Když provádíme vyšetřování nebo audit na počítači, je jedním z důležitých aspektů vědět, zda byla připojena neoprávněná zařízení nebo která zařízení byla použita, jako jsou jednotky pera, tiskárny nebo jiná zařízení. K detekci těchto zařízení ve Windows použijeme registr Windows, který tyto informace ukládá a umožní nám určit, která zařízení byla připojena, informace o tom, kdo, co, kde a jak byla aktivita provedena na počítači, který auditujeme nebo také pokud máme obraz disku, jako jsme viděli v tutoriálu Analyzovat obraz disku pomocí FTK Imager.
V tomto tutoriálu uvidíme kde a jak najít historii připojených zařízení pomocí registru Windows. Pokaždé, když připojíme zařízení přes USB nebo jiný konektor, je tato událost uložena v registru systému Windows, takže zanechá stopu a prostřednictvím ní se zaměříme na hledání úložných zařízení v registru.
Registr v systému Windows se od jedné verze k druhé trochu liší, ale pokud prozkoumáme podstatu, je stejný téměř u všech verzí systému Windows a dalších operačních systémů. Pro tento tutoriál používáme Windows 7, obecně jsou kroky podobné pro jakoukoli verzi.
První krok bude otevřete RegeditMůžeme to udělat z nabídky Windows volbou Spustit nebo do vyhledávacího pole napíšeme redegit.
Poté stiskneme dobře a otevře se Editor registru Windows, kde uvidíme, že klíče registru jsou složky ve stromu klíčů, obsahují kromě hodnot, které jsou data, každý klíč může obsahovat podklíče.
Obsah klíčůHKEY_CLASSES_ROOTTento klíč obsahuje informace o registrovaných aplikacích, jako jsou asociace souborů, k určení, s jakou aplikací se toto rozšíření ve výchozím nastavení používá * .html ve výchozím nastavení Firefox, * .txt ve výchozím nastavení Wordpad, tam můžeme změnit software, pomocí kterého se otevírá nebo ve výchozím nastavení běží pro každou příponu souboru.
HKEY_USERSObsahuje informace odpovídající profilu uživatelů, kteří jsou přihlášeni nebo aktivní na počítači, systém je také uživatelem (Výchozí), přestože funguje automaticky, zanechává také stopy.
HKEY_LOCAL_MACHINEObsahuje informace o hardwaru nainstalovaném v počítači, většina informací je uložena v paměti RAM a do registru ukládá pouze některé stopy, proto jsou informace v tomto klíči nestálé a jsou obnovovány při každém restartu počítače.
HKEY_CURRENT_USERTento klíč ukládá informace a nastavení uživatele, který je přihlášen, tj. Aktuálního uživatele.
Na najít stopu paměťových zařízení USB, musíme v registru hledat v následujícím klíči:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBDva podklíče ControlSet001, ControlSet002 je to kopie, která je vytvořena, když počítač dosáhne úspěšného spuštění, tato sada ovládacích prvků umožňuje určit, které bylo poslední spuštění bez problémů nebo poslední známá dobrá konfigurace. V tomto klíči najdeme důkazy o jakémkoli paměťovém zařízení USB, které bylo připojeno k tomuto systému. Například v klíči USB najdeme několik podklíčů zařízení a vidíme, že jedno z nich odpovídá mobilnímu telefonu Motorola XT1040, který bylo v určitém okamžiku připojeno přes USB.
ZVĚTŠIT
Při analýze dalšího podklíče vidíme, že byl připojen skener Lexmark X1100 Series, toto zařízení je multifunkční tiskárna, ale registr uvádí, že byla použita služba usbscan, a nikoli usbprint.
ZVĚTŠIT
S USB klíčem uvidíme historii zařízení, která již nejsou připojena. Chcete -li zobrazit nebo zachytit připojená zařízení, musíme se podívat na podklíč:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
ZVĚTŠIT
V tomto případě můžeme vidět pendrive Kingston připojený k počítači, pokud je zařízení odebráno, podklíč zůstane zaregistrován v USBSTOR, dokud se počítač nevypne, ale záznam zůstane v podklíči USB.
Vyhledejte zařízení, která byla připojena k systému.
Pokud uživatel používá jakékoli hardwarové zařízení, které musí být připojeno, jako je externí DVD přehrávač, externí pevný disk, flash paměť, registr zanechá stopu připojeného zařízení. Tyto informace jsou uloženy v podklíči:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesNíže vidíme seznam všech zařízení, která byla připojena nebo jsou připojena k počítači, jednotky C: D: a F:. Pokud dvakrát klikneme na jednotku D, uvidíme, že se jedná o disk CD ROM připojený z VirtualBoxu, a pokud uděláme totéž s jednotkou F, uvidíme, že se v určitém čase připojil pendrive kingston.
Pokud nemůžeme určit, o které zařízení se jedná, můžeme spojit zařízení klíče MountDevices s pohledem na klíč v binárním čísle a poté s tímto jedinečným ID jej vyhledáme v ostatních subkavárnách. Jedním z nástrojů, který můžeme použít, je USBViewer, což je jednoduchý a přenosný nástroj, který nabízí možnost prohlížení informací o zařízeních USB, která byla aktuálně a dříve připojena k počítači.
ZVĚTŠIT
Registr Windows umožňuje uchovávat historii událostí o tom, co se stalo v systému Windows pomocí různých technik a postupů, můžeme rekonstruovat fakta a určit prvky, které byly použity.
