Pamięć podręczna zawiera miniatury, zdjęcia, załączniki oraz fragmenty wiadomości tekstowych, które zostały załadowane na ekranie użytkownika.
%appdata%\\Discord\\Cache\\Cache_Data
%appdata%\\Discord\\Local Storage\\leveldb
Minecraft Forensics
Wyszukiwanie nieautoryzowanych modyfikacji ("cheatów", ghost clientów), historia sesji oraz logi uruchamiania gry na popularnych launcherach.
Kluczowe pliki logów i konfiguracji:
.minecraft/logs/latest.log
.minecraft/usercache.json
.minecraft/launcher_profiles.json
Lunar Client przechowuje własne logi i ustawienia:
.lunarclient/offline/multiver/logs/
.badlion/logs/
Przechowują własne konfiguracje i logi modów:
.feather/logs/
.minecraft/essential/
Techniki wykrywania usuniętych modów i ghost clientów
- Analiza pliku hotspot.log lub plików zrzutu
pamięci JVM w poszukiwaniu klas wskazujących na cheaty (np.
ClickGUI,Reach). - Sprawdzenie historii otwieranych plików przez eksplorator w wyszukiwaniu pobranych
archiwów modyfikacji w folderze
Downloads.
RAM & JVM Forensics
Analiza pamięci operacyjnej systemu operacyjnego oraz wirtualnej maszyny Java pod kątem wstrzykniętych bibliotek DLL oraz obcych agentów Java.
Narzędzia do analizy procesów
- Process Hacker / System Informer: Używany do inspekcji pamięci, sprawdzania uchwytów (Handles), otwartych połączeń sieciowych i aktywnych wątków.
- VMMap: Pozwala na dogłębną analizę pamięci wirtualnej procesu i identyfikację regionów pamięci oznaczonych jako executable (RX, RWX).
Detekcja złośliwego kodu
- PE-sieve: Skanuje aktywny proces i wykrywa modyfikacje w locie (inline hooks, DLL injection, hollowed processes).
-
Java Agents / DLL Injection:
Analiza parametrów startowych
JVM (np. obecność flagi
-javaagent:) oraz inspekcja załadowanych bibliotek DLL w procesie gry.
Makra i urządzenia (Hardware Forensics)
Wyszukiwanie skryptów automatyzujących rozgrywkę (autoclickery, makra bezodrzutowe) w oficjalnym oprogramowaniu wiodących producentów peryferiów komputerowych.
AppData\\Local\\LGHUB\\settings.db
AppData\\Local\\Razer\\Synapse3\\
C:\\Program Files (x86)\\Bloody7\\
AppData\\Roaming\\SteelSeries\\
Persistence (Metody Utrwalenia)
Analiza miejsc, które złośliwe oprogramowanie wykorzystuje do automatycznego startu wraz z systemem operacyjnym.
Klucze Autorun Rejestru
Najczęściej modyfikowane lokalizacje w rejestrze:
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
Harmonogram Zadań (Scheduled Tasks)
Ścieżka zadań systemowych:
C:\\Windows\\System32\\Tasks
Usługi Systemowe (Services)
Klucz konfiguracyjny usług:
HKLM\\SYSTEM\\CurrentControlSet\\Services
Ghost Clients Database (40+ Klientów)
Baza sygnatur, najczęstszych nazw plików, procesów oraz lokalizacji katalogów popularnych ulepszaczy gry (Ghost Clients) używanych do ukrywania przewagi w grach Minecraft / FPS.
| Nazwa Klienta | Typ / Sygnatura | Lokalizacja / Folder / Plik | Proces / Klasa JVM |
|---|
PowerShell/CMD Toolkit (100+ Komend)
Zbiór gotowych, przydatnych komend dla analityków incydentów i łowców zagrożeń do szybkiego zbierania artefaktów i weryfikacji integralności systemu.