Wenn wir Untersuchungen oder Audits am Computer durchführen, ist einer der wichtigsten Aspekte wissen, ob nicht autorisierte Geräte angeschlossen oder welche Geräte verwendet wurden, wie USB-Sticks, Drucker oder andere Geräte. Um diese Geräte in Windows zu erkennen, verwenden wir die Windows-Registrierung, die diese Informationen speichert und es uns ermöglicht, festzustellen, welche Geräte angeschlossen waren, Informationen darüber, wer, was, wo und wie die Aktivität auf dem von uns überwachten Computer ausgeführt wurde oder auch, wenn wir ein Disk-Image haben, wie wir es im Tutorial Disk Image mit FTK Imager analysieren gesehen haben.
In diesem Tutorial werden wir sehen wo und wie Sie den Verlauf der verbundenen Geräte mithilfe der Windows-Registrierung finden. Jedes Mal, wenn wir ein Gerät über USB oder einen anderen Anschluss anschließen, wird dieses Ereignis in der Windows-Registrierung gespeichert, daher hinterlässt es eine Spur und wir konzentrieren uns auf die Suche nach Speichergeräten in der Registrierung.
Die Registrierung in einem Windows-System variiert ein wenig von einer Version zur anderen, aber wenn wir das Wesentliche untersuchen, ist es bei fast allen Versionen von Windows und anderen Betriebssystemen gleich. Für dieses Tutorial verwenden wir Windows 7, im Allgemeinen sind die Schritte für jede Version ähnlich.
Der erste Schritt wird sein Regedit öffnenWir können dies über das Windows-Menü mit der Option Ausführen tun oder in das Suchfeld schreiben wir redegit.
Dann drücken wir Okay und der Windows-Registrierungs-Editor wird geöffnet, in dem wir sehen, dass die Registrierungsschlüssel Ordner in einem Schlüsselbaum sind. Sie enthalten zusätzlich zu den Werten, die Daten sind, jeder Schlüssel kann Unterschlüssel enthalten.
SchlüsselinhaltHKEY_CLASSES_ROOTDieser Schlüssel enthält Informationen über registrierte Anwendungen, wie Dateizuordnungen, um zu bestimmen, mit welcher Anwendung diese Erweiterung standardmäßig verwendet wird Beispiel * .html standardmäßig Firefox, * .txt standardmäßig Wordpad, dort können wir die Software ändern, mit der es geöffnet wird oder wird standardmäßig für jede Dateierweiterung ausgeführt.
HKEY_USERSEs enthält Informationen, die dem Profil von Benutzern entsprechen, die am Computer angemeldet oder aktiv sind, das System ist auch ein Benutzer (Standard), obwohl es automatisch funktioniert, es hinterlässt auch Spuren.
HKEY_LOCAL_MACHINEEs enthält Informationen über die im Computer installierte Hardware, die meisten Informationen werden im RAM-Speicher gespeichert und speichert nur einige Spuren in der Registrierung, daher sind die Informationen in diesem Schlüssel flüchtig und werden bei jedem Neustart des Computers neu erstellt.
HKEY_CURRENT_USERDieser Schlüssel speichert Informationen und Einstellungen des angemeldeten Benutzers, also des aktuellen Benutzers.
Zu Spuren von USB-Speichergeräten finden, müssen wir in der Registrierung nach dem folgenden Schlüssel suchen:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBDie beiden Unterschlüssel ControlSet001, ControlSet002 Es handelt sich um eine Kopie, die erstellt wird, wenn der Computer einen erfolgreichen Startvorgang erzielt. Dieser Kontrollsatz ermöglicht es, festzustellen, welcher der letzte Bootvorgang ohne Probleme oder die letzte als funktionierend bekannte Konfiguration war. In diesem Schlüssel finden wir Beweise für jedes USB-Speichergerät, das an dieses System angeschlossen wurde. Zum Beispiel finden wir innerhalb des USB-Schlüssels mehrere Unterschlüssel von Geräten und wir können sehen, dass einer von ihnen einem Motorola XT1040-Mobiltelefon entspricht, das wurde irgendwann über USB angeschlossen.
VERGRÖSSERN
Bei der Analyse eines anderen Unterschlüssels sehen wir, dass ein Scanner der Lexmark X1100-Serie angeschlossen wurde. Dieses Gerät ist ein Multifunktionsdrucker, aber die Registrierung zeigt an, dass der usbscan-Dienst verwendet wurde und nicht usbprint.
VERGRÖSSERN
Mit dem USB-Stick sehen wir einen Verlauf der Geräte, die nicht mehr verbunden sind. Um die angeschlossenen Geräte anzuzeigen oder zu erfassen, müssen wir uns den Unterschlüssel ansehen:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
VERGRÖSSERN
In diesem Fall sehen wir einen an den Computer angeschlossenen Kingston-Stick. Wenn das Gerät entfernt wird, bleibt der Unterschlüssel in USBSTOR registriert, bis der Computer ausgeschaltet wird, aber ein Datensatz verbleibt im USB-Unterschlüssel.
Suchen Sie nach Geräten, die auf dem System bereitgestellt wurden.
Wenn ein Benutzer ein Hardwaregerät verwendet, das gemountet werden muss, wie z. B. ein externer DVD-Player, eine externe Festplatte oder ein Flash-Speicher, hinterlässt die Registrierung eine Spur des gemounteten Geräts. Diese Informationen werden im Unterschlüssel gespeichert:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesUnten sehen Sie eine Liste aller Geräte, die auf dem Computer gemountet wurden oder sind, die Laufwerke C: D: und F:. Wenn wir auf Laufwerk D doppelklicken, sehen wir, dass es sich um eine von VirtualBox verbundene CD-ROM handelt, und wenn wir dasselbe mit Laufwerk F tun, sehen wir, dass es sich um den Kingston-Stick handelt, der irgendwann angeschlossen wurde.
Wenn wir nicht feststellen können, um welches Gerät es sich handelt, können wir die Geräte des MountDevices-Schlüssels in Beziehung setzen, indem wir den Schlüssel im Binärformat betrachten und dann diese eindeutige ID in den anderen Sublcaves suchen. Ein Tool, das wir verwenden können, ist USBViewer, ein einfaches und tragbares Tool, das die Möglichkeit bietet, Informationen zu den USB-Geräten anzuzeigen, die derzeit und zuvor an den Computer angeschlossen wurden.
VERGRÖSSERN
Die Windows-Registrierung ermöglicht es, mithilfe verschiedener Techniken und Verfahren einen Verlauf der Ereignisse zu führen, die in einem Windows-System passiert sind, wir können die Fakten rekonstruieren und die verwendeten Elemente bestimmen.