Atunci când efectuăm investigații sau un audit pe un computer, unul dintre aspectele importante este să știți dacă au fost conectate dispozitive neautorizate sau ce dispozitive au fost utilizate, cum ar fi pen drive-uri, imprimante sau alte dispozitive. Pentru a detecta aceste dispozitive în Windows vom folosi registrul Windows care stochează aceste informații și ne va permite să stabilim care conține dispozitive au fost conectate, informații despre cine, ce, unde și cum s-a desfășurat activitatea pe computerul pe care îl audităm sau, de asemenea, dacă avem o imagine de disc ca cele pe care le-am văzut în tutorialul Analizați imaginea de disc cu FTK Imager.
În acest tutorial vom vedea unde și cum să găsiți istoricul dispozitivelor conectate utilizând registrul Windows. De fiecare dată când conectăm un dispozitiv prin USB sau alt conector, acest eveniment este stocat în registrul Windows, prin urmare, lasă o urmă și ne vom concentra pe căutarea dispozitivelor de stocare în registru.
Registrul dintr-un sistem Windows variază puțin de la o versiune la alta, dar dacă investigăm esența, este la fel cu aproape toate versiunile de Windows și alte sisteme de operare. Pentru acest tutorial folosim Windows 7, în general pașii sunt similari pentru orice versiune.
Primul pas va fi deschide RegeditO putem face din meniul Windows cu opțiunea Run sau în caseta de căutare scriem redegit.
Apoi apăsăm Bine iar Windows Registry Editor se va deschide, unde vom vedea cheile de registry sunt foldere într-un arbore de chei, acestea conțin pe lângă valorile care sunt date, fiecare cheie poate conține subchei.
Conținutul cheilorHKEY_CLASSES_ROOTAceastă cheie conține informații despre aplicațiile înregistrate, cum ar fi asociațiile de fișiere, pentru a determina cu ce aplicație este utilizată această extensie în mod implicit exemplu * .html în mod implicit Firefox, * .txt în mod implicit Wordpad, acolo putem schimba software-ul cu care se deschide sau rulează implicit pentru fiecare extensie de fișier.
HKEY_USERSConține informații corespunzătoare profilului utilizatorilor conectați sau activi pe computer, sistemul este și utilizator (implicit), deși funcționează automat, lasă și urme.
HKEY_LOCAL_MACHINEConține informații despre hardware-ul instalat în computer, majoritatea informațiilor sunt stocate în memoria RAM și salvează doar câteva urme în registru, prin urmare informațiile din această cheie sunt volatile și sunt reconstruite de fiecare dată când computerul este repornit.
HKEY_CURRENT_USERAceastă cheie stochează informațiile și setările utilizatorului care s-a conectat, adică al utilizatorului curent.
La găsiți urmele dispozitivelor de stocare USB, trebuie să căutăm în registru în următoarea cheie:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBCele două subchei ControlSet001, ControlSet002 este o copie care se face atunci când computerul realizează o pornire reușită, acest set de control este ceea ce permite să se determine care a fost ultima pornire fără probleme sau ultima configurație bună cunoscută. În această cheie, vom găsi dovezi ale oricărui dispozitiv de stocare USB care a fost conectat la acest sistem. De exemplu, în cadrul cheii USB găsim mai multe subchei de dispozitive și putem vedea că una dintre ele corespunde unui telefon mobil Motorola XT1040 care a fost conectat la un moment dat prin USB.
MARI
Analizând o altă subcheie, vedem că a fost conectat un scaner Lexmark X1100 Series, acest dispozitiv este o imprimantă multifuncțională, dar registrul indică faptul că a fost utilizat serviciul usbscan și nu usbprint.
MARI
Cu cheia USB vom vedea un istoric al dispozitivelor care nu mai sunt conectate. Pentru a vedea sau captura dispozitivele conectate, trebuie să ne uităm la subcheia:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
MARI
În acest caz, putem vedea un pendrive Kingston conectat la computer, dacă dispozitivul este eliminat, subcheia va rămâne înregistrată în USBSTOR până când computerul este oprit, dar o înregistrare va rămâne în subcheia USB.
Căutați dispozitive care au fost montate pe sistem.
Dacă un utilizator folosește orice dispozitiv hardware care trebuie montat, cum ar fi DVD player extern, hard disk extern, memorie flash, registrul va lăsa o urmă a dispozitivului montat. Aceste informații sunt stocate în subcheia:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesPutem vedea mai jos, o listă cu toate dispozitivele care au fost montate sau sunt montate pe computer, unitățile C: D: și F :. Dacă facem dublu clic pe unitatea D, vom vedea că este un CD ROM conectat din VirtualBox și dacă facem același lucru cu unitatea F vom vedea că este pendrive-ul Kingston care a fost conectat la un moment dat.
Dacă nu putem stabili ce dispozitiv este, putem raporta dispozitivele cheii MountDevices privind cheia în binar și apoi acel ID unic îl căutăm în celelalte sublocuri. Un instrument pe care îl putem utiliza este USBViewer, care este un instrument simplu și portabil care oferă posibilitatea de a vizualiza informații despre dispozitivele USB care au fost conectate în prezent și anterior la computer.
MARI
Registrul Windows permite păstrarea unui istoric al evenimentelor despre ceea ce s-a întâmplat într-un sistem Windows folosind diferite tehnici și proceduri, putem reconstitui faptele și determina elementele care au fost utilizate.
