#lolbas #anti_forensics #wer 🔵 Сегодня мы рассмотрим один из контр-криминалистических методов — использование нативной утилиты wermgr.exe ОС Windows для удаления WER-файлов. Данный исполняемый файл связан со службой Windows Error Reporting (WER), которая отвечает за сбор и отправку отладочной информации о сбоях как системных, так и сторонних приложений в Windows. Например, при падении приложения будет сгенерирован отчёт Report.wer. Он полезен DFIR-специалисту, поскольку содержит информацию о: 🔹возникшей ошибке; 🔹полном пути к исполняемому файлу; 🔹подгружаемых DLL; 🔹SHA-1 хеше исполняемого файла (начиная с ОС Windows 10). 🔴 С помощью параметра -purgestores происходит удаление данных из следующих каталогов (см. скриншоты из Process Monitor от Sysinternals, приложенные к данному посту): ️⃣%ProgramData%\Microsoft\Windows\WER\ReportArchive; ️⃣%ProgramData%\Microsoft\Windows\WER\ReportQueue; *️⃣%ProgramData%\Microsoft\Windows\WER\Temp. Команда: wermgr.exe -purgestores 🔵 При создании детектирующего правила следует учитывать наличие параметра -purgestores в командной строке процесса wermgr.exe. 🔵 Тесты проводились на ОС Windows 10 (21H2), а запуск команды осуществлялся под привилегированной учётной записью.