การเรียกดู last write time ของ registry (เวลาที่ registry ถูกเปลี่ยนแปลงล่าสุด) ไม่ค่อยเป็นที่สนใจกันมากนัก อย่างไรก็ตาม last write time ของ registry จะมีประโยชน์ในกรณีที่ incident handler ทำการสันนิษฐานว่าผู้บุกรุกได้ทำการติดตั้ง Malware ลงไปใน services ของระบบปฏิบัติการ Windows โดยรายชื่อของ services ในระบบจะปรากฏอยู่ที่ registry ที่ชื่อว่า
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ในการที่ผู้บุกรุกจะทำการติดตั้ง services ลงไปในระบบปฏิบัติการ Windows จะต้องมีการสร้าง key ขี้นมาใหม่ หรือทำการแก้ไขค่าของ key ที่มีอยู่แล้ว ซึ่งไม่ว่าผู้บุกรุกจะเลือกวิธีไหนก็ตาม ค่าของ last write time ของ registry จะต้องมีการเปลี่ยนแปลง ดังนั้นหาก incident handler ทำการสังเกตุค่านี้จะช่วยให้สามารถทำการลำดับเหตุการณ์ได้ดียิ่งขึ้น :)
สำหรับการเรียกดูเวลาที่ registry key ถูกเปลี่ยนแปลงล่าสุดสามารถทำได้โดย
1. เรียก regedit ขึ้นมา แล้วทำการ browse ไปยัง key ของ services ที่เราสนใจ
2. ให้ click ขวาที่ key ที่ต้องการแล้วเลือก export จากนั้นให้ save ผลลัพธ์เป็น .txt
3. เมื่อทำการเปิดไฟล์นี้จะพบ ค่า Last Write Time สำหรับแต่ละค่าต่างๆที่อยู่ใน registry key นั้น :)
ตัวอย่างอยู่ข้างล่างครับ
Key Name: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\-
Services\HTTP
Class Name: NO CLASS
Last Write Time: 23/4/2550 - 9:48
P.S. ค่า last write time สำหรับแต่ละ services จะถูกเปลี่ยนแปลงทุกครั้งหลังจากระบบทำการ reboot ดังนั้นถ้าระบบที่เราทำการตรวจสอบถูก reboot หลังจากที่ผู้บุกรุกทำการติดตั้ง malware ลงไปใน services แล้ว จะทำให้การสืบสวนด้วยค่า last write time ไม่มีประโยชน์ครับ
P.S. การสืบสวนด้วยค่า last write time จะมีประสิทธิภาพก็ต่อเมื่อระบบตั้งอยู่บนสมมติฐานที่ว่าค่า last write time ไม่สามารถปลอมแปลงได้ ซึ่งในปัจจุบันยังไม่มี Windows API ที่สามารถทำแบบนั้นได้ (ข้อมูลอ้างอิงจาก Windows Forensic Analysis ของ Harlan Carvey) ดังนั้นหมายความว่าการใช้ค่า last write time ของ registry เป็นแนวทางในการสืบสวนยังสามารถทำได้อยู่ครับ
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น