Podstawy informatyki śledczej

Analizę rejestru systemu Windows można przeprowadzić za pomocą oprogramowania kryminalistycznego, takiego jak AccessData Registry Viewer, narzędzia Erica Zimmermana, RegRipper lub nawet innego oprogramowania zdolnego do wyodrębnienia danych z tych plików rejestru.

Ze względu na złożoność rejestru systemu Windows, identyfikacja lokalizacji każdego istotnego fragmentu informacji może być zniechęcającym zadaniem, jednak skorzystaliśmy z pomocy SANS FOR500 (https://digital-forensics.sans.org/docs/DFPS_FOR500_v4.11_0121.pdf), identyfikując wiele ważnych lokalizacji, w których można znaleźć istotne informacje.

Może zaistnieć potrzeba wyodrębnienia dziennika z podłączonego komputera, dziennik jest ogromnym źródłem informacji istotnych z punktu widzenia kryminalistyki, konieczne będzie uzyskanie wszystkich tych informacji. (Czytaj: https://resources.infosecinstitute.com/windows-registry-analysis-regripper-hands-case-study-2/). Istnieje kilka sposobów na wykonanie zrzutu rejestru, tutaj skupimy się na kilku różnych sposobach.

 

5.2.1.  Strefa czasowa

Pierwszą informacją, którą należy przeanalizować, powinna być Strefa czasowa (Rysunek 57), gdyż może ona doprowadzić nas do błędów w obliczu działań prezentujących datę/godzinę inną niż prawdziwa, tylko dlatego, że system jest skonfigurowany z inną strefą czasową niż ta, z której korzysta analityk kryminalistyczny.

Informacje te można zidentyfikować w SYSTEMIE ULA, w następującym miejscu :

Rysunek 57 - Strefa czasowa w widoku rejestru AccessData

 

5.2.2.  Urządzenia USB

W rejestrze możliwe jest również uzyskanie informacji z urządzeń USB, które podłączyły się do systemu w ulu SYSTEM:

Do uzyskania: Producent / Marka / nr seryjny. / data / godzina pierwszego i ostatniego podłączenia do systemu

Przeglądając (Rysunek 58).

Rysunek 58 - Przeglądanie urządzeń USB w Edytorze Rejestru

Aby uzyskać literę przypisaną do urządzenia USB

Aby uzyskać użytkownika, który podłączył urządzenie do systemu

 

Te same informacje można uzyskać za pomocą specjalnych narzędzi do uzyskiwania informacji z urządzeń USB, takich jak narzędzia 4Discovery lub USBDeview(Figura 59).

Rysunek 59 - Przeglądanie urządzeń USB w USBDeview

 

Czytaj:https://www.researchgate.net/publication/318514858_USB_Storage_Device_Forensics_for_Windows_10

 

5.2.3.  Użytkownicy

Informacje o użytkownikach systemu są przechowywane w rejestrze Windows w ulu SAM, ale dla każdego użytkownika istnieje również plik rejestru NTUSER.DAT, który przechowuje dane specyficzne dla tego użytkownika:

Lista lokalnych profili użytkowników

Użytkownicy systemu

Przeglądając ten klucz rejestru poprzez Edytor rejestru, można zobaczyć, jak wyświetlane są te informacje (Rysunek 60).

Rysunek 60 - Przeglądanie użytkowników w edytorze rejestru

Te same informacje można uzyskać za pomocą specjalnych narzędzi do uzyskiwania informacji o użytkownikach, takich jak AccessData Registry Viewer (Rysunek 61).

Rysunek 61 - Wyświetlanie użytkowników w programie AccessData Registry Viewer

 

5.2.4.  Sieć

Dziennik zawiera również różne informacje o sieci, takie jak sieci bezprzewodowe, z którymi połączył się system:

W tej lokalizacji możliwa jest identyfikacja:

•       Nazwa sieci (SSID)

•       Nazwa domeny / intranetu

•       Data/czas ostatniego połączenia (poprzez datę/czas zapisania odpowiedniego klucza)

•       Adres MAC bramy

5.2.5.  Analiza rejestru systemu Windows - RegRipper

Jeśli chodzi o analizę rejestru Windows, istnieje wiele narzędzi kryminalistycznych, które możemy wykorzystać w celu ułatwienia analizy informacji zawartych w rejestrze Windows. Skupiamy się tutaj na niektórych darmowych narzędziach, takich jak RegRipper, RegistryReport i Windows Registry Recovery.

RegRipper (http://github.com/keydet89) to aplikacja Open Source Forensic, opracowana przez Harlana Carvey'a i napisana w języku PERL, której celem jest wydobywanie informacji z plików rejestru systemu Windows w czytelny sposób.

Program RegRipper (Rysunek 62) może być używany poprzez wiersz poleceń oraz interfejs graficzny do wyodrębniania określonych informacji z każdego pliku rejestru. Podczas korzystania z wiersza poleceń możliwe jest wybranie wtyczki, która ma być zastosowana do każdego roju rejestru, natomiast w przypadku wiersza poleceń stosowane są wszystkie wtyczki dostępne dla wybranego roju. Wynik wyodrębnionych informacji może być wyświetlony na ekranie lub zapisany w pliku tekstowym, w przypadku użycia linii poleceń. Poprzez swój interfejs graficzny konieczne będzie wskazanie lokalizacji wyjściowej, zwanej Report File, aby utworzyć plik tekstowy z wynikiem wszystkich wtyczek zastosowanych do danego ula rejestru....

Rysunek 62 - Użycie RegRippera

 

Poprzez linię poleceń można sprawdzić dostępne wtyczki do zastosowania poprzez argument "-l -c".

 

W trybie GUI (.Rysunek 63), nie ma możliwości wybrania przez nas pojedynczego pluginu, lecz Ula, którego chcemy analizować.

Rysunek 63 - Używanie GUI RegRippera

Plik wyjściowy (Rysunek 64)

Rysunek 64 - Plik wyjściowy programu RegRipper

Istnieją inne aplikacje kryminalistyczne o tym samym celu interpretacji zawartości plików rejestru, takie jak Registry Report i Windows Registry Recovery.

RegistryReport

Podobnie jak RegRipper, Gaijin Registry Repport również prezentuje informacje z rejestru w sposób łatwy do odczytania i przeszukiwania. Działa w prosty sposób, pozwalając wybrać informacje, które chcesz pobrać z rejestru poprzez pola wyboru, jak pokazano w Rysunek 65.

Źródło: https://gaijin.at/en/files?dir=old-software registryreport

https://github.com/jschicht?tab=repositories

 Rysunek 65 - Użycie RegistryReport

Źródło: https://www.gaijin.at/en/files?dir=old-software&sort=N&order=A registryreport

 

Odzyskiwanie rejestru systemu Windows

WRR (Rysunek 66) jest jedną z aplikacji, którą możemy wykorzystać do analizy rejestru Windows

Rysunek 66 - Używanie MiTeC Windows Registry Recovery

Źródło: http://www.mitec.cz/wrr.html