問題「Windows Forensics 1」

Windows Forensics 1 created by tryhackme and umairalizafar
このroomで学ぶ内容は

Introduction to Windows Registry Forensics
(Windowsレジストリフォレンジック入門)

です。

このRoomには以下の１１のTaskがあります。それぞれに数問の問題があります。
問題には答えをテキストボックスに入力するタイプと説明を読んで終わりのタイプがあります。
それぞれCompletedボタンをクリックすると回答が完了します。
もし回答が不正解であっても修正して再度回答することができます。

[Task 1 Introduction to Windows Forensics]
[Task 2 Windows Registry and Forensics]
[Task 3 Accessing registry hives offline]
[Task 4 Data Acquisition]
[Task 5 Exploring Windows Registry]
[Task 6 System Information and System Accounts]
[Task 7 Usage or knowledge of files/folders]
[Task 8 Evidence of Execution]
[Task 9 External Devices/USB device forensics]
[Task 10 Hands-on Challenge]
[Task 11 Conclusion]

Task 1 Introduction to Windows Forensics

A bird's-eye view

このroomの序文にあたります。

実はこの序文で紹介されているリンクを辿って読み進めていくうちにだんだん怖くなってきて途中で休憩しました。サイコサスペンスが苦手な方は一人で夜読まない方がいいかも。

フォレンジックについてはこちらを参考にしてください。

Answer the questions below

`What is the most used Desktop Operating System right now?`

デスクトップOSに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 2 Windows Registry and Forensics

A bird's-eye view

このtaskではWindowsレジストリの概要とお馴染みのregedit.exeの起動方法やルートキーの定義について取り上げています。

hiveという用語は今一つ分かりづらいので「Insider's Computer Dictionary」の解説を紹介します。

ハイブ（hive）
Windows OSが各種のシステム設定などを記録するレジストリにおいて、ある特定の情報に関するレジストリのセクションを指すもの。ハイブは、ハードウェア設定やソフトウェア設定、セキュリティ設定など、レジストリに保存される情報のうち、特定分野に関する一連の情報を識別するセクションを意味する。「hive」は「ミツバチの巣箱」という意味で、情報を格納する各レジストリセクションが、あたかもハチの巣のようであることに因んでマイクロソフトのプログラマがこのように命名した。

「ミツバチの巣箱」に由来するという豆知識もあり。

Windowsレジストリについては以下のマイクロソフトのドキュメントが紹介されています。日本語でも多くの解説が見つかると思うので調べてみてください。

Answer the questions below

以下すべてに共通するヒントです。

Task2の本文の中で説明されている部分を探します。

`What is the short form for HKEY_LOCAL_MACHINE?`

HKEY_LOCAL_MACHINEに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 3 Accessing registry hives offline

A bird's-eye view

このtaskではさまざまなレジストリハイブやレジストリのトランザクションログ、バックアップについて取り上げています。

Answer the questions below

以下すべてに共通するヒントです。

Task3の本文の中で説明されている部分を探します。

`What is the path for the five main registry hives, DEFAULT, SAM, SECURITY, SOFTWARE, and SYSTEM?`

pathに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the path for the AmCache hive?`

こちらもpathとAmCache hiveに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 4 Data Acquisition

A bird's-eye view

このtaskではデータ収集について取り上げています。

インシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、

プロセスの最初にある「収集」にあたります。

その際使用するツールとしてKAPEが紹介されています。読み方はこちらの動画では「ケイプ」と発音していますね。
Kroll Artifact Parser And Extractor (KAPE)

その他にも以下のツールが取り上げられています。

Answer the questions below

`Try collecting data on your own system or the attached VM using one of the above mentioned tools`

本文を読み（余裕があればツールをインストールするかTask10のStart MachineボタンをクリックしてVMを起動し試した後）Completedボタンをクリックして回答を完了します。

Task 5 Exploring Windows Registry

A bird's-eye view

このtaskではデータ検査（読込）について取り上げています。

先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、

フォレンジックプロセスのうちの「検査」にあたります。

Windowsレジストリエディターで対応できない機能を有するツールとして以下のものが取り上げられています。

Answer the questions below

`Study the above material to understand the difference between the different tools`

本文を読み（余裕があれば紹介されたツールのそれぞれの違いを調べた後）Completedボタンをクリックして回答を完了します。

Task 6 System Information and System Accounts

A bird's-eye view

このtaskではシステム情報とアカウント情報について取り上げています。

先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、

フォレンジックプロセスのうちの「分析」にあたります。

Answer the questions below

以下すべてに共通するヒントです。

Task6の本文の中で説明されている部分（図も含む）を探します。
Hintがある場合は利用してください。

`What is the Current Build Number of the machine whose data is being investigated?`

カレントビルドナンバーに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`Which ControlSet contains the last known good configuration?`

last known good configurationに関係がありそうです。
アスタリスク(*)の数（解答の文字数）を参考に考えてください。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the Computer Name of the computer?`

コンピューター名に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the value of the TimeZoneKeyName?`

TimeZoneKeyNameに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the DHCP IP address`

DHCPサーバーのIPアドレスに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the RID of the Guest User account?`

Relative identifier (RID)に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 7 Usage or knowledge of files/folders

A bird's-eye view

このtaskでは（悪意のある）ユーザーのファイルに関する活動を分析するためのファイル操作記録情報について取り上げています。

先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドのフォレンジックプロセスのうちの「分析」にあたります。

Answer the questions below

以下すべてに共通するヒントです。

Task7の本文の中で説明されている部分（図も含む）を探します。
Hintがある場合は利用してください。

`When was EZtools opened?`

EZtoolsに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`At what time was My Computer last interacted with?`

ShellBagsに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the Absolute Path of the file opened using notepad.exe?`

notepad.exeに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`When was this file opened?`

File openに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 8 Evidence of Execution

A bird's-eye view

このtaskでは侵害を実行した証拠情報について取り上げています。

先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、

フォレンジックプロセスのうちの「報告」にあたります。（下の矢印の”証拠”）

Answer the questions below

以下すべてに共通するヒントです。

Task8の本文の中で説明されている部分（図も含む）を探します。
Hintがある場合は利用してください。

`How many times was the File Explorer launched?`

File Explorerに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is another name for ShimCache?`

ShimCacheに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`Which of the artifacts also saves SHA1 hashes of the executed programs?`

SHA1 hashesに関係がありそうです。アーティファクトとは「インシデントが発生した際に残される痕跡」です。
参考：アーティファクト分析・解析
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`Which of the artifacts saves the full path of the executed programs?`

Executed programsに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 9 External Devices/USB device forensics

A bird's-eye view

このtaskでは外部接続（外付け）機器情報について取り上げています。

先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドのフォレンジックプロセスのうちの「報告」にあたります。（下の矢印の”証拠”）

Answer the questions below

以下すべてに共通するヒントです。

Task9の本文の中で説明されている部分（図も含む）を探します。

`What is the serial number of the device from the manufacturer 'Kingston'?`

Kingstonに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the name of this device?`

機器名に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

`What is the friendly name of the device from the manufacturer 'Kingston'?`

friendly nameに関係がありそうです。
friendly nameとは、

(computing, Microsoft Windows) The everyday name of a hardware device, displayed to the user instead of the internal or technical designation.
friendly name - Wiktionary
(内部または技術的な名称の代わりにユーザーに表示される、ハードウェアデバイスの一般的な名前。)

です。テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。

Task 10 Hands-on Challenge

A bird's-eye view

このtaskでは上で学んだ知識を応用して問題に挑戦する演習を行います。

指定された認証情報でログインします。
Username: THM-4n6
Password: 123

▷Start Machineボタンをクリックして対象マシンを起動します。
調査対象マシン（以下対象マシンとします）は１時間でシャットダウンします。落ちる前にAdd 1 hourをクリックすると１時間延長されます。
対象マシンへの接続は、Web-based Kali Machineを利用した場合、無料アカウントの場合は１日に１時間までしか利用できませんので注意してください。OpenVPNを利用した場合は接続に制限はありません。

演習環境にアクセスするには以下のように２つの方法があります。
1.Web-based Kali Machineで行う場合
動作環境が少し遅くて使いづらい部分がありますが気にならないようならこちらが手軽なのでおすすめです。

Taskのタイトルバーの右端にあるアイコンはデプロイ（配置して使用）できるマシンがあることを表します。

▷Start Machineボタンをクリックするとマシンが起動します。

2.OpenVPNで行う場合
私には使いやすいのでできる時はこの方法でやっています。
(1)OpenVPNのインストールと設定（初めて使用する時だけ行います。）
A.画面右上のプロフィールアイコンをクリックしてAccessを選択します。

B.右のMachinesタブからVPN Serverを選択してDownload My Configuration Fileをクリックして自分専用の接続設定ファイルをダウンロードします。

OpenVPNのインストールなど詳しくは以下を参考にしてください。

(2)▷Start Machineボタンをクリックして対象マシンを起動します。画面の上方にActive Machine Informationが表示されます。
(3)ダウンロードした接続設定ファイルを指定してOpenVPNを起動します。
(4)VPN接続できた状態でリモートデスクトップを起動します。

(5)Active Machine Informationに表示されるIP Addressと指定された認証情報を入力して対象マシンに接続します。

パスワードを入力します。

接続後の画面。

以降は本文の手順に従い、RegistryExplorerを起動して演習を行ってください。

起動後の画面。

NTUSER.DATを選択してopenします。

YESを選択。

OKをクリックして続行、ファイルを選択。

OKをクリックして続行、ファイルを保存します。

YESをクリック、次にNOをクリックして読み込みを完了します。

SAMファイルも読み込んでおきます。

開いた画面。

他にも必要に応じてファイルを読み込み調査を行います。