Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

В этой статье мы сосредоточимся на ключах реестра, значимых для цифровой криминалистики. Вместо стандартных списков из старых руководств мы проследим связь между техническими артефактами и их ценностью для расследования, отделяя значимые артефакты от системного шума.

Внимание: материал рассчитан на опытных экспертов, уже имеющих базовые знания о внутреннем устройстве Windows, структуре реестра и стандартных методиках сбора данных.

Артефакты, связи и зависимости

Одна из главных проблем исследования реестра — и серьёзное препятствие для автоматизированного ПО — фрагментация связанных данных; именно исследование этих связей (а не отдельных ключей реестра) зачастую позволяет установить факты. Часто конкретный артефакт (например, подключение устройства или системное событие) записывается в одном кусте (hive) в виде непрозрачного идентификатора или GUID, в то время как расшифровка этого идентификатора в понятное человеку имя или контекст находится в совершенно другом, несвязанном ключе. Программное обеспечение должно заполнять эти пробелы, чтобы представить целостную картину.

Второй уровень сложности связан с перекрёстным анализом высокого уровня. Чтобы понять суть инцидента, исследователю придётся работать не только и не столько с изолированными данными, сколько с взаимосвязанными цепочками. Например, доказательство эксфильтрации данных требует синхронизации артефактов из разрозненных источников: события подключения USB-устройства, одновременного доступа к URL-адресу файлообменника в истории браузера, последующих всплесков сетевого трафика и, наконец, извлечения устройства. Аналогично, установление умысла часто требует связывания временной метки запуска программы в одном ключе реестра с конкретными операциями чтения/записи файлов, документированными в другом источнике. В этой статье мы установим такие связи.

Основы архитектуры: кусты, журналы транзакций и атрибуция

Вероятно, ближайшей аналогией для устройства реестра будет не файловая система, а транзакционная база данных. То, как Windows фиксирует изменения на диске через кусты и журналы транзакций, важно и для восстановления удалённых ключей реестра, и для корректного понимания временных меток. Реестр Windows состоит из «кустов» (hives) — двоичных файлов на диске. Когда пользователь работает с системой, изменения не всегда сразу записываются в основной файл куста (например, NTUSER.DAT). Вместо этого Windows использует те же принципы, что и в транзакционных базах данных. В Windows 10 и 11 такая схема обычно включает основной файл куста и связанные журналы транзакций, чаще всего с именами .LOG1 и .LOG2.

• Основной куст: содержит стабильные, уже зафиксированные данные реестра.
• Журналы транзакций (.LOG): хранят страницы изменений, ещё не синхронизированные с основным кустом.

Значение для криминалистики: наличие журналов транзакций бывает критично для восстановления удалённых следов. Если злоумышленник удаляет из основного куста реестра какой-либо ключ (например, вредоносную запись Run для запуска зловредного приложения), а систему изымают сразу после этого (или осуществляют аварийное отключение), следы создания и последующего удаления иногда удаётся извлечь из журналов NTUSER.DAT.LOG* или SOFTWARE.LOG*.

На практике эксперту редко приходится работать с журналами вручную; как правило, автоматизированные инструменты анализируют и куст, и его журналы, чтобы восстановить актуальное (или наиболее полное) состояние реестра — иногда с данными, которые в активном представлении уже исчезли. При этом нужно запомнить, что эти журналы — часть рабочего механизма реестра, а не подробный лог-файл, поэтому восстановление удалённых ключей с их помощью не гарантировано.

Внимание: успешность восстановления ключей с использованием журналов сильно зависит от используемого инструмента, состояния системы и прошедшего времени.

Атрибуция: привязка к конкретному пользователю

Атрибуция — это привязка тех или иных артефактов конкретному пользователю системы. Знание того, в каком кусте хранится конкретный артефакт, позволяет эксперту определить, было ли действие выполнено конкретным пользователем компьютера или каким-то фоновым или системным процессом.

• SYSTEM (Все пользователи/Система)
  • %SystemRoot%\System32\config\SYSTEM
    Конфигурация оборудования, история USB, часовые пояса, смонтированные устройства. Этот куст необходим для установления «места действия» цифрового преступления.
• SOFTWARE (Все пользователи/Система)
  • %SystemRoot%\System32\config\SOFTWARE
    Установленное ПО, глобальные настройки, сетевые профили.
• SAM (Все пользователи/Система)
  • %SystemRoot%\System32\config\SAM
    Метаданные учётных записей пользователей (количество входов, время сброса пароля, членство в группах).
• SECURITY (Все пользователи/Система)
  • %SystemRoot%\System32\config\SECURITY
    Локальные политики безопасности и распределение прав.
• NTUSER.DAT (Локальный пользователь)
  • C:\Users<User>\NTUSER.DAT
    Основной источник атрибуции. Отслеживает запуск программ, доступ к файлам и настройки конкретного пользователя.
• UsrClass.dat (Локальный пользователь)
  • C:\Users<User>\AppData\Local\Microsoft\Windows\UsrClass.dat
    Хранит ShellBags и MUICache для пользователя. Часто упускается из виду, но жизненно важен для артефактов Windows 10/11.
• Amcache.hve (Все пользователи/Система)
  • C:\Windows\AppCompat\Programs\Amcache.hve
    Данные совместимости приложений. Хранит SHA-1 хеши запущенных исполняемых файлов.

Временная метка «LastWrite»

Каждый ключ реестра функционирует подобно папке с временной меткой «LastWrite» (последняя запись), аналогичной времени «Last Modified» (последнее изменение) у файла. Однако временные метки есть только у ключей (условных «папок»), но не у отдельных значений (данных внутри ключа). Это ограничение создаёт неопределённость, когда исследователю известно, что что-то изменилось внутри ключа в определенное время, но не всегда понятно, какое именно значение было затронуто.

К примеру, если ключ реестра Run имеет временную метку 2025-10-27 14:00:00 и содержит три значения (Malware, GoogleUpdate, OneDrive), метка сообщает исследователю только то, что одно из этих трех значений было добавлено или изменено в указанное время — но какое из трёх значений было изменено, непонятно. Чтобы разрешить эту неопределённость, можно попытаться сопоставить временную метку реестра с временными метками файловой системы, проверив время создания исполняемого файла, на который ссылается значение (например, совпадает ли время создания malware.exe с обновлением ключа реестра?).

Запуск приложений: «кто» и «что» запускал?

В цифровых расследованиях один из важнейших вопросов можно сформулировать так: «Запускал ли конкретный пользователь эту конкретную программу?». В Windows 10 и 11 есть целый набор функций, результатом работы которых является набор артефактов, перекрёстный анализ которых позволяет восстановить своеобразный журнал запуска программ. Важно понимать, что никакого готового «журнала» на самом деле нет: его составляет эксперт (или криминалистическое ПО) на основе анализа и сопоставления ряда артефактов из разных источников. Только таким образом можно восстановить историю запуска исполняемых файлов и отличить пассивное присутствие вредоносного файла на диске от его активного использования — причём даже различить ситуации фоновой работы или явного запуска конкретным пользователем.

UserAssist: взаимодействия пользователя с графическим интерфейсом

UserAssist — это артефакт, расположенный в кусте NTUSER.DAT, который отслеживает программы, запущенные конкретным пользователем через графический интерфейс системы (GUI). В первую очередь эти данные нужны системе для заполнения списка «Часто используемые программы» в меню «Пуск», что позволяет установить факт того, что именно данный пользователь вручную запустил приложение (то есть, приложение не было запущено автоматически из системного планировщика, скриптом или каким-то другим процессом).

Внимание: в актуальных версиях Windows этот артефакт не даёт полной гарантии. Если пользователь просто перейдёт к расположению файла из меню автозагрузки или окна поиска Windows, то запись UserAssist будет точно так же создана, а счётчик запуска и время последнего запуска обновятся, даже если фактически исполняемый файл не был запущен.

Расположение: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{GUID}\Count

Криминалистическое значение: UserAssist предназначен для формирования списка часто используемых программ. В связи с этим он отслеживает программы, запущенные через GUI, например, двойным щелчком по иконке на рабочем столе или выбором пункта в меню «Пуск». Он, как правило, не отслеживает запуск через скрипты, пакетные файлы или командную строку (например, запуск cmd.exe и ввод whoami).

Структура и декодирование: Подключи UserAssist именуются с использованием GUID. Два распространенных GUID в Windows 10/11:

• {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}: Запуск исполняемых файлов.
• {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}: Запуск ярлыков (.LNK).

Значения внутри этих ключей закодированы алгоритмом ROT-13. Например, запись для msedge.exe будет выглядеть в реестре как zfrqtr.rkr. Криминалистические инструменты автоматически применяют ROT-13 для декодирования этих имен.

Данные:

• Run Count (число запусков): сколько раз пользователь запускал приложение. Высокое число указывает на частое использование, тогда как 1 может указывать на единичную сессию.
• Focus Time (время фокуса): Windows отслеживает продолжительность, в течение которой приложение было активным окном на переднем плане. Это критическая метрика для определения умысла. К примеру, если средство удалённого доступа имеет большое количество запусков, но нулевое время фокуса, это предполагает, что оно работало в фоне без активного участия пользователя. И наоборот, наличие активного времени фокуса говорит о том, что пользователь взаимодействовал с инструментом.
• Last Execution Timestamp (временная метка последнего запуска): 64-битное значение FILETIME, указывающее на последний запуск.

Нюанс Windows 10/11: В современных версиях Windows UserAssist также отслеживает приложения Universal Windows Platform (UWP) (также известные как Metro или Store apps). Записи для них могут выглядеть иначе, часто с использованием AppUserModelID (например, Microsoft.WindowsCalculator_8wekyb3d8bbwe!App), а не пути к файлу.

AppCompatCache (ShimCache): история исполнения и установление факта наличия

Кэш совместимости приложений (ShimCache) — это общесистемный артефакт в кусте SYSTEM, используемый для идентификации приложений, требующих «shims» (буквально — «прокладок» совместимости). Для исследователей он предоставляет ценную историческую запись о файлах, которые были запущены или просто просмотрены через Проводник, что позволяет установить факт наличия файла в системе, даже если впоследствии он был удалён.

Внимание: ShimCache не является надёжным доказательством факта запуска, даже при наличии других флагов исполнения, и зависит от сборки ОС и других факторов. Хотя ShimCache позволяет установить факты наличия и взаимодействия, флаги исполнения являются вспомогательными и требуют дополнительного подтверждения (BAM, Prefetch, AmCache, UserAssist).

Расположение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Криминалистическое значение: кэш совместимости приложений, широко известный как ShimCache, используется Windows для определения того, требуются ли приложению специфические исправления для корректной работы.

• Установления факта существования: ShimCache отслеживает файлы, которые были выполнены или просмотрены через Проводник. Это позволяет установить, что конкретный файл существовал по конкретному пути на конкретном томе (интерпретация временных меток зависит от сборки и парсера).
• Волатильность и завершение работы: данные ShimCache хранятся в оперативной памяти и записываются в куст реестра (SYSTEM) только при штатном выключении или перезагрузке компьютера. Обратите внимание: при аварийном отключении эти данные могут быть утрачены.
• Полезная информация: на работающей системе, которая не перезагружалась неделями, ключ реестра будет устаревшим. Для получения актуального ShimCache требуется анализ оперативной памяти. В зависимости от состояния системы, некоторые следы можно найти в hiberfile.sys и pagefile.sys. На образе, снятом с извлечённого системного накопителя, реестр содержит состояние на момент последнего штатного (!) выключения.
• Флаг исполнения: исследования Windows 10 и 11 выявили флаги в структуре данных ShimCache (их часто представляют как «Insert Flags» или «Execution Flags»), которые могут помочь отличить исполняемый файл, который был просто виден в окне папки, от того, который был действительно запущен. Как было упомянуто выше, этот флаг не является надёжным доказательством запуска.

Анализ ShimCache полезен для идентификации исполняемых файлов, которые присутствовали в системе, но позднее были удалены. К примеру, если в системе был файл malware.exe , который впоследствии был удалёнс диска, запись о нём в ShimCache сохраняется, подтверждая, что он присутствовал в системе.

AmCache: репозиторий контрольных сумм

Если артефакты UserAssist полагаются в основном на имена файлов и пути к ним, но не на их содержимое, то AmCache повышает уровень достоверности, привязывая запись о выполнении к содержимому файла, сохраняя его контрольную сумму. Этот файл полезен для идентификации файлов вредоносного ПО, которые были переименованы — например, с целью маскировки под стандартный системный процесс. Он же позволяет установить точную версию исполняемого файла, который был запущен.

Расположение: C:\Windows\AppCompat\Programs\Amcache.hve (Это отдельный файл куста, не являющийся частью стандартных кустов реестра).

Криминалистическое значение: AmCache.hve — один из самых ценных артефактов при исследовании Windows, поскольку он связывает выполнение с содержимым файла (его контрольной суммой), а не только с его именем.

• SHA-1 Hash: AmCache хранит контрольную сумму SHA-1 исполняемых файлов и драйверов. Это критично для атрибуции. Если подозреваемый переименует mimikatz.exe в svchost.exe, то UserAssist покажет, что был запущен svchost.exe (что не выглядит подозрительно). Однако AmCache запишет контрольную сумму SHA-1 этого svchost.exe. Сверка контрольных сумм покажет, что на самом деле это переименованный Mimikatz.
• Volume GUID: AmCache связывает выполнение с конкретным GUID тома. Это помогает исследователям определить, была ли программа запущена с диска C: или свнешнего USB-накопителя.
• Данные об установке: отслеживается дата установки и удаления ПО, формируя временную шкалу появления и удаления программ в системе.

BAM и DAM: отслеживание фоновой активности

Современные стратегии управления питанием Windows требуют от операционной системы тщательного мониторинга потребления ресурсов. Модератор фоновой активности (BAM) и Модератор активности рабочего стола (DAM) служат этой цели, создавая ещё один канал, фиксирующий выполнение фоновых задач и инструментов командной строки, которые часто пропускаются в UserAssist.

Расположение:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings{SID}
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dam\State\UserSettings{SID}

Криминалистическое значение: хотя основная функция этих артефактов — оптимизация времени работы от батареи идентификацией ресурсоёмких фоновых процессов, BAM и DAM создают своеобразный лог работы процессов, работающих в фоновом режиме. Это делает их незаменимыми для выявления работы вредоносного ПО, фоновых скриптов и шпионских приложений, которые не отображаются в меню «Пуск» или на рабочем столе.

Критические ограничения:

• Ограниченный период хранения: в отличие от Prefetch или UserAssist, записи BAM часто ограничены одной неделей; более старые записи могут удаляться при загрузке в зависимости от настроек и состояния ОС.
• Только локальные файлы: BAM может упустить исполняемые файлы, запущенные с внешних носителей (USB) или сетевых ресурсов.
• Поддержка устройств: DAM специфичен для устройств, поддерживающих режим «Modern Standby» (планшеты/ноутбуки). На стандартных настольных ПК ключ DAM обычно пуст; следует сосредоточиться на BAM.

Ценность для расследования: несмотря на ограничения, BAM остаётся основным источником для подтверждения выполнения фоновых процессов, не имеющих GUI.

• История работы фоновых процессов: большинство артефактов (например, UserAssist) фокусируются на файлах, которые запустил пользователь. BAM/DAM отслеживает процессы, которые работали, в том числе в фоновом режиме. UserAssist не фиксирует запуск приложений через консоль или пакетные файлы, но в BAM информация попадает в тот момент, когда процесс начнёт потреблять системные ресурсы.
• Доказательство успешной детонации полезной нагрузки: В расследованиях вредоносного ПО нахождение файла на диске доказывает только его наличие. Соответствующая запись в ключе BAM убедительно подтверждает, что выполнение имело место.
• Атрибуция к скомпрометированной учетной записи: Поскольку эти ключи организованы по SID пользователя, они дают веские основания для атрибуции, указывая, что «Учетная запись с SID, заканчивающимся на -1001, была ответственна за выполнение crypto_miner.exe», что позволяет отличить действия пользователя от эксплуатации системных служб.

Доступ к файлам и навигация пользователя

Рассмотренные выше артефакты могут помочь установить факт запуска исполняемого файла. В то же время артефакты доступа к файлам отвечают на другой вопрос: «Какие файлы или папки подозреваемый просматривал, открывал или к каким получал доступ?». Эти артефакты генерируются процессом Проводника Windows. Система использует их для реконструкции навигации пользователя по файловой системе и восстановления вида папок и иконок в них при повторных визитах. Для исследователя эти же артефакты помогают установить факт доступа к конкретным файлам и уточнить временную шкалу эксфильтрации данных.

ShellBags: артефакты доступа к папкам

ShellBags считаются наиболее полным артефактом для восстановления картины навигации пользователя по файловой системе компьютера. В отличие от других артефактов, отслеживающих конкретные файлы, ShellBags отслеживают папки. Их криминалистическая ценность заключается в фиксации факта доступа независимо от того, осталась ли просмотренная папка на диске или была удалена.

Расположение:

• NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU (и \Bags)
• UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\BagMRU (и \Bags)

Криминалистическое значение: ShellBags — это ключи реестра, используемые для сохранения настроек внешнего вида папок в Проводнике (например, размер иконок, положение окна, порядок сортировки). Windows создаёт эти записи, чтобы при возвращении пользователя в папку она выглядела так же, как и в момент выхода.

Ценность для расследования:

• Историческая карта: ShellBags создают карту директорий, которые посещал пользователь, даже если эти директории больше не существуют.
• Внешние пути (буквы диска): ShellBags отслеживают папки на съёмных дисках (например, E:\Stolen_Docs). Однако требуется осторожность: артефакт записывает логический путь (E:), а не физический серийный номер устройства. Чтобы доказать, что «E:» было конкретным накопителем Kingston 16GB, а не локальным разделом или каким-либо другим накопителем, исследователи должны сопоставить временную метку доступа ShellBag с сопоставлениями букв дисков в ключе MountedDevices.
• Устройства MTP (телефоны/планшеты/камеры/регистраторы): Для современных устройств, таких как смартфоны или видеорегистраторы, подключаемые через MTP (Media Transfer Protocol), ShellBags довольно специфичны. Вместо обычной буквы диска эти записи часто ссылаются на специфический путь в реестре или GUID устройства, что позволяет различать, к примеру, подключение устройства «Samsung Galaxy S24» и обычного USB-накопителя.
• Структура:
  • BagMRU: этот ключ поддерживает иерархическую древовидную структуру, зеркально отражающую структуру папок, по которой перемещался пользователь. Он использует систему нумерации слотов для привязки папок к их настройкам.
  • Bags: хранит фактические настройки вида (например, «Таблица», «Крупные значки») для слотов, определенных в BagMRU.

RecentDocs и OpenSaveMRU: установление намерения

Если ShellBags демонстрируют, что пользователь зашёл в папку, то RecentDocs и OpenSaveMRU показывают, что он взаимодействовал с конкретными файлами. Эти артефакты являются своеобразными индикаторами намерения. OpenSaveMRU, в частности, генерируется только тогда, когда пользователь активно взаимодействует со стандартным диалоговым окном Windows для открытия или сохранения файла. В расследованиях утечек данных это именно тот тип улик, который отличает пассивный просмотр от активной эксфильтрации, такой как сохранение корпоративного документа на внешнее устройство.

Расположение:

• RecentDocs: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
• OpenSaveMRU: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

Криминалистическое значение:

• RecentDocs: отслеживает последние ~150 файлов, к которым обращался пользователь, сгруппированных по расширению файла (например, .jpg, .docx, .pdf). Значение MRUListEx отслеживает порядок доступа, позволяя восстановить последовательность открытия файлов.
• OpenSavePidlMRU: этот ключ отслеживает файлы, с которыми пользователь взаимодействовал через стандартные диалоговые окна Windows «Открыть» или «Сохранить как».
• Намерение: этот артефакт позволяет установить намерение. Его наличие подразумевает, что пользователь активно перешёл к файлу и выбрал его для открытия или сохранения. Часто используется для доказательства того, что пользователь вручную сохранил файл на внешнее устройство (например, «Сохранить как» -> F:).
• Структура PIDL: данные хранятся в виде PIDL (Pointer to an Item ID List) — бинарной структуры, содержащей имя файла и полный путь.

TypedPaths: доказательство намеренной навигации

TypedPaths позволяет различить случайный и намеренный просмотр. Когда пользователь нажимает на ссылку, это можно списать на случайность. Когда же он вручную вводит путь в адресную строку, он демонстрирует как намерение, так и конкретное знание — куда именно он хочет попасть. Этот артефакт критичен при расследовании инсайдерских угроз и утечек данных, так как часто раскрывает знание подозреваемым скрытых сетевых ресурсов или внутренних IP-адресов, которыми он не должен был интересоваться и иметь доступ.

Расположение: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

Криминалистическое значение: данный ключ реестра хранит историю путей, которые были вручную введены в адресную строку Проводника Windows.

• Значение для расследования: ввод пути требует специфических знаний и умысла. Если пользователь переходит по адресу \192.168.1.50\C$\Hidden, это предполагает, что он знал IP-адрес конкретного сервера и имя скрытого ресурса. Артефакт часто используется для различения случайного просмотра (переход по ссылке, которую, к примеру, прислали по электронной почте) и намеренного перехода.

Внешние устройства и подключения к портам USB

В случаях эксфильтрации данных или внедрения вредоносного ПО через физические носители реестр Windows позволяет отследить каждое USB-устройство, когда-либо подключённое к системе. Эти артефакты имеют решающее значение, когда исследователю необходимо установить, что конкретное физическое устройство, найденное у подозреваемого, было подключено к скомпрометированному компьютеру в определённое время.

USBSTOR: история подключения USB-накопителей

Ключ USBSTOR представляет из себя список внешних накопителей, которые подключались к системе. Он позволяет исследователю установить каждый USB-накопитель, внешний жёсткий диск или карту памяти, которые подключались как стандартное устройство хранения данных. Этот ключ реестра — первый шаг, позволяющий установить факт подключения накопителя к компьютеру.

Расположение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Криминалистическое значение: история подключений внешних накопителей к USB.

• Структура ключей: устройства организованы по идентификаторам (ID) класса устройства, вендору, продукту и версии.
• Серийные номера: имя ключа обычно представляет собой уникальный серийный номер устройства (например, 001122334455).
• Сгенерированные ID: если серийный номер содержит амперсанд (&) во второй позиции (например, 100&234...), это указывает на то, что устройство не имеет уникального аппаратного серийного номера, и Windows сгенерировала временный ID на основе порта и характеристик устройства. Это важное различие, так как сгенерированный ID не уникален для устройства и не может быть однозначно связан с конкретным физическим накопителем, найденным у подозреваемого.

Временные метки и история подключений

Простого знания того, что устройство подключалось, часто недостаточно; исследователям нужно знать, когда именно оно подключалось и как долго оставалось подключённым. Windows 10 и 11 хранят точные временные метки установки, подключения и извлечения накопителей. Эти метки позволяют реконструировать временную шкалу, позволяя установить, например, факт того, что диск для резервного копирования был подключён непосредственно перед массовым удалением файлов.

Расположение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\VID_...\PID_...\Properties{83da6326-97a6-4088-9453-a1923f573b29}

Криминалистическое значение: для каждого подключённого устройства Windows 10 и 11 хранит детальные временные метки в подключах, которые содержат GUID. Внутри ключа GUID {83da6326-97a6-4088-9453-a1923f573b29} находятся подключи с шестнадцатеричными идентификаторами, которые соответствуют конкретным событиям:

• 0064 (Decimal 100) — InstallDate: временная метка первой установки устройства (часто используется как индикатор первого подключения данного экземпляра устройства).
• 0065 (Decimal 101) — FirstInstallDate: технически «дата первой установки». Для USB-накопителей почти всегда идентична 0064.
• 0066 (Decimal 102) — LastArrivalDate: временная метка последнего подключения.
• 0067 (Decimal 103) — LastRemovalDate: временная метка последнего отключения (т.е. извлечения) накопителя.

Стратегический анализ: сравнивая LastArrivalDate (0066) и LastRemovalDate (0067), исследователь может определить продолжительность последней сессии. Если LastArrivalDate позже, чем LastRemovalDate, это означает, что устройство подключено в данный момент (или система была аварийно перезагружена/отключена в момент, когда устройство было подключено).

MountedDevices: сопоставление устройств и букв дисков

Для полной реконструкции активности пользователя нужно установить связь между аппаратными идентификаторами (такими как серийный номер USB) и логическими буквами дисков (например, F:), на которые ссылаются другие артефакты, такие как ShellBags или файлы .LNK. Ключ MountedDevices помогает установить эту связь, позволяя соотнести активность файловой системы на определенной букве диска с физическим устройством, ответственным за неё.

Расположение: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Криминалистическое значение: этот ключ может помочь сопоставить внешний накопитель с логической буквой диска (например, F:).

• Механизм: ключ содержит значения вида \DosDevices\F:. Бинарные данные внутри этих значений могут быть соотнесены с конкретными томами и экземплярами устройств, но форматы варьируются; рекомендуется подтверждение дополнительными артефактами.
• Рабочий процесс:
  1. Идентифицировать подозрительное USB-устройство в USBSTOR (например, «SanDisk Cruzer»).
  2. Извлечь его идентифицирующие атрибуты (например, серийный номер/детали экземпляра устройства).
  3. Сопоставить привязку букв дисков в MountedDevices с другими артефактами (ShellBags/LNK) и артефактами подключения устройства.
• Ожидаемый результат: «SanDisk Cruzer, вероятно, был ассоциирован с буквой диска F: как минимум во время одного подключения». Это позволяет исследователю искать в LNK-файлах и ShellBags активность именно на диске F:.

Конфигурация сети и системы

Реконструкция сетевого окружения и состояния системы имеет важное значение для выявления привязки устройства к местоположению. Анализируя сетевые профили и настройки конфигурации, исследователь может восстановить физические перемещения устройства — например, ноутбука, перемещающегося между корпоративной и публичной Wi-Fi сетью — и выявлять подозрительные сетевые конфигурации, предполагающие, что злоумышленник вручную манипулировал соединениями для обхода средств защиты.

Сетевые профили («Где» и «Когда»)

Сетевые профили хранят информацию о каждой сети, к которой подключалось устройство, что можно сопоставить со списком его местоположений. Этот артефакт позволяет установить, что подозреваемый находился в конкретном месте (например, в кафе или офисе конкурента) в определённое время. Сопоставляя имя сети (SSID) с временными метками DateLastConnected, исследователи могут восстановить физический маршрут устройства и выявить несанкционированные подключения к различным сетям.

Расположение: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

Криминалистическое значение: этот ключ хранит профиль для каждой сети (Wi-Fi, Ethernet), к которой подключалась система.

• ProfileName: SSID (например, «Starbucks_WiFi», «Corp_Secure»).
• DateCreated: временная метка первого подключения к этой сети.
• DateLastConnected: временная метка последнего подключения.
• Геолокация: сопоставляя SSID с BSSID (MAC-адресом) точки доступа Wi-Fi, исследователи могут использовать публичные базы геолокации для определения местоположения компьютера в конкретное время.

Сетевые интерфейсы и TCP/IP

Если сетевые профили показывают, где подключалось устройство, то конфигурация TCP/IP раскрывает, как оно подключалось. Изучение этих ключей позволяет исследователю определить, использовала ли машина стандартный динамический IP-адрес (DHCP) или была вручную настроена на статический IP. Внезапный переход на статический IP на рабочей станции пользователя может быть сильным индикатором того, что злоумышленник пытается замаскировать трафик, обойти контроль доступа к сети или установить постоянное соединение с удалённым сервером.

Расположение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

Криминалистическое значение: этот ключ содержит конфигурацию сетевых адаптеров.

• Static IP vs. DHCP: исследование значения EnableDHCP показывает, был ли компьютер настроен со статическим IP-адресом. Статические IP часто встречаются в корпоративных серверных средах, но подозрительны на пользовательских рабочих станциях или в домашних сетях, потенциально указывая на то, что злоумышленник вручную настраивал сеть для обхода обнаружения или подключения к удалённому устройству.

Информация о часовом поясе

Ключ TimeZoneInformation устанавливает «точку отсчёта» для временных меток. Неверная интерпретация этого значения может привести к ошибкам в реконструкции соответствия цифровых событий (например, скачивание файла) с физическими (например, вход подозреваемого в здание).

Расположение: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

Криминалистическое значение:

• ActiveTimeBias: хранит текущее смещение от UTC в минутах.
• Важность: правильный часовой пояс — необходимый шаг в анализе временной шкалы.

Артефакты, которые появились в Windows 11

В Windows 11 появились новые функции, а поведение некоторых из старых артефактов изменилось. Перечислим некоторые из них.

Функция «Recall»

Введение опциональной функции «Recall» в Windows 11 вызвало противоречивую реакцию у пользователей и специалистов по безопасности, но для экспертов-криминалистов эта функция однозначно полезна: Recall делает периодические снимки рабочего стола пользователя и использует функции распознавания для последующего семантического поиска. Ценность подобной функции для пользователей — неоднозначна, для исследователей — неоспорима. Recall фиксирует всё происходящее на экране, включая секретные и эфемерные чаты, набранные, но не отправленные сообщения, онлайн-документы, страницы, просматриваемые в режиме Incognito и подобные высокочувствительные виды активности пользователя.

Контекст: функция Recall была представлена в середине 2024 года для ПК «Copilot+», оснащённых NPU. Функция делает периодические снимки экрана пользователя для обеспечения семантического поиска.

Важно: на момент написания статьи Recall не активируется по умолчанию; пользователь должен включить её самостоятельно (либо через групповые политики). Кроме того, Recall в настоящее время поддерживается только на ПК, отвечающих определенному набору требований: «сертификация Copilot+, NPU с производительностью 40 TOPs». На старых компьютерах этой функции нет. Microsoft может резко изменить политику доступности и активности этой функции, в том числе на региональном уровне. В любой момент компания может включить шифрование для данных Recall или ужесточить срок их хранения. По умолчанию для управляемых корпоративных устройств эта функция отключена.

Криминалистические артефакты:

• Включение/отключение: состояние функции управляется в Software\Policies\Microsoft\Windows\WindowsAI.
• База данных: семантический индекс хранится в базе данных SQLite по пути %AppData%\Local\CoreAIPlatform.00\UKP{GUID}\ukg.db.
• Изображения: снимки экрана в формате JPEG хранятся в %AppData%\Local\CoreAIPlatform.00\UKP{GUID}\ImageStore.

Ценность для расследования: если функция активирована, Recall служит всеобъемлющим регистратором активности пользователя. Он может фиксировать чувствительные данные, отображаемые на экране (неотправленные сообщения, приватные чаты, переписку через чисто онлайновые сервисы и т.п.), которые не сохраняются на диск. База данных ukg.db содержит текст, полученный через OCR (распознавание текста), позволяя исследователям искать ключевые слова по всей визуальной истории пользователя. Доступ и хранение могут быть ограничены средствами безопасности Windows и конфигурацией.

Приложение Блокнот (TabState)

Модернизация приложения «Блокнот» непреднамеренно создала полезный криминалистический артефакт. Поскольку новый Блокнот автоматически сохраняет состояние открытых вкладок для предотвращения потери данных, он сохраняет содержимое «несохраненных» документов на диске. Это позволяет исследователям восстанавливать заметки, фрагменты кода или адреса, которые подозреваемый напечатал в черновике, но так и не сохранил в файл на диске.

Расположение: %LOCALAPPDATA%\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState (Связанные метаданные состояния также могут существовать в %LOCALAPPDATA%\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\WindowsState.)

Криминалистическое значение: Современное приложение Блокнот в Windows 11 автоматически сохраняет состояние, чтобы позволить пользователям закрывать приложение без потери несохраненных вкладок.

• Восстановление несохраненного контента: двоичные файлы (.bin) в директории TabState содержат фактический текстовый контент несохраненных вкладок. Пользователи часто используют Блокнот как временный черновик для копирования учётных данных, фрагментов кода и других данных. Раньше, если файл не был сохранен, данные терялись (оставались только в оперативной памяти); теперь их можно извлечь.

Стратегия сортировки: артефакты, которые можно игнорировать

В цифровой криминалистике самым дефицитным ресурсом часто становится время. Исследователь легко может утонуть в объёме данных реестра, пытаясь разобрать артефакты, которые выглядят перспективно, но не дают полезных зацепок. Чтобы работать эффективно, важно понимать не только что искать, но и что можно пропустить. Ниже — примеры «шумных» или избыточных артефактов: формально они валидны, но в расследованиях Windows 10/11 обычно дают низкую отдачу.

MRU — списки «недавно открытых файлов» отдельных приложений

В старых криминалистических руководствах часто рекомендовали вручную извлекать списки «недавно использованных файлов» (MRU) из настроек конкретных программ — например, Adobe Reader или Microsoft Word. Для старых версий Windows это действительно было важно, но в современных системах эти сведения во многом централизованы.

Сегодня многочасовое исследование отдельных веток приложений избыточно: ОС сама надёжнее собирает и агрегирует эти данные в других местах.

Старые рекомендации: вручную проверять ключи MRU для каждого установленного приложения (например, Software\Adobe\Acrobat\Recent).

Актуальные рекомендации: в Windows 10/11 исследование таких MRU малоэффективно. Централизованные артефакты RecentDocs и JumpLists (в файловой системе) дают сводную картину доступа к файлам для всех приложений. Специфические MRU конкретной программы имеет смысл разбирать только при фокусе расследования на конкретном приложении (например, «Открывал ли пользователь этот PDF именно в приложении Acrobat?»).

Счётчики производительности (Perflib)

Большой объём данных в Perflib не означает, что там будет больше улик. Эти ключи нужны для мониторинга системы в реальном времени, а не для восстановления истории событий. Они постоянно обновляются и создают массу изменений; в результате такие записи легко «забивают» анализ временной шкалы, но почти ничего не добавляют к пониманию действий пользователя или доступа к файлам.

Расположение: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib

Анализ: эти ключи содержат динамическую статистику производительности. Они обновляются непрерывно, но практически не дают информации о поведении пользователя, доступе к файлам или вредоносной активности.

Общие ключи CLSID

Куст HKEY_CLASSES_ROOT огромен: в нём миллионы GUID (Globally Unique Identifiers), которые описывают ассоциации файлов и COM-объекты. Теоретически вредоносное ПО может закрепиться и здесь. Но ручной просмотр этого куста без конкретных зацепок — почти гарантированная потеря времени.

Если у исследователя нет явных индикаторов, которые указывали бы на конкретный COM-объект, эту область разумнее отложить. Обычно полезнее сосредоточиться на более типичных и «доказательных» артефактах.

Контекст: Куст HKEY_CLASSES_ROOT в основном является производным представлением ассоциаций файлов.

Рекомендация: если вы не расследуете конкретный случай «COM Hijacking» (когда CLSID изменяют так, чтобы он указывал на вредоносное ПО), ручной просмотр миллионов GUID в этом кусте малоэффективен.

Анализ авторизованной сессии

При переходе от теории к работе с загруженными системами и авторизованными сессиями, криминалистика сталкивается с практическими ограничениями. Средства защиты (особенно в корпоративных средах, как правило, настроены так, чтобы блокировать несанкционированный доступ к чувствительным данным, включая реестр. Криминалистическим же утилитам, наоборот, нужен максимально широкий доступ для сбора улик — включая системные файлы, которые могут быть заблокированы.

Из-за этого возникает прямой операционный риск. Современные антивирусные программы с агрессивной эвристикой нередко классифицируют легитимные криминалистические инструменты как вредоносные. В итоге сбор данных может быть прерван, а инструмент — отправлен в карантин. Даже если блокировки нет, фоновое сканирование файлов антивирусом заметно замедляет доступ и может повлиять на целостность улик. Эту проблему мы разбирали в статье Анализ авторизованных сессий Windows и антивирусная защита.

Elcomsoft Quick Triage создан с учётом этих ограничений. Он помогает собирать и анализировать критические артефакты из реестра (в том числе AmCache и ShimCache) непосредственно на загруженном компьютере. Если же сбор с загруженной системы слишком рискован, существует альтернативная стратегия: загрузка в чистую криминалистическую среду. Этот подход мы описали в статье Начальный этап расследования: выбор стратегии экспресс-анализа. Загрузка в заведомо чистую среду открывает неограниченный доступ к кустам реестра и файлам, которые иначе были бы заблокированы операционной системой — но и несёт потенциальные риски, связанные с возможностью шифрования системного раздела.

Заключение

Криминалистический анализ реестра Windows требует дисциплины и чёткой иерархии приоритетов. Анализ ряда артефактов может помочь установить как факты, так и намерение пользователя. В Windows 11 появились дополнительные функции сбора данных — например, исключительно полезная для криминалиста функция Recall.

Реестр был и остаётся одним из ключевых источников артефактов в Windows. Содержимое файловой системы меняется быстрее ключей реестра, в которых могут остаться следы действий пользователя с устройствами и файлами, более не присутствующими в системе. В конечном итоге успех расследования зависит не от попытки найти и проанализировать каждый ключ в каждой ветке реестра, а от понимания того, какие артефакты действительно важны, что именно они означают и как они взаимосвязаны с другими артефактами — как из реестра, так и файловой системы.

Благодарности и ссылки

Эта статья опирается на исследования участников сообщества цифровой криминалистики, и мы искренне благодарим их за вклад. Детальный анализ артефактов Windows 10 и 11 был бы невозможен без исследований и документации, предоставленных авторами и организациями, перечисленными ниже.

1. Windows Forensic 101 (Altay)
2. Windows Registry Forensics 2025 (Cyber Triage)
3. Registry Forensic Analysis. WHAT IS REGISTRY (Medium)
4. Digital Forensics: Artifact Profile — USB Devices (Magnet Forensics)
5. Windows forensic keys: essential artifacts for digital investigation (INCIBE-CERT)
6. Uncovering Windows Forensics Artefacts for Digital Forensics Investigators (Medium)
7. Digital Forensics — Relevant artifacts for a forensic analysis (SECUINFRA)
8. Windows Registry Forensics Cheat Sheet 2025 (Cyber Triage)
9. Windows ShellBag Forensics in Depth (GIAC Certifications)
10. NTUSER.DAT Forensics Analysis 2025 (Cyber Triage)
11. Introduction to Windows Artifacts: Your Gateway to Effective Incident Response (Medium)
12. Typed Paths Blog (Forensafe)
13. Windows Forensics: USB Device Profiling (Medium)
14. USB Artifact Analysis Using Windows Event Viewer, Registry and File System Logs (MDPI)
15. A question about arbitrary values in USB registry keys (ThinkDFIR)
16. Registry, Event Logs, and Persistence Indicators (Cursa)
17. Windows Persistence Explained: Techniques, Risks, and What Defenders Should Know (Cofense)
18. Event Triggered Execution: Image File Execution Options Injection (MITRE ATT&CK)
19. 012 Image File Execution Options Injection (CISA)
20. Image File Execution Options Injection (Elastic Security)
21. Windows Wireless Networks Blog (Forensafe)
22. How to Find Evidence of Network Windows Registry (Cyber Triage)
23. Windows Forensics Cheatsheet (TryHackMe)
24. Windows Registry Forensics: Analysis Techniques (Belkasoft)
25. The king is dead, long live the king! Windows 10 EOL and Windows 11 forensic artifacts (Securelist)
26. UserAssist Forensics 2025 (Cyber Triage)