Mountpoints2: Алгоритм упорядочения логических томов в среде ОС Windows, часть 2 / Хабр

1. Деинсталлируйте Malwarebytes.

2.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

MountPoints2 от MountPoints2 — стоит ли его очищать?

Что такое MountPoints2?

Читать далее от MountPoints2

Обзор

MountPoints2 публикуется MountPoints2. Вы можете узнать больше о MountPoints2 на его официальном сайте. или на веб-сайте MountPoints2.

Как очистить MountPoints2?

MountPoints2 может хранить лишние временные данные на вашем компьютере, которые могут занимать ценное место. Он также может хранить личные данные, такие как пароли или историю просмотров, в реестре или в файловой системе. Самый простой способ стереть эти данные — скачать AppCleaner, он на 100% бесплатный и весит около 1 МБ. Портативная версия также доступна.

Очистить MountPoints2
с помощью AppCleaner

Если вы хотите очистить MountPoints2 вручную, вы можете выполнить шаги, описанные ниже. MountPoints2 хранит личные данные в одном ключе реестра.

Регистратура

Предупреждение: Будьте очень осторожны при редактировании реестра вручную. Если вы неправильно измените реестр, ваша система может перестать работать должным образом.

Чтобы очистить реестр от данных, сохраненных MountPoints2, вы можете использовать редактор реестра Microsoft (regedit.exe), который устанавливается по умолчанию во всех операционных системах Windows. Прежде всего, откройте regedit.exe, выполнив следующие действия:

• Нажмите клавишу Windows , обычно расположенную в левом нижнем углу клавиатуры между Ctrl и Alt клавиши.
• Windows XP/Vista/7: Нажмите Выполнить…
• Введите regedit.exe
• Нажмите Введите

Теперь используйте regedit. exe для удаления ключа реестра:

1. • Разверните HKEY_CURRENT_USER из корня дерева на левой панели.
   • Развернуть Программное обеспечение .
   • Развернуть Microsoft .
   • Развернуть Windows .
   • Развернуть Текущая Версия .
   • Развернуть Проводник .
   • Щелкните правой кнопкой мыши MountPoints2 .
   • Выберите Удалить из контекстного меню.
   • Щелкните Да .

Исследование USB-накопителей с использованием точек монтирования, а не букв дисков | Али Хади

Исследование USB-накопителей с использованием точек монтирования, а не букв дисков

Да, один из моих студентов задал еще один отличный вопрос:
Если пользователь монтирует том в точку монтирования, какие артефакты мы можем найти для него? USB?

Начиная с Windows 8.1 или 10, пользователь мог смонтировать том в пустой каталог. Это означает, что USB может быть подключен к каталогу, а затем пользователь получает доступ к содержимому тома, используя этот каталог. В прошлом эта функция была доступна только в операционных системах POSIX, таких как Linux. Сценарий, который я буду использовать для этого эксперимента, заключается в том, что пользователь монтирует том (USB) в каталог, а также удаляет букву диска. Я буду использовать C:\Mountpoint в качестве точки монтирования для USB.

Примечания, прежде чем продолжить чтение:
1. Этот пост не охватывает все артефакты USB (ключи реестра, значения реестра, события и т. д.), а только те, которые необходимы для ответа на вопрос выше
2. Эксперимент в этом сообщение было повторено три раза, и все они привели к тем же результатам, которые вы найдете ниже:

ЧАСТЬ № 1 — НАСТРОЙКА
Во-первых, как мы видим на рисунке 1.1, USB-диск с маркировкой FOR340USB имеет букву диска E:, поэтому давайте удалим это.

Рисунок 1.1 – Доступные приводы

Теперь добавим точку монтирования, как показано на рисунке 1.2.

Рисунок 1.2. Добавление точки подключения к диску

Удалите букву диска, как показано на рисунке 1. 3.

Рисунок 1.3 – Удаление буквы диска

Просто проверка! На панели задач Windows убедитесь, что диск больше не виден там, как показано на рисунке 1.4.

Рисунок 1.4 – USB-накопитель не отображается на панели задач

Если вы не читали мой предыдущий пост о том, какие артефакты вы найдете или где их найти, когда мы удалим букву диска? Пожалуйста, проверьте мой предыдущий пост под названием «Нет буквы диска, нет USB-доказательства? Подумайте еще раз!».

ЧАСТЬ № 1 — СИСТЕМНЫЙ КУЛЬТ
Запустив Registry Explorer и выполнив быструю проверку USBSTOR, как показано на рисунке 2.1, и MountedDevices, как показано на рисунке 2.2, мы можем найти следующее:

Рисунок 2.1 — USBSTOR Ключи

Рисунок 2.2. Ключи и значения MountedDevices

19

6D&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

Разбивка:
1. Тип: Диск , Поставщик: Kingston , Продукт: DataTraveler_3. 0 и, наконец, Версия: PMAP 900 18 2. Серийный номер: 5404A6F4E0A1E2719

6D &0#
3 GUID диска: 53f56307-b6bf-11d0-94f2-00a0c91efb8b

  точка подключения  а не имя, как мы видели в предыдущем анализе!

Рисунок 2.3. Ключи и значения WPDBusEnum

Наконец, поскольку мы все еще изучаем куст SYSTEM, давайте также проверим наличие исполняемых файлов на диске, проверив AppCompatCache, как показано на рисунке 2.4 (с быстрым фильтром точки монтирования).

Рисунок 2.4. Ключи и значения MountedDevices

ЧАСТЬ № 2. ПРОГРАММНЫЙ КУЛЬТ
0175 FriendlyName , которое является точкой подключения , а не именем.

Рисунок 3.1. Ключи и значения Windows Portable Devices

Осталось немного, давайте перейдем к последней интересной части 🙂

ЧАСТЬ №3 — NTUSER HIVE
Теперь нам нужно проверить, какой пользователь настроил эту точку монтирования , поэтому мы будем загружать куст NTUSER и сначала перейдем к ключу MountPoints2, мы все еще можем видеть GUID тома, но на этот раз мы находим интересную вещь: это ключ под CPC с именем  LocalMOF  со значением a, указывающим на нашу точку монтирования, как показано на рисунке 4. 1.

Рисунок 4.1. Ключи и значения LocalMOF

Полный путь: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\LocalMOF что-то из этой точки монтирования (USB Водить машину)? Хорошо, давайте проверим ключи и значения UserAssist. Сделав это с помощью быстрого фильтра, как показано на рисунке 4.2, мы можем увидеть, что пользователь запустил 3 программы из этого места: procexp64.exe, a.exe и DCode.exe, а подробности на том же рисунке 4.2. 9Рис. 4.2. Значения UserAssist Да, здесь я имею в виду ключи реестра AppCompatFlags . У Харлана Карви есть плагин « appcompatflags » для этих ключей, и вы можете узнать больше о них из поста Кори Харрелла здесь. После использования плагина с RegRipper мы можем увидеть еще несколько записей, связанных с этой точкой монтирования USB-накопителя нашего пользователя.
, как показано на рисунке 4.3.


Рисунок 4.3 - Значения Appcompatflags

, и это то, что для этого поста…

РЕЗЮМЕ
Итак, мы могли ответить на вопрос в начале блога, и вот краткое изложение выводов:
1. Система
ControlSet001\Enum\SWD\WPDBUSENUM\\
– ContainerID
– FriendlyName
ControlSet001\Control\Session Manager\AppCompatCache

2. SOFTWARE Hive
90 154 Microsoft\Windows Portable Devices\Devices\SWD#WPDBUSENUM#_ ??_USBSTOR#\\

3. NTUSER Hive
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\LocalMOF
— точка монтирования
Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlag s\Compatibility Assistant\Store
— Значения к используемым исполняемым файлам
Другие, не упомянутые в этом посте, но в предыдущем посте:
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

Полезные ресурсы:
— укажите путь к папке точки подключения для диска, URL.
 – подключаемый модуль AppCompatFlags Харлана Карви, URL.