Как определить запускавшиеся программы в Windows?
Ну а теперь продолжим по теме – сведения о запускавшихся программах находятся в ветке системного реестра Amcache.hve (кто знал, что такой есть? я – не знал раньше).
Расположен он по пути \Windows\AppCompat\Programs\Amcache.hve
Как скопировать файл на живой системе – читайте тут .
Анализировать файл предлагается при помощи описанной ранее утилиты RegRipper из предыдущей статьи. Покажу пару примеров.
- Качаем программку RegRipper c GitHub ;
- Качаем файл реестра Amcache.hve (см. выше);
- Прогоняем rip.exe с указанием плагина “amcache”:
rip -r ..\reg\Amcache.hve -p amcache > amcache.txt
В выходном файле видим путь к исполняемому файлу, время запуска (видимо это именно оно, в UTC) и, что самое вкусное, SHA1-хеш исполняемого файла, что позволяет найти его в базе VirusTotal. Особенно это актуально, если это заранее известный вредоносный файл, который был переименован (например какой-нибудь эксплойт типа mimikatz).
А вот результат поиска по хешу.. Хоть немного понятно, что это такое. А то по пути файла в Amcache вообще ничего нельзя понять.
Кстати, не смотрите, что хеш другой. VirusTotal автоматом пересчитывает под другой алгоритм, а искать может и по SHA1.
Таким образом можно расследовать историю заражения и закрепления злоумышленника на инфицированной или взломанной машине. Очень удобно!