บทนำ
ในโลกดิจิทัลที่เต็มไปด้วยภัยคุกคาม การสืบสวนทางนิติวิทยาศาสตร์ดิจิทัล (Digital Forensics) เป็นหัวใจสำคัญในการระบุ ตรวจจับ และทำความเข้าใจกิจกรรมที่เป็นอันตราย หนึ่งในแหล่งข้อมูลที่มีค่าที่สุดสำหรับการวิเคราะห์บนระบบปฏิบัติการ Windows คือ Windows Registry ซึ่งเป็นฐานข้อมูลขนาดใหญ่ที่จัดเก็บการตั้งค่าการทำงาน ข้อมูลของผู้ใช้ และกิจกรรมต่างๆ ของระบบอย่างละเอียดลึกซึ้ง การวิเคราะห์ Registry ไม่เพียงแต่ช่วยให้นักนิติวิทยาศาสตร์สามารถปะติดปะต่อเหตุการณ์ที่เกิดขึ้นได้เท่านั้น แต่ยังสามารถเปิดเผยร่องรอยของการบุกรุก การติดตั้งมัลแวร์ การลบไฟล์ และพฤติกรรมของผู้ใช้ได้อย่างแม่นยำ บทความนี้จะเจาะลึกถึงความสำคัญ โครงสร้าง เครื่องมือ และเทคนิคในการวิเคราะห์ Windows Registry เพื่อสนับสนุนงานนิติวิทยาศาสตร์ดิจิทัลให้มีประสิทธิภาพสูงสุด
เนื้อหาหลัก: Registry Analysis for Windows Forensics
Windows Registry เป็นฐานข้อมูลเชิงลำดับชั้นที่ใช้จัดเก็บการตั้งค่าระดับต่ำสำหรับระบบปฏิบัติการ Microsoft Windows และแอปพลิเคชันที่ติดตั้ง Registry ได้เข้ามาแทนที่ไฟล์ INI ที่ใช้ใน Windows เวอร์ชันเก่ากว่า โดยนำเสนอวิธีการจัดการการตั้งค่าแบบรวมศูนย์และมีโครงสร้างที่ดีกว่า ข้อมูลใน Registry สามารถบ่งบอกได้ถึงแทบทุกการกระทำที่เกิดขึ้นบนระบบ ไม่ว่าจะเป็นการตั้งค่าระบบปฏิบัติการ การกำหนดค่าฮาร์ดแวร์ ซอฟต์แวร์ที่ติดตั้ง รายชื่อโปรแกรมที่เคยรัน การเชื่อมต่อเครือข่าย ประวัติการใช้งานอุปกรณ์ USB และกิจกรรมของผู้ใช้แต่ละคน ข้อมูลเหล่านี้ล้วนเป็นชิ้นส่วนสำคัญที่นักนิติวิทยาศาสตร์ดิจิทัลใช้ในการสร้าง Timeline ของเหตุการณ์และพิสูจน์ข้อเท็จจริง
โครงสร้างและ Hives หลักของ Windows Registry
Windows Registry ถูกจัดระเบียบเป็น Key และ Subkey ที่คล้ายกับโครงสร้างของโฟลเดอร์ในระบบไฟล์ แต่ละ Key สามารถมีค่า (Value) ที่เก็บข้อมูลจริง Key ระดับบนสุดเรียกว่า Hives ซึ่งเป็นไฟล์ที่เก็บข้อมูล Registry จริงๆ บนดิสก์ Hives หลักที่สำคัญต่อการวิเคราะห์ทางนิติวิทยาศาสตร์ประกอบด้วย:
- HKEY_LOCAL_MACHINE (HKLM): เก็บการตั้งค่าระบบปฏิบัติการ ฮาร์ดแวร์ และซอฟต์แวร์ที่ติดตั้งทั้งหมด ซึ่งเป็นค่าที่ใช้ร่วมกันโดยผู้ใช้ทุกคนบนคอมพิวเตอร์นี้ HKLM มี Hive ย่อยหลายตัว เช่น
- HKEY_CURRENT_USER (HKCU): เป็น Hive ชั่วคราวที่เชื่อมโยงกับ Hive NTUSER.DAT ของผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน ข้อมูลใน HKCU เป็นการตั้งค่าเฉพาะสำหรับผู้ใช้ปัจจุบัน เช่น การตั้งค่าเดสก์ท็อป ประวัติการใช้งาน และการตั้งค่าซอฟต์แวร์ส่วนบุคคล
- HKEY_USERS (HKU): เก็บโปรไฟล์ผู้ใช้ทั้งหมดบนคอมพิวเตอร์ แต่ละโปรไฟล์ผู้ใช้จะถูกระบุด้วย Security Identifier (SID) และมี Hive NTUSER.DAT ของตัวเอง
- HKEY_CLASSES_ROOT (HKCR): เก็บข้อมูลเกี่ยวกับประเภทไฟล์ (file associations) และวัตถุ COM (Component Object Model) ซึ่งใช้ในการเปิดไฟล์ประเภทต่างๆ และเชื่อมต่อส่วนประกอบซอฟต์แวร์
- HKEY_CURRENT_CONFIG (HKCC): เป็น Hive ชั่วคราวที่เชื่อมโยงกับส่วนหนึ่งของ HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current ซึ่งเก็บการกำหนดค่าฮาร์ดแวร์ปัจจุบัน
- ประวัติการรันโปรแกรม: ตรวจสอบว่าโปรแกรมใดถูกเรียกใช้งานเมื่อใดและบ่อยแค่ไหน
- การใช้งานอุปกรณ์ USB: ระบุอุปกรณ์ USB ที่เคยเชื่อมต่อเข้ากับเครื่อง รวมถึงวันเวลาที่เชื่อมต่อและชื่ออุปกรณ์
- กิจกรรมเครือข่าย: แสดงประวัติการเชื่อมต่อ Wi-Fi หรือ Ethernet รวมถึง SSID, MAC Address และเวลาที่เชื่อมต่อล่าสุด
- การตั้งค่าระบบและการเปลี่ยนแปลง: ตรวจสอบการเปลี่ยนแปลงการตั้งค่าระบบ การติดตั้งซอฟต์แวร์ และการอัปเดต
- ร่องรอยมัลแวร์: มัลแวร์จำนวนมากใช้ Registry เพื่อคงอยู่บนระบบ (persistence mechanism) เช่น การตั้งค่าใน Run keys หรือ Services
- ประวัติการเปิดไฟล์: ไฟล์และเอกสารที่ผู้ใช้เคยเปิดหรือบันทึกไว้
- ข้อมูลผู้ใช้: ชื่อผู้ใช้, SID, กลุ่มที่สังกัด และข้อมูลโปรไฟล์
- ข้อมูลผู้ใช้และบัญชี (SAM และ SECURITY Hives):
- ประวัติการรันโปรแกรม (SOFTWARE และ NTUSER.DAT Hives):
- การใช้งานอุปกรณ์ USB (SYSTEM Hive และ NTUSER.DAT Hive):
- กิจกรรมเครือข่าย (SOFTWARE Hive):
- Persistent Mechanism สำหรับมัลแวร์ (SOFTWARE และ SYSTEM Hives):
- ประวัติการเปิดไฟล์และเอกสาร (NTUSER.DAT Hive):
- การเก็บรวบรวม Hives (Acquisition):
- การวิเคราะห์ Hives (Analysis Tools):
- Implement Least Privilege: จำกัดสิทธิ์ของผู้ใช้และแอปพลิเคชันให้มีสิทธิ์ที่จำเป็นเท่านั้น เพื่อลดความสามารถของมัลแวร์ในการแก้ไข Registry ที่สำคัญ
- Regularly Backup System and Registry: สำรองข้อมูลระบบและ Registry อย่างสม่ำเสมอ เพื่อให้สามารถกู้คืนระบบได้ในกรณีที่มีการติดมัลแวร์หรือความเสียหาย
- Use Endpoint Detection and Response (EDR) Solutions: EDR สามารถตรวจสอบกิจกรรม Registry แบบเรียลไทม์ และแจ้งเตือนเมื่อตรวจพบการเปลี่ยนแปลงที่น่าสงสัย ซึ่งอาจบ่งชี้ถึงการโจมตีหรือมัลแวร์
- Monitor Registry Changes: ใช้เครื่องมือตรวจสอบ Registry (เช่น Sysinternals Process Monitor หรือ Configuration Management Tools) เพื่อติดตามการเปลี่ยนแปลงที่ผิดปกติใน Key ที่สำคัญ
- Maintain Up-to-Date Antivirus/Anti-Malware: ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่อัปเดตอยู่เสมอ เพื่อตรวจจับและกำจัดภัยคุกคามที่รู้จัก
- Educate Users on Security Awareness: ให้ความรู้แก่ผู้ใช้เกี่ยวกับภัยคุกคามทางไซเบอร์ เช่น Phishing, Social Engineering และอันตรายของการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
- Implement Strong Password Policies: กำหนดให้ผู้ใช้ใช้รหัสผ่านที่รัดกุมและเปลี่ยนรหัสผ่านเป็นประจำ เพื่อป้องกันการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต
- Application Whitelisting: กำหนดให้เฉพาะแอปพลิเคชันที่ได้รับอนุญาตเท่านั้นที่สามารถรันบนระบบได้ ซึ่งจะช่วยป้องกันมัลแวร์จากการรันได้โดยตรง
- Disk Encryption: ใช้การเข้ารหัสทั้งดิสก์ (เช่น BitLocker) เพื่อปกป้องข้อมูลใน Registry Hives และไฟล์อื่นๆ หากคอมพิวเตอร์ถูกขโมยหรือเข้าถึงแบบออฟไลน์
- Disable Unnecessary Services: ปิดใช้งานบริการ Windows ที่ไม่จำเป็น เพื่อลดพื้นที่การโจมตีที่มัลแวร์อาจใช้ประโยชน์
- SAM (Security Account Manager): เก็บข้อมูลบัญชีผู้ใช้ในเครื่อง รวมถึงค่าแฮชของรหัสผ่าน (ที่มักจะถูกเข้ารหัสและต้องใช้เครื่องมือพิเศษในการถอดรหัสสำหรับการวิเคราะห์แบบออฟไลน์)
- SECURITY: เก็บการตั้งค่านโยบายความปลอดภัยของระบบ และบางครั้งอาจมีข้อมูลเกี่ยวกับผู้ใช้และกลุ่ม
- SYSTEM: เก็บการตั้งค่าสำหรับระบบปฏิบัติการทั้งหมดที่ใช้ในการบูตระบบ การควบคุมการตั้งค่าฮาร์ดแวร์ และรายการบริการที่ทำงานอยู่
- SOFTWARE: เก็บข้อมูลการกำหนดค่าสำหรับระบบปฏิบัติการและแอปพลิเคชันซอฟต์แวร์ที่ติดตั้งไว้สำหรับผู้ใช้ทั้งหมด
ความสำคัญของ Registry ในงานนิติวิทยาศาสตร์ดิจิทัล
Registry เป็นแหล่งขุมทรัพย์ข้อมูลที่เปิดเผยกิจกรรมต่างๆ บนระบบปฏิบัติการ Windows ได้อย่างละเอียด เช่น:
Hives และ Keys สำคัญสำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์
การทราบตำแหน่งของ Key และ Value ที่สำคัญจะช่วยให้นักนิติวิทยาศาสตร์สามารถค้นหาหลักฐานได้อย่างมีประสิทธิภาพ
- HKLM\SAM\Domains\Account\Users: เก็บข้อมูลบัญชีผู้ใช้ในระบบ ซึ่งรวมถึง RID และอาจมีแฮชรหัสผ่าน (ถูกเข้ารหัส)
- HKLM\SECURITY\Policy\Accounts: ข้อมูลนโยบายความปลอดภัย
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList: แสดงรายการโปรไฟล์ผู้ใช้และ SID ที่เกี่ยวข้อง
- AppCompatCache / Shimcache (ใน SYSTEM Hive):
- HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache: เก็บรายการโปรแกรมที่เคยรัน รวมถึงพาธของไฟล์และเวลาที่รัน
- มีข้อมูลสำหรับ Windows รุ่นเก่า
- สำหรับ Windows 10 เป็นต้นไป มักจะอยู่ที่ HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCachePath
- Amcache.hve (ในโฟลเดอร์ Configuration ของระบบ):
- ไม่เป็น Registry Hive โดยตรง แต่เป็นไฟล์ฐานข้อมูลคล้าย Registry ที่เก็บข้อมูลการรันโปรแกรมแบบละเอียด ซึ่งรวมถึง SHA1 ของไฟล์ที่รัน
- UserAssist (ใน NTUSER.DAT Hive):
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist: เก็บข้อมูลเกี่ยวกับโปรแกรมที่ผู้ใช้เรียกใช้, จำนวนครั้งที่รัน และเวลาที่โฟกัสโปรแกรมนั้นๆ ข้อมูลนี้ถูกเข้ารหัสด้วย ROT13
- HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR: แสดงรายการอุปกรณ์ USB ที่เคยเชื่อมต่อกับระบบ รวมถึง Vendor ID (VID), Product ID (PID), Serial Number และเวลาที่เชื่อมต่อครั้งแรก/ครั้งล่าสุด
- HKLM\SYSTEM\CurrentControlSet\Enum\USB: คล้ายกับ USBSTOR แต่เป็นข้อมูลของอุปกรณ์ USB ทั่วไป
- HKLM\SYSTEM\MountedDevices: เก็บข้อมูล GUID ของวอลุ่มที่เคยถูก Mount
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2: เก็บข้อมูลของ drive letters ที่ถูกกำหนดให้กับอุปกรณ์ USB
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged: เก็บข้อมูลของเครือข่ายที่เคยเชื่อมต่อ รวมถึง SSID, MAC Address และเวลาที่เชื่อมต่อล่าสุด
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles: โปรไฟล์ของเครือข่ายที่เชื่อมต่อ
- Run Keys:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce: โปรแกรมที่ถูกตั้งค่าให้รันอัตโนมัติเมื่อระบบเริ่มต้นหรือผู้ใช้ล็อกอิน มัลแวร์มักใช้ช่องทางนี้
- Services:
- HKLM\SYSTEM\CurrentControlSet\Services: ข้อมูลของบริการที่ติดตั้งบนระบบ มัลแวร์อาจปลอมเป็นบริการระบบเพื่อซ่อนตัว
- Shell Open Commands:
- HKCR\
- Image File Execution Options (IFEO):
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options: มัลแวร์สามารถใช้ "debugger" feature เพื่อให้โปรแกรมที่เป็นอันตรายถูกเรียกใช้แทนโปรแกรมที่ถูกต้องเมื่อผู้ใช้พยายามเปิดโปรแกรมนั้น
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs: รายการเอกสารล่าสุดที่ผู้ใช้เปิด
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU: รายการไฟล์ที่เคยเปิดหรือบันทึกผ่านกล่องโต้ตอบ Open/Save
เครื่องมือที่ใช้ในการวิเคราะห์ Registry
การวิเคราะห์ Registry สามารถทำได้ทั้งแบบ Live (บนระบบที่ทำงานอยู่) และ Dead Box (บนอิมเมจทางนิติวิทยาศาสตร์) โดยเครื่องมือที่นิยมใช้มีดังนี้:
- บนระบบที่ทำงานอยู่ (Live System):
- reg.exe: เป็นเครื่องมือบรรทัดคำสั่งใน Windows สำหรับจัดการ Registry สามารถใช้ในการ Export Hive ได้
h
reg save HKLM\SAM C:\Forensics\SAM.hiv
reg save HKLM\SECURITY C:\Forensics\SECURITY.hiv
reg save HKLM\SYSTEM C:\Forensics\SYSTEM.hiv
reg save HKLM\SOFTWARE C:\Forensics\SOFTWARE.hiv
- PowerShell: สามารถใช้ cmdlet Export-CliXml หรือ Get-ItemProperty เพื่อดึงข้อมูล Registry
l
Get-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\' | Export-CliXml -Path C:\Forensics\AppCompatCache.xml
- FTK Imager/Magnet Acquire: เครื่องมือสำหรับสร้างอิมเมจทางนิติวิทยาศาสตร์ สามารถดึง Registry Hives ออกมาได้
- จากอิมเมจทางนิติวิทยาศาสตร์ (Dead Box):
- เมื่อได้อิมเมจของดิสก์มาแล้ว สามารถ Mount อิมเมจนั้นและคัดลอกไฟล์ Hive ออกมาได้ ไฟล์ Hive โดยปกติจะอยู่ใน C:\Windows\System32\config\ (สำหรับ SAM, SECURITY, SYSTEM, SOFTWARE) และ C:\Users\
- RegRipper: เป็นเครื่องมือแบบ Open Source ที่เป็นที่นิยมสำหรับการวิเคราะห์ Registry Hives โดยอัตโนมัติ RegRipper ใช้ปลั๊กอิน (plugins) ในการดึงข้อมูล Artifacts ที่สำคัญจาก Hives ต่างๆ ทำให้การวิเคราะห์รวดเร็วและมีประสิทธิภาพ
h
rip.pl -r C:\Forensics\SYSTEM.hiv -p system -d system_output.txt
rip.pl -r C:\Forensics\NTUSER.DAT -p userassist -d userassist_output.txt
- rip.pl คือไฟล์สคริปต์ Perl
- -r ระบุพาธของ Registry Hive ที่ต้องการวิเคราะห์
- -p ระบุชื่อของปลั๊กอินที่จะใช้ (เช่น system, userassist, usbstor)
- -d ระบุไฟล์ output
- Registry Explorer (Eric Zimmerman's KAPE/EZ Tools): เป็นเครื่องมือ GUI ที่ทรงพลังและใช้งานง่ายสำหรับเรียกดูและวิเคราะห์ Registry Hives สามารถโหลด Hive หลายตัวพร้อมกัน ค้นหาข้อมูล และ Bookmark Key ที่สำคัญได้ มีความสามารถในการแก้ไขและแสดงข้อมูลที่ซ่อนอยู่ เช่น LastWrite time ที่ถูกซ่อน
- Autopsy/EnCase/FTK Toolkit: Suite เครื่องมือทางนิติวิทยาศาสตร์ระดับมืออาชีพที่รวมความสามารถในการวิเคราะห์ Registry เข้ากับการวิเคราะห์ประเภทอื่นๆ ได้อย่างครบวงจร
- Volatility Framework: แม้ว่าจะเป็นเครื่องมือสำหรับ Memory Forensics แต่ Volatility สามารถดึง Registry Hives จาก Memory Dump และวิเคราะห์ Artifacts ที่อยู่ใน Registry ได้
ขั้นตอนการวิเคราะห์ Windows Registry ในงานนิติวิทยาศาสตร์
การวิเคราะห์ Registry โดยทั่วไปจะดำเนินไปตามขั้นตอนต่อไปนี้:
1. การเก็บรวบรวมข้อมูล (Acquisition):
- เก็บรวบรวม Registry Hives ที่จำเป็นจากระบบเป้าหมาย ไม่ว่าจะเป็น Live System หรือจาก Forensic Image
- ตรวจสอบให้แน่ใจว่าได้เก็บ Hives ที่ครบถ้วน: SAM, SECURITY, SYSTEM, SOFTWARE, NTUSER.DAT (สำหรับผู้ใช้แต่ละคน), Amcache.hve (ถ้ามี), BCD (Boot Configuration Data)
2. การเตรียมข้อมูล (Preparation):
- คัดลอก Hives ที่ได้มายัง Workstation สำหรับการวิเคราะห์
- สร้าง Hash ของไฟล์ Hive เพื่อตรวจสอบความสมบูรณ์ของข้อมูล (Integrity)
3. การวิเคราะห์ (Analysis):
- ใช้เครื่องมืออัตโนมัติ (เช่น RegRipper): รันปลั๊กอินที่เกี่ยวข้องเพื่อดึง Artifacts ที่สนใจอย่างรวดเร็ว เช่น usbstor เพื่อดูประวัติ USB, userassist เพื่อดูประวัติการรันโปรแกรม
- ใช้เครื่องมือแบบ GUI (เช่น Registry Explorer):
- เปิด Hive ที่ต้องการวิเคราะห์
- นำทางไปยัง Key ที่สำคัญตามที่ได้กล่าวไว้ข้างต้น
- ใช้ฟังก์ชันการค้นหาเพื่อหา Keywords ที่เกี่ยวข้องกับเคส เช่น ชื่อไฟล์มัลแวร์, IP Address, หรือชื่อผู้ใช้
- สังเกตค่า Timestamp (LastWrite time) ของ Key และ Value เพื่อสร้าง Timeline ของเหตุการณ์
- วิเคราะห์ค่าที่ถูกเข้ารหัส (เช่น UserAssist) ด้วยเครื่องมือที่เหมาะสม
4. การเชื่อมโยงข้อมูล (Correlation):
- เชื่อมโยงผลการวิเคราะห์ Registry กับหลักฐานอื่นๆ เช่น Log files, ไฟล์ระบบ, หรือ Memory Dump เพื่อสร้างภาพรวมของเหตุการณ์
- ตัวอย่าง: หาก Registry แสดงว่ามีการรันโปรแกรมที่ไม่รู้จัก ให้ตรวจสอบใน System Logs ว่ามีข้อผิดพลาดหรือกิจกรรมที่เกี่ยวข้องหรือไม่
5. การทำรายงาน (Reporting):
- จัดทำรายงานโดยละเอียดเกี่ยวกับสิ่งที่ค้นพบ รวมถึงพาธของ Key, Value ที่เกี่ยวข้อง, Timestamp, และความสำคัญของหลักฐานนั้นๆ
- ระบุเครื่องมือที่ใช้และวิธีการวิเคราะห์เพื่อความน่าเชื่อถือ
กรณีศึกษา: การตรวจจับกิจกรรมผู้ใช้และการติดมัลแวร์
การตรวจจับกิจกรรมผู้ใช้:
สมมติว่าต้องการตรวจสอบว่าผู้ใช้ได้เชื่อมต่อแฟลชไดรฟ์ USB หรือไม่ และเคยรันโปรแกรมใดบ้าง
1. USB Device Usage:
- วิเคราะห์ HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR เพื่อดู Serial Number, Vendor ID และ Product ID ของอุปกรณ์ USB ที่เคยเชื่อมต่อ
- วิเคราะห์ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 เพื่อดู Drive Letter ที่ถูกกำหนด
- วิเคราะห์ HKLM\SYSTEM\MountedDevices เพื่อดู GUID ของวอลุ่มที่เคยถูก Mount
- ใช้ RegRipper ด้วยปลั๊กอิน usbstor และ mountpoints2
h
rip.pl -r C:\Forensics\SYSTEM.hiv -p usbstor > C:\Results\usbstor_report.txt
rip.pl -r C:\Forensics\NTUSER.DAT -p mountpoints2 > C:\Results\mountpoints2_report.txt
2. Program Execution History:
- วิเคราะห์ HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache หรือ Amcache.hve เพื่อดูประวัติการรันโปรแกรม
- วิเคราะห์ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist เพื่อดูรายการโปรแกรมที่รัน, จำนวนครั้ง และเวลาที่โฟกัส
- ใช้ RegRipper ด้วยปลั๊กอิน appcompatcache (หรือ amcache) และ userassist
h
rip.pl -r C:\Forensics\SYSTEM.hiv -p appcompatcache > C:\Results\appcompatcache_report.txt
rip.pl -r C:\Forensics\NTUSER.DAT -p userassist > C:\Results\userassist_report.txt
การตรวจจับการติดมัลแวร์:
มัลแวร์จำนวนมากพยายามสร้าง Persistence Mechanism ใน Registry เพื่อให้มันสามารถรันได้อัตโนมัติทุกครั้งที่ระบบเริ่มต้นหรือผู้ใช้ล็อกอิน
1. Run Keys:
- ตรวจสอบ Key เหล่านี้สำหรับรายการโปรแกรมที่รันอัตโนมัติ:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- มองหาไฟล์แปลกปลอม หรือไฟล์ที่อยู่ในตำแหน่งที่ไม่ใช่มาตรฐาน (เช่น ในโฟลเดอร์ Temp หรือ AppData)
2. Services:
- ตรวจสอบ HKLM\SYSTEM\CurrentControlSet\Services: มัลแวร์สามารถติดตั้งตัวเองเป็นบริการระบบเพื่อรันในพื้นหลัง
- มองหาบริการที่ไม่รู้จักหรือมีชื่อที่ดูน่าสงสัย
3. Image File Execution Options (IFEO):
- ตรวจสอบ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options: มัลแวร์สามารถใช้ Subkey เช่น Debugger เพื่อบังคับให้โปรแกรมของมันถูกรันเมื่อผู้ใช้พยายามเปิดโปรแกรมที่ถูกกำหนดเป้าหมาย
4. Scheduled Tasks:
- แม้ว่า Scheduled Tasks ส่วนใหญ่จะถูกเก็บในรูปแบบ XML ใน C:\Windows\System32\Tasks แต่ Registry อาจมีร่องรอยของการสร้าง Task ใหม่ หรือการเปลี่ยนแปลงที่เกี่ยวข้อง
- ตรวจสอบ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
การวิเคราะห์ Timestamp (LastWrite time) ของ Key เหล่านี้จะช่วยให้นักนิติวิทยาศาสตร์สามารถระบุเวลาที่มัลแวร์ถูกติดตั้งหรือมีการเปลี่ยนแปลงเกิดขึ้น
Security Best Practices
การป้องกันและการตรวจจับเป็นสิ่งสำคัญในการปกป้องระบบจากการบุกรุกและการติดมัลแวร์
บทสรุป
Windows Registry เป็นองค์ประกอบที่สำคัญอย่างยิ่งในงานนิติวิทยาศาสตร์ดิจิทัล โดยเป็นแหล่งข้อมูลที่ครอบคลุมและละเอียดอ่อนซึ่งบันทึกเกือบทุกกิจกรรมที่เกิดขึ้นบนระบบปฏิบัติการ Windows ความสามารถในการทำความเข้าใจโครงสร้างของ Registry การระบุ Key และ Value ที่สำคัญ และการใช้เครื่องมือวิเคราะห์ที่เหมาะสม เป็นทักษะพื้นฐานสำหรับนักนิติวิทยาศาสตร์ดิจิทัลทุกคน การวิเคราะห์ Registry ที่ถูกต้องแม่นยำสามารถเปิดเผยหลักฐานสำคัญในการสืบสวนการบุกรุก การติดมัลแวร์ และพฤติกรรมของผู้ใช้ ซึ่งเป็นสิ่งจำเป็นในการรักษาสภาพแวดล้อมดิจิทัลให้ปลอดภัย การรวมความรู้ด้าน Registry Forensics เข้ากับการปฏิบัติด้านความปลอดภัยที่ดีที่สุด จะช่วยให้องค์กรต่างๆ สามารถป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพยิ่งขึ้น