Kiedy przeprowadzamy dochodzenie lub audyt na komputerze jednym z ważnych aspektów jest: wiedzieć, czy podłączono nieautoryzowane urządzenia lub jakich urządzeń użyto, takich jak pendrive, drukarki lub inne urządzenia. Aby wykryć te urządzenia w systemie Windows, użyjemy rejestru systemu Windows, który przechowuje te informacje i pozwoli nam określić, które urządzenia zostały podłączone, informacje o tym, kto, co, gdzie i w jaki sposób wykonywana była aktywność na kontrolowanym komputerze lub też jeśli mamy obraz dysku taki jak ten, który widzieliśmy w samouczku Analizuj obraz dysku za pomocą FTK Imager.
W tym samouczku zobaczymy gdzie i jak znaleźć historię podłączonych urządzeń za pomocą rejestru systemu Windows. Za każdym razem, gdy podłączamy urządzenie przez USB lub inne złącze, to zdarzenie jest zapisywane w rejestrze systemu Windows, dlatego pozostawia ślad i przez to skupimy się na wyszukiwaniu urządzeń pamięci masowej w rejestrze.
Rejestr w systemie Windows różni się nieco w zależności od wersji, ale jeśli zbadamy istotę sprawy, jest on taki sam w przypadku prawie wszystkich wersji systemu Windows i innych systemów operacyjnych. W tym samouczku używamy systemu Windows 7, ogólnie kroki są podobne dla każdej wersji.
Pierwszym krokiem będzie otwórz RegeditMożemy to zrobić z menu Windows z opcją Uruchom lub w polu wyszukiwania wpisujemy redegit.
Następnie naciskamy w porządku i otworzy się Edytor rejestru systemu Windows, w którym zobaczymy, że klucze rejestru są folderami w drzewie kluczy, zawierają oprócz wartości, które są danymi, każdy klucz może zawierać podklucze.
Zawartość kluczyHKEY_CLASSES_ROOTTen klucz zawiera informacje o zarejestrowanych aplikacjach, takich jak skojarzenia plików, aby określić, z jaką aplikacją to rozszerzenie jest używane domyślnie np. * .html domyślnie Firefox, * .txt domyślnie Wordpad, tam możemy zmienić oprogramowanie za pomocą którego się otwiera lub uruchamia się domyślnie dla każdego rozszerzenia pliku.
HKEY_USERSZawiera informacje odpowiadające profilowi użytkowników, którzy są zalogowani lub aktywni na komputerze, system jest również użytkownikiem (domyślny), choć działa automatycznie, pozostawia również ślady.
HKEY_LOCAL_MACHINEZawiera informacje o sprzęcie zainstalowanym w komputerze, większość informacji jest przechowywana w pamięci RAM i zapisuje tylko niektóre ślady w rejestrze, dlatego informacje w tym kluczu są ulotne i są odbudowywane przy każdym ponownym uruchomieniu komputera.
HKEY_CURRENT_USERW tym kluczu przechowywane są informacje i ustawienia zalogowanego użytkownika, czyli bieżącego użytkownika.
W celu znajdź ślad urządzeń pamięci masowej USB, musimy przeszukać rejestr w następującym kluczu:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBDwa podklucze ControlSet001, ControlSet002 jest to kopia, która jest wykonywana, gdy komputer pomyślnie uruchomi się, ten zestaw kontrolny pozwala określić, który był ostatnim uruchomieniem bez problemów lub ostatnią znaną dobrą konfiguracją. W tym kluczu znajdziemy dowody na jakiekolwiek urządzenie pamięci masowej USB, które zostało podłączone do tego systemu. Na przykład w kluczu USB znajdujemy kilka podkluczy urządzeń i widzimy, że jeden z nich odpowiada telefonowi komórkowemu Motorola XT1040, który został podłączony w pewnym momencie przez USB.
POWIĘKSZAĆ
Analizując inny podklucz widzimy, że skaner Lexmark X1100 Series został podłączony, to urządzenie jest drukarką wielofunkcyjną, ale rejestr wskazuje, że użyto usługi usbscan, a nie usbprint.
POWIĘKSZAĆ
Za pomocą klucza USB zobaczymy historię urządzeń, które nie są już podłączone. Aby zobaczyć lub przechwycić podłączone urządzenia, musimy spojrzeć na podklucz:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
POWIĘKSZAĆ
W tym przypadku widzimy podłączony do komputera pendrive Kingston, jeśli urządzenie zostanie usunięte, podklucz pozostanie zarejestrowany w USBSTOR do momentu wyłączenia komputera, ale zapis pozostanie w podkluczu USB.
Wyszukaj urządzenia, które zostały zamontowane w systemie.
Jeśli użytkownik korzysta z dowolnego urządzenia sprzętowego, które musi być zamontowane, takiego jak zewnętrzny odtwarzacz DVD, zewnętrzny dysk twardy, pamięć flash, rejestr pozostawi ślad zamontowanego urządzenia. Informacje te są przechowywane w podkluczu:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesPoniżej widzimy listę wszystkich urządzeń, które zostały zamontowane lub są zamontowane na komputerze, napędy C:D: i F:. Jeśli klikniemy dwukrotnie na napęd D, zobaczymy, że jest to CD ROM podłączony z VirtualBoxa, a jeśli zrobimy to samo z napędem F, zobaczymy, że jest to pendrive, który był kiedyś podłączony.
Jeśli nie możemy określić, które to urządzenie, możemy powiązać urządzenia klucza MountDevices, patrząc na klucz w formacie binarnym, a następnie ten unikalny identyfikator, którego szukamy w innych podjaskiniach. Jednym z narzędzi, z którego możemy skorzystać, jest USBViewer, który jest prostym i przenośnym narzędziem, które oferuje możliwość przeglądania informacji o urządzeniach USB, które obecnie i wcześniej były podłączone do komputera.
POWIĘKSZAĆ
Rejestr Windows pozwala zachować historię zdarzeń o tym, co wydarzyło się w systemie Windows przy użyciu różnych technik i procedur, możemy zrekonstruować fakty i określić elementy, które zostały użyte.
