Wanneer we onderzoeken of een audit uitvoeren op een computer is een van de belangrijke aspecten: weten of niet-geautoriseerde apparaten zijn aangesloten of welke apparaten zijn gebruikt, zoals pendrives, printers of andere apparaten. Om deze apparaten in Windows te detecteren, gebruiken we het Windows-register waarin deze informatie is opgeslagen en waarmee we kunnen bepalen welke apparaten zijn aangesloten, informatie over wie, wat, waar en hoe de activiteit is uitgevoerd op de computer die we controleren of ook als we een schijfkopie hebben zoals die we hebben gezien in de zelfstudie Schijfkopie analyseren met FTK Imager.
In deze tutorial zullen we zien waar en hoe de geschiedenis van aangesloten apparaten te vinden met behulp van het Windows-register. Elke keer dat we een apparaat aansluiten via USB of een andere connector, wordt deze gebeurtenis opgeslagen in het Windows-register, daarom laat het een spoor achter en gaan we ons concentreren op het zoeken naar opslagapparaten binnen het register.
Het register in een Windows-systeem varieert een beetje van de ene versie tot de andere, maar als we de essentie onderzoeken, is het hetzelfde met bijna alle versies van Windows en andere besturingssystemen. Voor deze tutorial gebruiken we Windows 7, over het algemeen zijn de stappen voor elke versie vergelijkbaar.
De eerste stap zal zijn open RegeditWe kunnen het doen vanuit het Windows-menu met de optie Uitvoeren of in het zoekvak schrijven we redegit.
Dan drukken we op Oke en de Windows Register-editor wordt geopend, waar we zullen zien dat de registersleutels mappen in een sleutelboom zijn, ze bevatten naast de waarden die gegevens zijn, elke sleutel subsleutels kan bevatten.
Toetsen inhoudHKEY_CLASSES_ROOTDeze sleutel bevat informatie over geregistreerde applicaties, zoals bestandsassociaties, om te bepalen met welke applicatie deze extensie standaard wordt gebruikt voorbeeld * .html standaard Firefox, * .txt standaard Wordpad, daar kunnen we de software wijzigen waarmee deze wordt geopend of wordt standaard uitgevoerd voor elke bestandsextensie.
HKEY_USERSHet bevat informatie die overeenkomt met het profiel van gebruikers die zijn ingelogd of actief zijn op de computer, het systeem is ook een gebruiker (standaard), hoewel het automatisch werkt, laat het ook sporen achter.
HKEY_LOCAL_MACHINEHet bevat informatie over de hardware die in de computer is geïnstalleerd, de meeste informatie wordt opgeslagen in het RAM-geheugen en slaat slechts enkele sporen op in het register, daarom is de informatie in deze sleutel vluchtig en wordt deze opnieuw opgebouwd telkens wanneer de computer opnieuw wordt opgestart.
HKEY_CURRENT_USERDeze sleutel slaat informatie en instellingen op van de gebruiker die zich heeft aangemeld, dat wil zeggen de huidige gebruiker.
Tot vind sporen van USB-opslagapparaten, moeten we in het register zoeken op de volgende sleutel:
HK_LOCAL_MACHINE \ Systeem \ ControlSet001 \ Enum \ USBDe twee subsleutels ControleSet001, Controleset002 het is een kopie die wordt gemaakt wanneer de computer succesvol opstart, deze controleset is wat het mogelijk maakt om te bepalen welke de laatste keer opstartte zonder problemen of de laatst bekende goede configuratie. In deze sleutel vinden we bewijs van elk USB-opslagapparaat dat op dit systeem is aangesloten. Binnen de USB-sleutel vinden we bijvoorbeeld verschillende subsleutels van apparaten en we kunnen zien dat een ervan overeenkomt met een Motorola XT1040 mobiele telefoon die ergens via USB is aangesloten.
VERGROTEN
Als we een andere subsleutel analyseren, zien we dat er een Lexmark X1100 Series-scanner is aangesloten, dit apparaat is een multifunctionele printer, maar het register geeft aan dat de usbscan-service is gebruikt en niet usbprint.
VERGROTEN
Met de USB-stick zien we een geschiedenis van apparaten die niet meer zijn aangesloten. Om de aangesloten apparaten te zien of vast te leggen, moeten we naar de subsleutel kijken:
HK_LOCAL_MACHINE \ Systeem \ ControlSet001 \ Enum \ USBSTOR
VERGROTEN
In dit geval kunnen we een Kingston-pendrive zien die op de computer is aangesloten. Als het apparaat wordt verwijderd, blijft de subsleutel geregistreerd in USBSTOR totdat de computer wordt uitgeschakeld, maar blijft er een record achter in de USB-subsleutel.
Zoek naar apparaten die op het systeem zijn gemonteerd.
Als een gebruiker een hardwareapparaat gebruikt dat moet worden gekoppeld, zoals een externe dvd-speler, externe harde schijf, flashgeheugen, laat het register een spoor achter van het gekoppelde apparaat. Deze informatie wordt opgeslagen in de subsleutel:
HKEY_LOCAL_MACHINE \ Systeem \ Gemonteerde apparatenWe kunnen hieronder een lijst zien van alle apparaten die op de computer zijn of zijn gemonteerd, de C: D: en F: schijven. Als we dubbelklikken op station D, zullen we zien dat het een cd-rom is die is aangesloten vanaf VirtualBox en als we hetzelfde doen met station F, zullen we zien dat het de kingston-pendrive is die ooit is aangesloten.
Als we niet kunnen bepalen welk apparaat het is, kunnen we de apparaten van de MountDevices-sleutel relateren door naar de sleutel in binair getal te kijken en dan die unieke id die we zoeken in de andere sublcaves. Een hulpmiddel dat we kunnen gebruiken, is USBViewer, een eenvoudig en draagbaar hulpmiddel dat de mogelijkheid biedt om informatie te bekijken over de USB-apparaten die momenteel en eerder op de computer zijn aangesloten.
VERGROTEN
Het Windows-register maakt het mogelijk om een geschiedenis van gebeurtenissen bij te houden over wat er in een Windows-systeem is gebeurd met behulp van verschillende technieken en procedures, we kunnen de feiten reconstrueren en bepalen welke elementen zijn gebruikt.
