TORCHCRAFT.PL | ALANUSS.PL Ultimate Incident Response Wiki
Informacja / Disclaimer

Ta dokumentacja została stworzona w celach edukacyjnych, badawczych i analizy incydentów. Wszystkie zamieszczone procedury, lokalizacje i bazy danych są wykorzystywane przez specjalistów bezpieczeństwa do wyszukiwania złośliwego oprogramowania oraz śladów manipulacji systemowych.

Podstawy Windows Forensics

Analiza kluczowych artefaktów systemu Windows dostarczających dowodów na uruchomienie aplikacji, czas działania i działania użytkownika.

NTFS Forensics

Niskopoziomowa analiza systemu plików NTFS mająca na celu odzyskanie skasowanych plików, wykrycie ukrytych strumieni i zbadanie historii operacji na dysku.

Browser & Discord Forensics

Analiza historii, pobranych plików, sesji oraz pamięci podręcznej (Cache) przeglądarek internetowych i aplikacji Discord.

Chrome, Edge & Opera

Lokalizacje baz danych SQLite oraz Cache:

  • History: AppData\\Local\\Google\\Chrome\\User Data\\Default\\History
  • Cache: AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cache\\Cache_Data\\
  • Edge History: AppData\\Local\\Microsoft\\Edge\\User Data\\Default\\History

Firefox

Firefox przechowuje informacje w profilu użytkownika:

  • History & Marks: AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\<profile>\\places.sqlite
  • Form Data: formhistory.sqlite
  • Cookies: cookies.sqlite

Discord Forensics

Discord bazuje na technologii Electron. Pamięć podręczna zawiera miniatury, zdjęcia, załączniki oraz fragmenty wiadomości tekstowych, które zostały załadowane na ekranie użytkownika.

Standard Cache Path %appdata%\\Discord\\Cache\\Cache_Data
Local Storage (LevelDB) %appdata%\\Discord\\Local Storage\\leveldb

Minecraft Forensics

Wyszukiwanie nieautoryzowanych modyfikacji ("cheatów", ghost clientów), historia sesji oraz logi uruchamiania gry na popularnych launcherach.

Vanilla & Forge

Kluczowe pliki logów i konfiguracji:

.minecraft/logs/latest.log
.minecraft/usercache.json
.minecraft/launcher_profiles.json
Lunar & Badlion

Lunar Client przechowuje własne logi i ustawienia:

.lunarclient/offline/multiver/logs/
.badlion/logs/
Feather & Essential

Przechowują własne konfiguracje i logi modów:

.feather/logs/
.minecraft/essential/

Techniki wykrywania usuniętych modów i ghost clientów

  • Analiza pliku hotspot.log lub plików zrzutu pamięci JVM w poszukiwaniu klas wskazujących na cheaty (np. ClickGUI, Reach).
  • Sprawdzenie historii otwieranych plików przez eksplorator w wyszukiwaniu pobranych archiwów modyfikacji w folderze Downloads.

RAM & JVM Forensics

Analiza pamięci operacyjnej systemu operacyjnego oraz wirtualnej maszyny Java pod kątem wstrzykniętych bibliotek DLL oraz obcych agentów Java.

Narzędzia do analizy procesów

  • Process Hacker / System Informer: Używany do inspekcji pamięci, sprawdzania uchwytów (Handles), otwartych połączeń sieciowych i aktywnych wątków.
  • VMMap: Pozwala na dogłębną analizę pamięci wirtualnej procesu i identyfikację regionów pamięci oznaczonych jako executable (RX, RWX).

Detekcja złośliwego kodu

  • PE-sieve: Skanuje aktywny proces i wykrywa modyfikacje w locie (inline hooks, DLL injection, hollowed processes).
  • Java Agents / DLL Injection: Analiza parametrów startowych JVM (np. obecność flagi -javaagent:) oraz inspekcja załadowanych bibliotek DLL w procesie gry.

Makra i urządzenia (Hardware Forensics)

Wyszukiwanie skryptów automatyzujących rozgrywkę (autoclickery, makra bezodrzutowe) w oficjalnym oprogramowaniu wiodących producentów peryferiów komputerowych.

Logitech G HUB AppData\\Local\\LGHUB\\settings.db
Razer Synapse AppData\\Local\\Razer\\Synapse3\\
Bloody C:\\Program Files (x86)\\Bloody7\\
SteelSeries AppData\\Roaming\\SteelSeries\\

Persistence (Metody Utrwalenia)

Analiza miejsc, które złośliwe oprogramowanie wykorzystuje do automatycznego startu wraz z systemem operacyjnym.

Klucze Autorun Rejestru

Najczęściej modyfikowane lokalizacje w rejestrze:

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

Harmonogram Zadań (Scheduled Tasks)

Ścieżka zadań systemowych:

C:\\Windows\\System32\\Tasks

Usługi Systemowe (Services)

Klucz konfiguracyjny usług:

HKLM\\SYSTEM\\CurrentControlSet\\Services

Ghost Clients Database (40+ Klientów)

Baza sygnatur, najczęstszych nazw plików, procesów oraz lokalizacji katalogów popularnych ulepszaczy gry (Ghost Clients) używanych do ukrywania przewagi w grach Minecraft / FPS.

Nazwa Klienta Typ / Sygnatura Lokalizacja / Folder / Plik Proces / Klasa JVM

PowerShell/CMD Toolkit (100+ Komend)

Zbiór gotowych, przydatnych komend dla analityków incydentów i łowców zagrożeń do szybkiego zbierania artefaktów i weryfikacji integralności systemu.

Skopiowano do schowka!