問題「Windows Forensics 1」
Windows Forensics 1 created by tryhackme and umairalizafar
このroomで学ぶ内容は
Introduction to Windows Registry Forensics
(Windowsレジストリフォレンジック入門)
このRoomには以下の11のTaskがあります。それぞれに数問の問題があります。
問題には答えをテキストボックスに入力するタイプと説明を読んで終わりのタイプがあります。
それぞれCompletedボタンをクリックすると回答が完了します。
もし回答が不正解であっても修正して再度回答することができます。
- [Task 1 Introduction to Windows Forensics]
- [Task 2 Windows Registry and Forensics]
- [Task 3 Accessing registry hives offline]
- [Task 4 Data Acquisition]
- [Task 5 Exploring Windows Registry]
- [Task 6 System Information and System Accounts]
- [Task 7 Usage or knowledge of files/folders]
- [Task 8 Evidence of Execution]
- [Task 9 External Devices/USB device forensics]
- [Task 10 Hands-on Challenge]
- [Task 11 Conclusion]
Task 1 Introduction to Windows Forensics
A bird's-eye view
実はこの序文で紹介されているリンクを辿って読み進めていくうちにだんだん怖くなってきて途中で休憩しました。サイコサスペンスが苦手な方は一人で夜読まない方がいいかも。
フォレンジックについてはこちらを参考にしてください。
Answer the questions below
What is the most used Desktop Operating System right now?
デスクトップOSに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 2 Windows Registry and Forensics
A bird's-eye view
このtaskではWindowsレジストリの概要とお馴染みのregedit.exe
の起動方法やルートキーの定義について取り上げています。
hiveという用語は今一つ分かりづらいので「Insider's Computer Dictionary」の解説を紹介します。
ハイブ (hive)
Windows OSが各種のシステム設定などを記録するレジストリにおいて、ある特定の情報に関するレジストリのセクションを指すもの。ハイブは、ハードウェア設定やソフトウェア設定、セキュリティ設定など、レジストリに保存される情報のうち、特定分野に関する一連の情報を識別するセクションを意味する。「hive」は「ミツバチの巣箱」という意味で、情報を格納する各レジストリセクションが、あたかもハチの巣のようであることに因んでマイクロソフトのプログラマがこのように命名した。
「ミツバチの巣箱」に由来するという豆知識もあり。
Windowsレジストリについては以下のマイクロソフトのドキュメントが紹介されています。日本語でも多くの解説が見つかると思うので調べてみてください。
Answer the questions below
以下すべてに共通するヒントです。
- Task2の本文の中で説明されている部分を探します。
What is the short form for HKEY_LOCAL_MACHINE?
HKEY_LOCAL_MACHINEに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 3 Accessing registry hives offline
A bird's-eye view
このtaskではさまざまなレジストリハイブやレジストリのトランザクションログ、バックアップについて取り上げています。
Answer the questions below
以下すべてに共通するヒントです。
- Task3の本文の中で説明されている部分を探します。
What is the path for the five main registry hives, DEFAULT, SAM, SECURITY, SOFTWARE, and SYSTEM?
pathに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the path for the AmCache hive?
こちらもpathとAmCache hiveに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 4 Data Acquisition
A bird's-eye view
インシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、
プロセスの最初にある「収集」にあたります。
その際使用するツールとしてKAPEが紹介されています。読み方はこちらの動画では「ケイプ」と発音していますね。
Kroll Artifact Parser And Extractor (KAPE)
その他にも以下のツールが取り上げられています。
Answer the questions below
Try collecting data on your own system or the attached VM using one of the above mentioned tools
本文を読み(余裕があればツールをインストールするかTask10のStart MachineボタンをクリックしてVMを起動し試した後)Completedボタンをクリックして回答を完了します。
Task 5 Exploring Windows Registry
A bird's-eye view
このtaskではデータ検査(読込)について取り上げています。
先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、
フォレンジックプロセスのうちの「検査」にあたります。
Windowsレジストリエディターで対応できない機能を有するツールとして以下のものが取り上げられています。
- Registry Viewer®
- Eric ZimmermanさんのRegistry Explorer
- RegRipper
Answer the questions below
Study the above material to understand the difference between the different tools
本文を読み(余裕があれば紹介されたツールのそれぞれの違いを調べた後)Completedボタンをクリックして回答を完了します。
Task 6 System Information and System Accounts
A bird's-eye view
このtaskではシステム情報とアカウント情報について取り上げています。
先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、
フォレンジックプロセスのうちの「分析」にあたります。
Answer the questions below
以下すべてに共通するヒントです。
- Task6の本文の中で説明されている部分(図も含む)を探します。
- Hintがある場合は利用してください。
What is the Current Build Number of the machine whose data is being investigated?
カレントビルドナンバーに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Which ControlSet contains the last known good configuration?
last known good configurationに関係がありそうです。
アスタリスク(*)の数(解答の文字数)を参考に考えてください。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the Computer Name of the computer?
コンピューター名に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the value of the TimeZoneKeyName?
TimeZoneKeyNameに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the DHCP IP address
DHCPサーバーのIPアドレスに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the RID of the Guest User account?
Relative identifier (RID)に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 7 Usage or knowledge of files/folders
A bird's-eye view
このtaskでは(悪意のある)ユーザーのファイルに関する活動を分析するためのファイル操作記録情報について取り上げています。
先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドのフォレンジックプロセスのうちの「分析」にあたります。
Answer the questions below
以下すべてに共通するヒントです。
- Task7の本文の中で説明されている部分(図も含む)を探します。
- Hintがある場合は利用してください。
When was EZtools opened?
EZtoolsに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
At what time was My Computer last interacted with?
ShellBagsに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the Absolute Path of the file opened using notepad.exe?
notepad.exeに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
When was this file opened?
File openに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 8 Evidence of Execution
A bird's-eye view
このtaskでは侵害を実行した証拠情報について取り上げています。
先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドの図(p29)を参考にすると、
フォレンジックプロセスのうちの「報告」にあたります。(下の矢印の”証拠”)
Answer the questions below
以下すべてに共通するヒントです。
- Task8の本文の中で説明されている部分(図も含む)を探します。
- Hintがある場合は利用してください。
How many times was the File Explorer launched?
File Explorerに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is another name for ShimCache?
ShimCacheに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Which of the artifacts also saves SHA1 hashes of the executed programs?
SHA1 hashesに関係がありそうです。アーティファクトとは「インシデントが発生した際に残される痕跡」です。
参考:アーティファクト分析・解析
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Which of the artifacts saves the full path of the executed programs?
Executed programsに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 9 External Devices/USB device forensics
A bird's-eye view
このtaskでは外部接続(外付け)機器情報について取り上げています。
先ほどのインシデント対応へのフォレンジック技法の統合に関するガイドのフォレンジックプロセスのうちの「報告」にあたります。(下の矢印の”証拠”)
Answer the questions below
以下すべてに共通するヒントです。
- Task9の本文の中で説明されている部分(図も含む)を探します。
What is the serial number of the device from the manufacturer 'Kingston'?
Kingstonに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the name of this device?
機器名に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the friendly name of the device from the manufacturer 'Kingston'?
friendly nameに関係がありそうです。
friendly nameとは、
(computing, Microsoft Windows) The everyday name of a hardware device, displayed to the user instead of the internal or technical designation.
friendly name - Wiktionary
(内部または技術的な名称の代わりにユーザーに表示される、ハードウェア デバイスの一般的な名前。)
です。テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 10 Hands-on Challenge
A bird's-eye view
このtaskでは上で学んだ知識を応用して問題に挑戦する演習を行います。
指定された認証情報でログインします。
Username: THM-4n6
Password: 123
▷Start Machineボタンをクリックして対象マシンを起動します。
調査対象マシン(以下対象マシンとします)は1時間でシャットダウンします。落ちる前にAdd 1 hourをクリックすると1時間延長されます。
対象マシンへの接続は、Web-based Kali Machineを利用した場合、無料アカウントの場合は1日に1時間までしか利用できませんので注意してください。OpenVPNを利用した場合は接続に制限はありません。
演習環境にアクセスするには以下のように2つの方法があります。
1.Web-based Kali Machineで行う場合
動作環境が少し遅くて使いづらい部分がありますが気にならないようならこちらが手軽なのでおすすめです。
Taskのタイトルバーの右端にあるアイコンはデプロイ(配置して使用)できるマシンがあることを表します。
▷Start Machineボタンをクリックするとマシンが起動します。
2.OpenVPNで行う場合
私には使いやすいのでできる時はこの方法でやっています。
(1)OpenVPNのインストールと設定(初めて使用する時だけ行います。)
A.画面右上のプロフィールアイコンをクリックしてAccessを選択します。
B.右のMachinesタブからVPN Serverを選択してDownload My Configuration Fileをクリックして自分専用の接続設定ファイルをダウンロードします。
OpenVPNのインストールなど詳しくは以下を参考にしてください。
(2)▷Start Machineボタンをクリックして対象マシンを起動します。画面の上方にActive Machine Informationが表示されます。
(3)ダウンロードした接続設定ファイルを指定してOpenVPNを起動します。
(4)VPN接続できた状態でリモートデスクトップを起動します。
(5)Active Machine Informationに表示されるIP Addressと指定された認証情報を入力して対象マシンに接続します。
パスワードを入力します。
接続後の画面。
以降は本文の手順に従い、RegistryExplorerを起動して演習を行ってください。
起動後の画面。
NTUSER.DATを選択してopenします。
YESを選択。
OKをクリックして続行、ファイルを選択。
OKをクリックして続行、ファイルを保存します。
YESをクリック、次にNOをクリックして読み込みを完了します。
他にも必要に応じてファイルを読み込み調査を行います。
Answer the questions below
以下すべてに共通するヒントです。
- Hintがある場合は利用してください。
How many user created accounts are present on the system?
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the username of the account that has never been logged in?
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What's the password hint for the user THM-4n6?
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
When was the file 'Changelog.txt' accessed?
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the complete path from where the python 3.8.2 installer was run?
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。私ははまったのでヒントを。NT***.DATにあります。***は秘密です。
When was the USB device with the friendly name 'USB' last connected?
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 11 Conclusion
A bird's-eye view
まとめのチートシートがDownload Task Filesからダウンロードできます。
最後にフォレンジックについてより詳しく学ぶためにおすすめのリンクがあります。(TryHackMe内ルーム)
- Windows Forensics 2 room (TryHackMe有料コンテンツ)
- KAPE room
Answer the questions below
Review the provided resources.
本文を読み終えたらCompletedボタンをクリックして回答を完了します。
最後に
最後まで読んでいただきありがとうございました。
今回はTryHackMeの数多くのroomからWindowsフォレンジックについて学ぶシリーズの1つを取り上げました。
今回も分量が多くなってしまいました。Task10以外は日本語の情報も豊富ですので本文はさっと目をとおしてもらってチャレンジに進むのも良いかと思います。(100%にしたい場合は回答はしてくださいね。)
この連載があなたのサイバーセキュリティ学習のお役に立てれば幸いです。