Chiavi di registro fornite
Queste sono solo le chiavi del Registro di sistema, per aggiungere ulteriori analisi è necessario anche i nomi dei valori. La prima chiave è relativa al driver video Intel. Il secondo è una rete correlata a LAN Manager. Il terzo è relativo a Windows Firewall / Condivisione connessione Internet. Il quarto è in effetti un hook di Windows Genuine Advantage.
Nessuna di queste chiavi di registro indica un'intrusione autonoma. Tuttavia, vorrei verificare se un utente ha modificato queste aree o se le modifiche sono in correlazione con i Criteri di gruppo o gli aggiornamenti Microsoft distribuiti.
Suggerirei che le modifiche al proprio ambiente (come patch, software e criteri di gruppo) dovrebbero essere testate su un PC di controllo in modo da poter eliminare rapidamente i falsi positivi. Questo ti aiuterà a capire meglio il registro di Windows.
Le chiavi del Registro di sistema in genere ad alto rischio sono:
- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ *
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ * in particolare PendingFileRenameOperations
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opzioni di esecuzione file di immagine
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *
- HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ *
- HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ *
Risorse
I suggerimenti di Mark sono buoni. Sans.org ha un sacco di grandi risorse. Personalmente userò solo un motore di ricerca come Google o Bing per cercare la chiave / il valore del registro. La maggior parte delle chiavi di registro Microsoft standard sono abbastanza ben documentate con spiegazioni.
Guarderei anche i rapporti sui malware di tutti i principali fornitori. Esistono generalmente schemi comuni in cui il malware rilascia le chiavi del Registro di sistema, ad es. link
Spero che questo aiuti.