{"id":1195,"date":"2023-03-17T22:52:10","date_gmt":"2023-03-17T21:52:10","guid":{"rendered":"https:\/\/counterintelligence.pl\/?p=1195"},"modified":"2023-03-17T22:52:12","modified_gmt":"2023-03-17T21:52:12","slug":"rejestrujac-aktywnosci-zwiazane-z-dokumentami","status":"publish","type":"post","link":"https:\/\/counterintelligence.pl\/en\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/","title":{"rendered":"Register(ing) activity related to documents"},"content":{"rendered":"\n

Dwa ostatnie<\/a> posty<\/a> dotyczy\u0142y ukrywania \u015blad\u00f3w z\u0142o\u015bliwej aktywno\u015bci w \u015brodowisku i pr\u00f3bom zmylenia analityk\u00f3w. Tym razem skupimy si\u0119 na \u015bladach pozwalaj\u0105cych ustali\u0107 to czym zajmowa\u0142 si\u0119 u\u017cytkownik b\u0105d\u017a napastnik. Analiza pow\u0142amaniowa mo\u017ce mie\u0107 bowiem dwa g\u0142\u00f3wne cele. W przypadkach najcz\u0119\u015bciej kojarzonych z threat intelligence b\u0119dziemy starali si\u0119 wykry\u0107 aktywno\u015bci atakuj\u0105cych prowadz\u0105cych zdalne operacje, po uzyskaniu dost\u0119pu no urz\u0105dzenia przez sie\u0107. Jeste\u015bmy w ko\u0144cu jednak na counterintelligence.pl, a r\u00f3wnie wa\u017cnym aspektem aktywno\u015bci kontrwywiadowczej jest analiza aktywno\u015bci u\u017cytkownik\u00f3w maj\u0105cych jak najbardziej uprawniony dost\u0119p do \u015brodowiska. Mowa o szeroko poj\u0119tym ’insider threat<\/a>’, czyli zagro\u017ceniach wynikaj\u0105cych z wykorzystania pozycji w organizacji do w\u0142asnych cel\u00f3w jak np.: szpiegostwa przemys\u0142owego. I w tym kontek\u015bcie spojrzymy na bardziej subtelne \u015blady. Rejestr systemu Windows pomo\u017ce nam w analizie aktywno\u015bci zwi\u0105zanych z przegl\u0105daniem dokument\u00f3w.<\/p>\n\n\n\n

\u0179r\u00f3de\u0142 informacji o tym co u\u017cytkownik robi\u0142 mo\u017ce by\u0107 wiele, w\u0142\u0105czaj\u0105c w to monitorowanie na \u017cywo cho\u0107by za pomoc\u0105 dost\u0119pu zapewnianego przez system EDR. My jednak skupimy si\u0119 na typowo przypadku w kt\u00f3rym analizowana jest zawarto\u015b\u0107 zabezpieczonego systemu, bez \u017cadnych szczeg\u00f3lnych narz\u0119dzi. Pozostaj\u0105 wi\u0119c artefakty systemu Windows. A jednym z najbogatszych artefakt\u00f3w jest w\u0142a\u015bnie rejestr systemowy. O strukturze rejestru wspomina\u0142em ju\u017c w po\u015bcie po\u015bwi\u0119conym technikom anti-forensics, teraz mo\u017cemy skupi\u0107 si\u0119 na konkretnych kluczach i warto\u015bciach.<\/p>\n\n\n\n

Poniewa\u017c pr\u00f3bujemy odkry\u0107 dzia\u0142ania napastnika, to g\u0142\u00f3wnym \u017ar\u00f3d\u0142em dla naszej analizy b\u0119d\u0105 klucze zawarte w plikach w\u0142a\u015bciwych dla u\u017cytkownika, nie komputera. Konkretnie zajmiemy si\u0119 NTUSER.DAT, kt\u00f3ry domy\u015blnie znajduje si\u0119 w katalogu u\u017cytkownika.<\/p>\n\n\n

\n
\"\"
Plik NTUSER.DAT naszego podejrzanego – Dave’a.<\/figcaption><\/figure>\n<\/div>\n\n\n

O ile klucze SAM, SOFTWARE, SYSTEM, SECURITY przechowuj\u0105 informacje o konfiguracji urz\u0105dzenia, to w NTUSER.DAT przechowywane s\u0105 indywidualne ustawienia u\u017cytkownika. Plik ten umo\u017cliwia systemowi operacyjnemu zachowanie konfiguracji pomi\u0119dzy kolejnymi uruchomieniami komputera, a tak\u017ce lepsz\u0105 wsp\u00f3\u0142prac\u0119 z u\u017cytkownikiem. W kluczach zapisane s\u0105 bowiem dane o ostatnich czynno\u015bciach, co sprawia, \u017ce system „uczy si\u0119” najcz\u0119\u015bciej wykorzystywanych funkcjonalno\u015bci. <\/p>\n\n\n\n

W analizie wpis\u00f3w pomo\u017ce nam ponownie Registry Explorer<\/a>, kt\u00f3ry to posiada szereg wbudowanych funkcjonalno\u015bci u\u0142atwiaj\u0105cych zagl\u0105danie w rejestr. Je\u017celi korzystamy z obrazu dysku to mo\u017cemy otworzy\u0107 plik NTUSER.DAT, jednak dla odmiany skorzystamy z funkcji odczytania kluczy z uruchomionego systemu:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wybieramy plik naszego podejrzanego i po chwili dane zostan\u0105 za\u0142adowane:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Nad tabelk\u0105 z wylistowanymi kluczami i podkluczami znajdziemy dwa przydatne narz\u0119dzia – wyszukiwark\u0119 i zak\u0142adk\u0119 Available bookmarks. Szczeg\u00f3lnie interesuj\u0105cy jest ten drugi element, znajdziemy tam skr\u00f3ty do pozycji rejestru najcz\u0119\u015bciej wykorzystywanych w analizie takich jak WordWheelQuery czy RecentDocs. Funkcja ta przyspiesza wi\u0119c znacz\u0105co wst\u0119pn\u0105 analiz\u0119. Przejd\u017amy teraz do poszczeg\u00f3lnych wpis\u00f3w rejestru i tego jakie informacje mo\u017ce na ich podstawie ustali\u0107. Wa\u017cna uwaga – poniewa\u017c najpopularniejszym<\/a> obecnie<\/a> system operacyjnym jest Windows 10 to w\u0142a\u015bnie na nim b\u0119dziemy prowadzi\u0107 analiz\u0119.<\/p>\n\n\n\n

Skoro chcemy skupi\u0107 si\u0119 na szpiegostwie i wykradaniu danych, to w pierwszej kolejno\u015bci sp\u00f3jrzmy na \u015blady wyszukiwania plik\u00f3w. Jednym z popularnych narz\u0119dzi w tym zakresie jest wyszukiwarka wbudowana w Explorer i znajduj\u0105ca si\u0119 w prawym g\u00f3rnym rogu okna eksploratora:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Jak widzimy na za\u0142\u0105czonym obrazku Windows zapisuje histori\u0119 naszych wyszukiwa\u0144, i w\u0142a\u015bnie ta historia jest naszym pierwszym artefaktem. W kluczu Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\WordWheelQuery znajdziemy bowiem w\u0142a\u015bnie wpisy historii:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Ka\u017cdy u\u017cytkownik Windowsa zetkn\u0105\u0142 si\u0119 r\u00f3wnie\u017c z charakterystycznym oknem eksploratora wykorzystywanym przez wiele program\u00f3w do otwierania i zapisywania plik\u00f3w:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Informacje o historii plik\u00f3w otwieranych i zapisanych w ten spos\u00f3b Windows przechowuje w kluczu Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\OpenSavePidMRU. Je\u017celi spojrzymy na jego struktur\u0119 w Registry Explorer, to zobaczymy, \u017ce klucz zawiera wpisy odpowiedzialne za poszczeg\u00f3lne typy plik\u00f3w:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Wyj\u0105tkiem jest klucz oznaczony jako „*”. W nim znajdziemy dwadzie\u015bcia ostatnich plik\u00f3w niezale\u017cnie od ich rozszerzenia. Jak widzimy na za\u0142\u0105czonym obrazku, w przypadku mojej analizy Registry Explorer w kolumnie Absolute Path nie wyodr\u0119bnia\u0142 nazwy pliku, a jedynie \u015bcie\u017ck\u0119 folderu. W takim razie musimy spojrze\u0107 w szczeg\u00f3\u0142y konkretnego wpisu:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Alternatywnie mo\u017cemy r\u00f3wnie\u017c przyjrze\u0107 si\u0119 wprost zawarto\u015bci wpis\u00f3w w kluczach odpowiedzialnych za konkretne typy plik\u00f3w. Widok to nie jest tak przyjazny jak dane w poprzednim oknie, ale r\u00f3wnie\u017c pozwalaj\u0105 na ustalenie plik\u00f3w kt\u00f3rymi interesowa\u0142 si\u0119 u\u017cytkownik:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Kiedy wiemy ju\u017c czego u\u017cytkownik szuka\u0142 systemie i jakie dokumenty go interesowa\u0142y, przejd\u017amy do ostatnio otwieranych dokument\u00f3w standardowo zapisywanych w kluczu Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDoc. Domy\u015blnie Registry Explorer poka\u017ce nam taki widok, listuj\u0105c ostatnie wpisy:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Jest to jednak ju\u017c niejako obrobiona wersja wpis\u00f3w, kt\u00f3ra mo\u017ce przyspieszy\u0107 analiz\u0119, jednak nale\u017cy zrozumie\u0107 dlaczego wygl\u0105da tak, a nie inaczej – i czemu kolumna dotycz\u0105ca ostatniego otwarcia pliku nie jest ca\u0142kiem wype\u0142niona. Podobnie jak w przypadku ComDlg32 i OpenSavePidMRU, je\u017celi rozwiniemy klucz to znajdziemy tam pozycje odpowiedzialne za poszczeg\u00f3lne typy plik\u00f3w. Poniewa\u017c na szczycie listy znale\u017ali\u015bmy dokument invoice.docx, to zobaczmy jakie informacje znajdziemy w kluczu odpowiedzialnym za to rozszerzenie.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Je\u017celi por\u00f3wnamy dost\u0119pne sygnatury czasowe to odkryjemy, \u017ce czas ostatniego otwarcia pliku jest w istocie dat\u0105 ostatniego czasu zapisu do klucza. Dlatego te\u017c czas ostatniego otwarcia b\u0119dzie dost\u0119pny dla ostatniego pliku danego typu. Sam Registry Explorer nazywa kolumn\u0119 „Extension Last Opened”. Trzeba te\u017c zwr\u00f3ci\u0107 uwag\u0119, \u017ce poniewa\u017c czas ten wynika z czasu ostatniego zapisu to wp\u0142yn\u0105 na niego manipulacje rejestru zupe\u0142nie nie zwi\u0105zane z otwieraniem plik\u00f3w – np.: je\u017celi rejestr zostanie r\u0119cznie zmodyfikowany. W przypadku pakietu Office dodatkowym \u017ar\u00f3d\u0142em informacji b\u0119d\u0105 klucze File MRU zawarte w Software\\Microsoft\\[wersja pakietu]\\[program]\\File MRU, tak jak w naszym przyk\u0142adzie tutaj:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Na analizowanym systemie zainstalowany jest pakiet Office 2021 co przek\u0142ada si\u0119 na konkretn\u0105 sk\u0142adni\u0119 kluczy. Je\u017celi mieliby\u015bmy do czynienia z pakietem Office 365 to w kluczu zawarty by\u0142by r\u00f3wnie\u017c identyfikator konta u\u017cytkownika rozpoczynaj\u0105cy si\u0119 od „LiveID_”.<\/p>\n\n\n\n

Je\u017celi jeste\u015bmy ju\u017c przy dokumentach to interesuj\u0105cym artefaktem jest te\u017c pozycja kursora. Korzystaj\u0105c z pakietu Office zapewne spotkali\u015bmy si\u0119 z tym, \u017ce system pomocnie podpowiada w kt\u00f3rym miejscu ostatnio sko\u0144czyli\u015bmy prac\u0119 z dokumentem. Klikni\u0119cie w dymek przy pasku przewijania pozwoli na wr\u00f3ci\u0107 do tego miejsca. Rejestr zapisuje r\u00f3wnie\u017c te informacj\u0119. W kluczu „Software\\Microsoft\\[wersja pakietu]\\[program]\\Reading Locations” znajdziemy list\u0119 plik\u00f3w, i warto\u015b\u0107 Position:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Prowadz\u0105c analiz\u0119 aktywno\u015bci u\u017cytkownika i maj\u0105c dost\u0119p do dokument\u00f3w, kt\u00f3re mia\u0142by wykrada\u0107 podejrzany mo\u017cemy wykorzysta\u0107 te wiedz\u0119 \u015bci\u0105gaj\u0105c plik i r\u0119cznie ustawiaj\u0105c warto\u015b\u0107 w rejestrze. W ten spos\u00f3b mo\u017cemy potencjalnie ustali\u0107 kt\u00f3rym fragmentem dokumentu interesowa\u0142 si\u0119 sprawca.<\/p>\n\n\n\n

Rejestr mo\u017ce dostarczy\u0107 nam bardzo du\u017co informacji na temat interakcji z dokumentami. Analizuj\u0105c histori\u0119 wyszukiwa\u0144 czy otwierania i zapisywania plik\u00f3w mo\u017cemy okre\u015bli\u0107 o jakich plikach u\u017cytkownik ju\u017c wiedzia\u0142, czego szuka\u0142, jakie pliki otwiera\u0142, a nawet w kt\u00f3rym miejsce dokumentu zako\u0144czy\u0142 prac\u0119. Z perspektywy ustalania intencji i odtwarzania dzia\u0142ania podejrzanego jest to niezwykle cenny zestaw informacji. Sprawy nie obejmuj\u0105ce technicznych \u015brodk\u00f3w w\u0142amania jak RATy, rootkity i keyloggery cz\u0119sto mog\u0105 by\u0107 bardziej wymagaj\u0105ce z punktu widzenia analityka. Bez wyra\u017anych artefakt\u00f3w technicznych jak zainstalowany malware czy pr\u00f3ba eskalacji uprawnie\u0144 szczeg\u00f3lnie wa\u017cne jest zrozumienie przebiegu wydarze\u0144 i cel\u00f3w napastnika. Dlatego te\u017c zrozumienie tego jak system uczy si\u0119 naszej aktywno\u015bci staraj\u0105c si\u0119 przy\u015bpieszy\u0107 prac\u0119 zdecydowanie pomo\u017ce w naszych DFIRowych zmaganiach.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dwa ostatnie posty dotyczy\u0142y ukrywania \u015blad\u00f3w z\u0142o\u015bliwej aktywno\u015bci w \u015brodowisku i pr\u00f3bom zmylenia analityk\u00f3w. Tym razem skupimy si\u0119 na \u015bladach pozwalaj\u0105cych ustali\u0107 to czym zajmowa\u0142 si\u0119 u\u017cytkownik b\u0105d\u017a napastnik. Analiza pow\u0142amaniowa mo\u017ce mie\u0107 bowiem dwa g\u0142\u00f3wne cele. W przypadkach najcz\u0119\u015bciej kojarzonych z threat intelligence b\u0119dziemy starali si\u0119 wykry\u0107 aktywno\u015bci atakuj\u0105cych prowadz\u0105cych […]<\/p>\n","protected":false},"author":2,"featured_media":1241,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"cybocfi_hide_featured_image":"yes","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[98],"tags":[99,112,109,110,107],"class_list":["post-1195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dfir","tag-dfir","tag-espionage","tag-forensics","tag-ntuser-dat","tag-registry"],"yoast_head":"\nRejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/counterintelligence.pl\/en\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami\" \/>\n<meta property=\"og:description\" content=\"Dwa ostatnie posty dotyczy\u0142y ukrywania \u015blad\u00f3w z\u0142o\u015bliwej aktywno\u015bci w \u015brodowisku i pr\u00f3bom zmylenia analityk\u00f3w. Tym razem skupimy si\u0119 na \u015bladach pozwalaj\u0105cych ustali\u0107 to czym zajmowa\u0142 si\u0119 u\u017cytkownik b\u0105d\u017a napastnik. Analiza pow\u0142amaniowa mo\u017ce mie\u0107 bowiem dwa g\u0142\u00f3wne cele. W przypadkach najcz\u0119\u015bciej kojarzonych z threat intelligence b\u0119dziemy starali si\u0119 wykry\u0107 aktywno\u015bci atakuj\u0105cych prowadz\u0105cych […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/counterintelligence.pl\/en\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/\" \/>\n<meta property=\"og:site_name\" content=\"counterintelligence.pl\" \/>\n<meta property=\"article:published_time\" content=\"2023-03-17T21:52:10+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-03-17T21:52:12+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/counterintelligence.pl\/wp-content\/uploads\/2023\/03\/Zrzut-ekranu-2023-03-17-160833.png\" \/>\n\t<meta property=\"og:image:width\" content=\"485\" \/>\n\t<meta property=\"og:image:height\" content=\"329\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Kamil Bojarski\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@lawsecnet\" \/>\n<meta name=\"twitter:site\" content=\"@lawsecnet\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Kamil Bojarski\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"8 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/\"},\"author\":{\"name\":\"Kamil Bojarski\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"headline\":\"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami\",\"datePublished\":\"2023-03-17T21:52:10+00:00\",\"dateModified\":\"2023-03-17T21:52:12+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/\"},\"wordCount\":1351,\"commentCount\":1,\"publisher\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"image\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/03\\\/Zrzut-ekranu-2023-03-17-160833.png?fit=485%2C329&ssl=1\",\"keywords\":[\"dfir\",\"espionage\",\"forensics\",\"ntuser.dat\",\"registry\"],\"articleSection\":[\"DFIR\"],\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/\",\"url\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/\",\"name\":\"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/03\\\/Zrzut-ekranu-2023-03-17-160833.png?fit=485%2C329&ssl=1\",\"datePublished\":\"2023-03-17T21:52:10+00:00\",\"dateModified\":\"2023-03-17T21:52:12+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/2023\\\/03\\\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/counterintelligence.pl\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#website\",\"url\":\"https:\\\/\\\/counterintelligence.pl\\\/\",\"name\":\"counterintelligence.pl\",\"description\":\"Threat Inteliigence \\\/ OSINT \\\/ NETSEC \\\/ NATSEC\",\"publisher\":{\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/counterintelligence.pl\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":[\"Person\",\"Organization\"],\"@id\":\"https:\\\/\\\/counterintelligence.pl\\\/#\\\/schema\\\/person\\\/a2bd0e683e8f31df48bd02f45508e8ba\",\"name\":\"Kamil Bojarski\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"url\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"contentUrl\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\",\"width\":1521,\"height\":721,\"caption\":\"Kamil Bojarski\"},\"logo\":{\"@id\":\"https:\\\/\\\/i0.wp.com\\\/counterintelligence.pl\\\/wp-content\\\/uploads\\\/2023\\\/11\\\/ci_hor.png?fit=1521%2C721&ssl=1\"},\"sameAs\":[\"https:\\\/\\\/counterintelligence.pl\",\"https:\\\/\\\/www.linkedin.com\\\/in\\\/kamil-bojarski\\\/\",\"https:\\\/\\\/x.com\\\/lawsecnet\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Register(ing) activity related to documents","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/counterintelligence.pl\/en\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/","og_locale":"en_US","og_type":"article","og_title":"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami","og_description":"Dwa ostatnie posty dotyczy\u0142y ukrywania \u015blad\u00f3w z\u0142o\u015bliwej aktywno\u015bci w \u015brodowisku i pr\u00f3bom zmylenia analityk\u00f3w. Tym razem skupimy si\u0119 na \u015bladach pozwalaj\u0105cych ustali\u0107 to czym zajmowa\u0142 si\u0119 u\u017cytkownik b\u0105d\u017a napastnik. Analiza pow\u0142amaniowa mo\u017ce mie\u0107 bowiem dwa g\u0142\u00f3wne cele. W przypadkach najcz\u0119\u015bciej kojarzonych z threat intelligence b\u0119dziemy starali si\u0119 wykry\u0107 aktywno\u015bci atakuj\u0105cych prowadz\u0105cych […]","og_url":"https:\/\/counterintelligence.pl\/en\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/","og_site_name":"counterintelligence.pl","article_published_time":"2023-03-17T21:52:10+00:00","article_modified_time":"2023-03-17T21:52:12+00:00","og_image":[{"width":485,"height":329,"url":"https:\/\/counterintelligence.pl\/wp-content\/uploads\/2023\/03\/Zrzut-ekranu-2023-03-17-160833.png","type":"image\/png"}],"author":"Kamil Bojarski","twitter_card":"summary_large_image","twitter_creator":"@lawsecnet","twitter_site":"@lawsecnet","twitter_misc":{"Written by":"Kamil Bojarski","Est. reading time":"8 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#article","isPartOf":{"@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/"},"author":{"name":"Kamil Bojarski","@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"headline":"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami","datePublished":"2023-03-17T21:52:10+00:00","dateModified":"2023-03-17T21:52:12+00:00","mainEntityOfPage":{"@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/"},"wordCount":1351,"commentCount":1,"publisher":{"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"image":{"@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/03\/Zrzut-ekranu-2023-03-17-160833.png?fit=485%2C329&ssl=1","keywords":["dfir","espionage","forensics","ntuser.dat","registry"],"articleSection":["DFIR"],"inLanguage":"en-US","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/","url":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/","name":"Register(ing) activity related to documents","isPartOf":{"@id":"https:\/\/counterintelligence.pl\/#website"},"primaryImageOfPage":{"@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#primaryimage"},"image":{"@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/03\/Zrzut-ekranu-2023-03-17-160833.png?fit=485%2C329&ssl=1","datePublished":"2023-03-17T21:52:10+00:00","dateModified":"2023-03-17T21:52:12+00:00","breadcrumb":{"@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/counterintelligence.pl\/2023\/03\/rejestrujac-aktywnosci-zwiazane-z-dokumentami\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/counterintelligence.pl\/"},{"@type":"ListItem","position":2,"name":"Rejestr(uj\u0105c) aktywno\u015bci zwi\u0105zane z dokumentami"}]},{"@type":"WebSite","@id":"https:\/\/counterintelligence.pl\/#website","url":"https:\/\/counterintelligence.pl\/","name":"counterintelligence.pl","description":"Threat Inteliigence \/ OSINT \/ NETSEC \/ NATSEC","publisher":{"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/counterintelligence.pl\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":["Person","Organization"],"@id":"https:\/\/counterintelligence.pl\/#\/schema\/person\/a2bd0e683e8f31df48bd02f45508e8ba","name":"Kamil Bojarski","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","contentUrl":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1","width":1521,"height":721,"caption":"Kamil Bojarski"},"logo":{"@id":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/11\/ci_hor.png?fit=1521%2C721&ssl=1"},"sameAs":["https:\/\/counterintelligence.pl","https:\/\/www.linkedin.com\/in\/kamil-bojarski\/","https:\/\/x.com\/lawsecnet"]}]}},"jetpack_featured_media_url":"https:\/\/i0.wp.com\/counterintelligence.pl\/wp-content\/uploads\/2023\/03\/Zrzut-ekranu-2023-03-17-160833.png?fit=485%2C329&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/1195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/comments?post=1195"}],"version-history":[{"count":20,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/1195\/revisions"}],"predecessor-version":[{"id":1245,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/posts\/1195\/revisions\/1245"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/media\/1241"}],"wp:attachment":[{"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/media?parent=1195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/categories?post=1195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/counterintelligence.pl\/en\/wp-json\/wp\/v2\/tags?post=1195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}