見習いフォレンジッカーのメモ

デジタルフォレンジックに関することを書いていこうと思います。誤りを含む可能性も高いので、信じるか信じないかはあなた次第です。。

bam キー(実行痕跡?) について(最終更新:2018/02/28 00:15 JST)

※This is a my very simple first report, as many people have pointed out, there is the possibility of including mistakes. We need further verification.更新:2018/02/27 22:00 JST

 

ご存知の方もいるかもしれませんが、
調査に役立つ可能性のあるレジストリキーをみつけたので、
今わかっていること(こうだと思っていること)や私がした簡単な検証について書きます。ただし、あくまでまだ検証段階です。

 

キーの場所:HKLM/SYSTEM/CurrentControlSet/Services/bam/UserSettings/{SID-RID}

わかること:簡単に言うとUserAssist({CEBFF5CD-ACE2-4F4F-9178-9926F41749EA})のようなexeの実行痕跡があるように見えます。

 

もう少し詳細を書くと

・exeを実行すると実行ファイルのフルパスと最終実行日時が残る(Keyの「Data」値の先頭に最終実行日時と考えられるタイムスタンプがある(Windows 64bit Hex Value -Little Endian))
シャットダウン時にSYSTEMファイルに書き込みされる

といった決まりがあるように見受けられます。

→下記のレジストリファイルへの書き込みタイミングに関する考察によれば、これは誤りで時間が経てば更新される可能性がありますので、更なる検証が必要です:参考 

github.com

更新:2018/02/28 00:15 JST

 

 

経緯:

時折、検証がてらレジストリ全体に対し自分が実行したプログラムの実行ファイル名で検索をかけたりするのですが、ある時見慣れないキーにFTK Imagerの実行ファイル名があることに気付きました。同じキーの他の値をみてみると、実行痕跡のようなものに見えます。もしそうなら、CCleanerなどを使われても消えない有用なアーティファクトになるかもしれません。→検証してみませう

f:id:kasasagi_f:20180221215616p:plain

 

検証:

これがもし実行痕跡だった場合は、実行時間が欲しいところなので、そこから探ります。とりあえず、パッと見で「Data」値の先頭に8個のHEX Valueがあります。

これは何だか手が勝手に動くやつですね。

f:id:kasasagi_f:20180221220422p:plain

 

DCODE(Decode)すると、我々の世界の時間として受け入れ得る値がでてききました。
(2018/02/20 04:11:51(UTC))

f:id:kasasagi_f:20180221221410p:plain

 

果たしてこれは実行時間なのでしょうか?
もし最終実行時間であれば、再びFTK Imagerを起動すれば更新されるはずです。

 

と思いFTK Imagerを起動後、SYSTEMファイルをExportし再度確認しましたが、値は更新されませんでした。

 

今度は試しにbamに現在実行痕跡のないWRR.exeを実行し、SYSTEMファイルの変化をみてみます。。。

→が、同様に値に変化なし。。。

 

泣きながらRegeditを起動して現在のbamキーをみてみます。

→あれ、WRR.exeが追加されている(Dataに今さっき実行した実行時間も入っている!)

 

もう一度SYSTEMファイルをExportしてWRR.exeを確認。

→WRR.exeの痕跡なし。

f:id:kasasagi_f:20180221224903p:plain

 

あれ、これあれか、AppCompatCacheパターンか!(シャットダウン時にレジストリファイルに書き込まれる)

ということで、再起動後SYSTEMファイルをExportしbam配下のFTK Imager.exeやWRR.exeの痕跡を確認します。

→やはりFTK Imager.exeの「Data」値が実際にシャットダウン時点で最後に実行した時間(※)になっている!

f:id:kasasagi_f:20180221232935p:plainf:id:kasasagi_f:20180221233247p:plain

 

→WRR.exeがSYSTEMファイル内にある!(Dataに今実行した実行時刻も入っている!)

f:id:kasasagi_f:20180221231037p:plain

f:id:kasasagi_f:20180222095332p:plain

 

ということで、どうやらシャットダウン時にexeなど一部のファイルの実行パスと最終実行時間がこのbam下のキーに書き込まれているようにみえます。

上記の通り誤りである可能性があります。時間が経てば値が更新される可能性があります。 更新:2018/02/28 00:15 JST

 

※bam配下の最終実行時間は、同行為によって発生したと思われるUserAssistやPrefetchの実行日時の痕跡とかなり近い日時でした。逆をいえば少しだけ違うということでもありますがWindowsって割とこんなノリな気もします。

・bam配下のFTK Imagerの最終実行時間?:2018/02/21 13:34:12(UTC)
・UserAssistのFTK Imagerの最終実行時間:2018/02/21 13:33:23(UTC)
・PrefetchのFTK Imagerに関する同タイミングの実行日時:2018/02/21 13:33:21(UTC)

f:id:kasasagi_f:20180221235511p:plain

f:id:kasasagi_f:20180222001206p:plain

(FTK Imagerは再起動後もレジストリファイルの出力に使ったのでPECmdの結果は直近の実行時間ではないですが、確かに過去その時間に実行された記録が残っています) 

 

bamとは何か?:

何かの答えにはなっていないかもしれませんが、これではないかと思っています。
Background Activity Moderator Driver (bam) Service Defaults in Windows 10

 

意義:

アンチフォレンジック(CCleaner等)によりUserAssistの値などが削除された際に多少の代替手段になるかもしれませんね。

 

その他:

・USERASSISTに近いものが残っているように見えるが、数は少ない

・一部のプログラム(Background Activity Moderator ?だけあってタスクマネージャーでみたときにバックグラウンドプロセスにいるようなプログラム?)に関しては、タイムスタンプ更新の法則が違う可能性がある 更新:2018/02/23 2:23(JST)
・何がここに記録され、何が記録されないか要検証

手元だと値の内容がかわっても数は57個で固定:時間の古いものなど、消える順番は要検証→これは間違いでした。回数は57個固定ではないようです(皆さん思ったと思いますが、やはりこの回数は変ですよね。) 更新:2018/02/23 0:47(JST)

・よく探すと過去に1人だけbamがDFIRに有効だと言っている人を発見。
Fall Creators Update/Redstone 3からこのアーティファクトは追加された?
Alex Ionescuさん がハッシュタグ #DFIR をつけたツイート一覧 - 1 - whotwi グラフィカルTwitter分析

・DCODEで頑張らなくても、Registry ExplorerのData Interpreterでこの最終実行日時と思しき時間に直してくれる(のを最後にみつける。涙)

f:id:kasasagi_f:20180222023847p:plain

 

検証使用ツール:

・registry
 →Registry Explorer Ver.0.9.0.0

 →Registry Editer(regedit)

・registryの抽出

 →FTK Imager Ver.3.4.0.1

・Prefetch

 →PECmd Ver.0.7.1.0