Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Технические нюансы

Многие базы данных в этой директории постоянно используются системными службами, и доступ к ним на работающей системе заблокирован. Для корректного сбора цифровых доказательств лучше извлекать их из образа диска или использовать ПО, работающее через интерфейс теневых копий тома (VSS). Оба сценария поддерживает Elcomsoft Quick Triage.

В тексте мы используем и %ProgramData%, и C:\ProgramData. При анализе загруженной системы сначала уточните фактический путь к папке ProgramData через соответствующую переменную среды.

База данных диспетчера очередей BITS (QMGR)

Фоновая интеллектуальная служба передачи (BITS) помогает приложениям скачивать и загружать объёмные файлы в фоновом режиме. Информацию о задачах, файлах и текущем статусе служба хранит в локальной базе диспетчера очередей по адресу C:\ProgramData\Microsoft\Network\Downloader.

В Windows 10 и более свежих версиях ОС очередь обычно представляет собой базу данных ESE (например, qmgr.db) и связанные с ней журналы. Старые системы чаще использовали файлы qmgr0.dat или qmgr1.dat.

Для расследования это один из самых полезных источников: база фиксирует факты передачи данных и сохраняет сопутствующие метаданные. Она помогает обнаружить:

• исходные адреса (URL) и пути сохранения файлов;
• названия и описания задач, а также SID пользователей, запустивших их;
• подозрительные команды или скрипты, которые система выполняет после завершения передачи;
• удалённые задачи, которые иногда удаётся извлечь из незанятого пространства или журналов транзакций.

Перекрёстный анализ: Чтобы выстроить надёжную хронологию и убедиться, что передача действительно состоялась, сопоставляйте данные QMGR с журналом событий Microsoft-Windows-Bits-Client/Operational (Справка Microsoft).

База данных Windows Search

Служба индексирования Windows Search ускоряет локальный поиск. Для этого она хранит индекс выбранных файлов и папок на диске — по умолчанию в C:\ProgramData\Microsoft\Search\Data\Applications\Windows. В расследовании индекс полезен как вспомогательный каталог: он показывает, какие данные система считала доступными для поиска. Отсюда можно извлечь метаданные проиндексированных файлов, фрагменты их содержимого, а также следы активности пользователя или URL-адреса.

Перекрёстный анализ: Сам факт индексации не означает, что файл открывали или запускали. Сопоставляйте данные базы с временными метками файловой системы и журналами приложений — так проще подтвердить наличие файла, факты обращения к нему и время событий.

Хранилище отчётов об ошибках Windows (WER)

Служба регистрации ошибок (Windows Error Reporting) собирает данные о сбоях оборудования и программ. Активные и архивные отчёты обычно лежат в C:\ProgramData\Microsoft\Windows\WER.

Хотя WER предназначен для диагностики, его отчёты часто дают ценные зацепки по запуску программ. Папка вида AppCrash_* и файл Report.wer внутри обычно означают, что конкретный исполняемый файл запускался и завершился ошибкой. В отчёте, как правило, есть временные метки, идентификаторы приложения и контекстная информация о проблемном модуле.

Перекрёстный анализ: Чтобы связать причину и следствие, сверяйте артефакты WER с записями в журнале событий приложений (например, Application Error) и внутренними логами самой программы.

Артефакты Microsoft Defender

Следующие артефакты оставляет встроенный антивирус Microsoft Defender. Их анализ помогает восстановить историю обнаружений и действий защиты.

История обнаружений Microsoft Defender Antivirus

Когда защита в реальном времени находит, блокирует или устраняет угрозу, Defender создаёт записи DetectionHistory по адресу C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory.

Это встроенная телеметрия безопасности: здесь хранятся сведения о найденных угрозах — название, путь к файлу, точное время обнаружения, хэш-суммы и (в некоторых случаях) данные о процессе, который запустил угрозу или был с ней связан.

Перекрёстный анализ: Проверяйте находки через журнал событий Microsoft-Windows-Windows Defender/Operational — в нём фиксируются типовые ID событий, связанные с обнаружением угроз и изменением настроек.

Карантин Microsoft Defender

Антивирус хранит зашифрованные метаданные и изолированные файлы в папке C:\ProgramData\Microsoft\Windows Defender\Quarantine.

Карантин — это контейнер, где вредоносная нагрузка обычно лежит вместе со структурированными метаданными. Это помогает восстановить файл и изучить его даже тогда, когда основные журналы событий уже очищены (в зависимости от политик хранения и очистки).

Перекрёстный анализ: Сверяйте данные карантина с историей обнаружений (DetectionHistory), чтобы понять, что именно происходило на компьютере. Журналы Defender Operational помогут уточнить хронологию и шаги по устранению угрозы.

Журналы поддержки Microsoft Defender

Антивирус регулярно создаёт текстовые журналы для диагностики (MPLog-*.log) и архивы поддержки в директории C:\ProgramData\Microsoft\Windows Defender\Support.

В этих журналах часто остаётся много полезной «истории»: сведения о запускавшихся процессах, найденных угрозах, результатах сканирования и признаках присутствия объектов в системе. Как правило, временные метки хранятся в формате UTC.

Перекрёстный анализ: Объединяйте данные MPLog с событиями Defender Operational, а также с историей обнаружений и содержимым карантина.

XML-файлы профилей Wi-Fi

Windows хранит настройки Wi-Fi в виде XML-файлов по пути C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{GUID}.

Эти файлы дают чёткую картину Wi-Fi-сетей, настроенных на устройстве. Из них можно извлечь SSID, типы аутентификации и параметры шифрования — это полезно для анализа перемещений пользователя или подтверждения подключений к корпоративным сетям.

Перекрёстный анализ: Чтобы понять, когда происходили подключения, сопоставляйте профили с данными о Wi-Fi-сессиях из журнала событий WLAN-AutoConfig.

Отчёт о беспроводных сетях в формате HTML

Этот отчёт генерируется вручную через командную строку (netsh wlan show wlanreport) и сводит воедино события Wi-Fi за последние три дня. Обычно он сохраняется в C:\ProgramData\Microsoft\Windows\WlanReport\wlan-report-latest.html.

Если такой отчёт найден, вы получаете наглядную хронологию подключений, причины обрывов связи и сведения о сетевых адаптерах. Анализ отчета о беспроводной сети — Служба поддержки Microsoft

Перекрёстный анализ: Относитесь к отчёту как к удобной сводке. Ключевые временные метки подключений и отключений перепроверяйте по исходным системным журналам, на которых он основан.

Кэш локальной групповой политики

Windows ведёт локальный кэш групповых политик компьютера в папке C:\ProgramData\Microsoft\Group Policy\History.

Этот кэш помогает увидеть, что к рабочей станции применялись определённые действия (например, создание или удаление объектов конфигурации). Это особенно ценно, когда нет данных со стороны контроллера домена.

Перекрёстный анализ: Сопоставляйте кэш с операционными журналами групповой политики, а также с записями в реестре и журналами состояния приложений. Это усилит выводы о том, какие изменения реально оставили элементы предпочтений.

StateRepository-Machine.srd

Эта база находится в C:\ProgramData\Microsoft\Windows\AppRepository и фиксирует состояние «универсальных» приложений, установленных из Microsoft Store.

Артефакт удобен для инвентаризации ПО: он показывает, какие пакеты Microsoft Store / UWP присутствовали в системе. База фиксирует установленные приложения, приложения, которые установили, но ни разу не запускали, а также предустановленное ПО.

Перекрёстный анализ: Чтобы понять, кто и когда установил приложение, сверяйте данные с привязками ID пользователей в реестре и соответствующими журналами.

Программы из меню «Пуск» и папка автозагрузки, общие для всех пользователей

В меню «Пуск» и списке автозагрузки Windows разделяет приложения на общие для всех пользователей и специфичные для каждого профиля.

Общие ярлыки меню «Пуск» лежат в C:\ProgramData\Microsoft\Windows\Start Menu\Programs, а общая автозагрузка — в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup.

Папка Startup — популярная точка закрепления вредоносного ПО, но это лишь одна из многих точек автозапуска. Оценивайте находки в контексте общего анализа автозагрузок. Изучение ярлыков в этой папке помогает:

• выявлять механизмы закрепления вредоносного ПО;
• восстанавливать исторические сведения, даже если целевые файлы или сетевые ресурсы уже удалены;
• использовать внутренние временные метки ярлыков и данные о томах, чтобы привязать запуск к конкретным устройствам.

Перекрёстный анализ: Дополняйте анализ ярлыков проверкой автозагрузок в реестре, а также журналами создания файлов и аудита событий.

Конфигурация OpenSSH Server

Если в системе включён OpenSSH Server, он читает настройки из файла C:\ProgramData\ssh\sshd_config.

Само наличие этого файла может указывать, что на хосте установлен или настраивался OpenSSH. Это важная деталь при расследовании удалённого доступа и перемещения взломщика внутри сети. Обязательно проверьте службу sshd (установлена ли она, какой тип запуска задан, активна ли сейчас). Конфигурационный файл подскажет параметры аутентификации и списки допущенных пользователей.

Перекрёстный анализ: Сопоставляйте эти данные со статусом службы, правилами брандмауэра и логами аутентификации, чтобы собрать целостную картину доступов.

Малоинформативные артефакты

Часть артефактов мы сознательно не включили в основной разбор: они слишком часто меняются, носят сугубо диагностический характер или неинформативны без дополнительного контекста. Такие данные обычно полезнее для отладки системы, чем для реконструкции действий пользователя или злоумышленника.

Журналы ETL (Update Session Orchestrator)

Журналы трассировки событий хранятся в C:\ProgramData\USOShared\Logs и используются для диагностики установки обновлений Windows. Для точечного анализа они, как правило, слишком объёмные и в основном отражают рутинную фоновую активность обновления ОС.

DeviceMetadataCache

В папке C:\ProgramData\Microsoft\Windows\DeviceMetadataCache система кэширует пакеты метаданных устройств. Это технический кэш, который обычно не даёт практической ценности для расследования.

Кэши оптимизации доставки (Delivery Optimization)

Эти файлы помогают системе распределять обновления. Они создают много «шума» от фоновых задач, и их сложно надёжно привязать к конкретным действиям пользователя.

Папки Platform и Engine антивируса Microsoft Defender

Директории C:\ProgramData\Microsoft\Windows Defender\Platform содержат обновления движка и компонентов. Их содержимое меняется слишком быстро и обычно слабо коррелирует с конкретными инцидентами — по крайней мере по сравнению с ключевыми артефактами Defender.

Данные сторонних приложений

Да, в C:\ProgramData хранится массив данных сторонних программ. Но эти артефакты зависят от конкретных продуктов, и их трудно описать единым стандартом. Без понимания того, что именно установлено на ПК, такой анализ часто даёт мало результата.

Заключение

Директория C:\ProgramData содержит множество артефактов, которые помогают эксперту понять поведение системы и уточнить хронологию событий. Тем не менее даже лучшие инструменты сами по себе не дают никаких объяснений и тем более — не делают выводов. Инструменты могут собирать, структурировать и фильтровать данные, но интерпретация намерений, привязка событий и обоснование выводов всё равно остаются задачей специалиста.

Чтобы быстрее собрать нужные артефакты и оставить больше времени на аналитику, можно использовать инструменты для предварительного анализа. Наш продукт Elcomsoft Quick Triage: оперативно извлечёт данные из работающих систем, образов дисков или смонтированных томов для последующего подробного анализа, а встроенные инструменты для анализа авторизованной сессии позволят быстро изучить важные источники прямо на работающем компьютере.

Мы благодарны членам сообщества криминалистов, чьи исследования продолжают развивать нашу отрасль:

1. Windows Search database (artifacts.help)
2. Attacker Use Background Intelligent Transfer Service (BITS) (Google Cloud Blog)
3. Windows Error Reporting — Win32 apps (Microsoft Learn)
4. Uncovering Windows Defender Real-time Protection History with DHParser (SANS Alumni Blog)
5. Microsoft Defender Antivirus event IDs and error codes (Microsoft Learn)
6. Reverse, Reveal, Recover: Windows Defender Quarantine Forensics (NCC Group)
7. How to Use MPLogs for Forensic Investigations (CrowdStrike)
8. Analyze the wireless network report (Microsoft Support)
9. “All Installed Apps” Artifact — Windows 10 Forensics, (Boncaldo’s Forensics Blog)
10. Boot or Logon Autostart Execution: Registry Run Keys (MITRE ATT&CK)
11. The Missing LNK — Correlating User Search LNK files (Google Cloud Blog)