我敢肯定,您已經聽說過Windows 10中引入的一些功能,而且是對取證友好的功能。一個很好的例子是Windows 10時間軸。最近,我發現了另一個有用的功能,可以幫助法醫分析師和事件響應者重建用戶活動。它稱為FeatureUsage。
那麼,它跟蹤什麼以及取證痕跡在哪裡?例如,當用戶運行固定到任務欄的應用程式時,它會跟蹤與任務欄相關的事件。FeatureUsage位於NTUSER.DAT註冊表文件中的以下項下:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage
您可以在此鍵下找到一些子鍵:
圖1. FeatureUsage子項
讓我們看一下每個子項:
AppBadgeUpdated。此子項跟蹤任務欄上應用程式的徽章(用於突出顯示新的或未讀的項)更新。例如,如果您使用Telegram並收到新消息,則可以在應用程式的徽章上看到帶有紅色消息的紅色圖標。因此,在這裡我們可以找到應用程式的路徑和徽章更新的數量:
圖2.電報徽章更新的數量
AppLaunch。此子項記錄應用程式的啟動,這些應用程式固定在任務欄上。當然,不是每個用戶都固定應用程式,但是如果每個人都固定應用程式,那麼您將獲得大量的數字證據:
圖3. Microsoft Edge啟動計數
AppSwitched。當用戶想要從一個切換到另一個時,此子項記錄任務欄應用程式上的左鍵單擊。從法醫角度來看,此子項最為有趣,因為它可能包含大量記錄,這可能是執行證據的來源:
圖4. Mimikatz被執行的證據
ShowJumpView。此子項跟蹤任務欄應用程式上的右鍵單擊。用戶可以這樣做,例如,檢查或打開最近的文件。這可能是指向最常用應用程式的附加工件:
圖5. Microsoft Word的ShowJumpList數據
TrayButtonClicked。此子項跟蹤以下任務欄項目上的左鍵單擊:ClockButton,StartButton,NotificationCenterButton 和 SearchButton。與前面的示例一樣,您可以看到每個項目的點擊次數:
圖6.任務欄項目的點擊次數
Windows註冊表一直以來都是數字證據的良好來源,擁有另一個可能提供的有用人為痕跡資源始終是一件好事。有許多不同的執行證據來源,但這總是不夠的,因為您將永遠不知道在下一次法證檢查或事件響應參與時在哪裡可以找到關鍵的人為痕跡。
本文轉載自:https://www.group-ib.com/blog/featureusage
作者:Oleg Skulkin