Základy digitální forenziky
5. Identifikace a analýza informací v operačních systémech
5.1. Registr systému MS Windows
"Centrální hierarchická databáze v systému Windows ... slouží k ukládání informací potřebných ke konfiguraci systému pro jednoho nebo více uživatelů, aplikací a hardwarových zařízení. Registr obsahuje informace, na které se systém Windows během provozu neustále odvolává, například profily jednotlivých uživatelů, aplikace nainstalované v počítači a typy dokumentů, které mohou jednotlivé aplikace vytvářet, nastavení vlastností složek a ikon aplikací, jaký hardware v systému existuje a jaké porty jsou používány. "
Zdroj: Redmond, Washington, Microsoft Press, 2002, s. 445.
Lze tedy konstatovat, že registr systému Windows obsahuje navzdory svým strukturovaným souborům logickou strukturu, kterou operační systém neustále používá a která uchovává soubor informací nezbytných pro jeho fungování.
Logická struktura registru systému Windows obsahuje:
- Klíče registru, klíče s názvy "Software" a "System", patřící do koše "HKEY_CURRENT_CONFIG".
- Dílčí klíče registru, ve kterých jsou uloženy informace registru (např.: dílčí klíč "Fonts").
- Hodnoty registru, které obsahují informace zadáním jejich typu v příslušném sloupci (např.: REG_DWORD - 32bitová binární hodnota, REG_QWORD - 64bitová binární hodnota).
Pět hlavních úlů v logické struktuře operačního systému MS Windows je vidět na obrázku 52.
Obrázek 52 - Kořenový úl
Hive registru (kořenové klíče) jsou charakterizovány předponou "HKEY_", což je zkratka pro "Handle to a KEY".
V různých souborech tvořících registr je uloženo 5 hlavních úložišť, přičemž za skutečná úložiště se považují pouze HKEY_USERS a HKEY_LOCAL_MACHINE, ostatní jsou zástupci nebo aliasy pro jejich větve.
|
Hive |
Zkratka |
Popis |
Odkaz |
|
HKEY_CURRENT_USER |
HKCU |
Ukazuje na uživatelský profil aktuálně přihlášeného uživatele. |
Podklíč pod HKEY_USERS odpovídající aktuálně přihlášenému uživateli |
|
HKEY_USERS |
HKU |
Obsahuje dílčí klíče pro všechny načtené uživatelské profily. |
Nejedná se o odkaz |
|
HKEY_CLASSES_ROOT |
HKCR |
Obsahuje informace o asociaci souborů a registraci COM |
Nejedná se o přímý odkaz, ale o sloučené zobrazení HKLM\SOFTWARE\Classes a HKEY_CURRENT_USER\SOFTWARE\Classes. |
|
HKEY_LOCAL_MACHINE |
HKLM |
Globální nastavení stroje. |
Nejedná se o odkaz |
|
HKEY_CURRENT_CONFIG |
HKCC |
Aktuální profil hardwaru |
HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current |
|
HKEY_PERFORMANCE_DATA |
HKPD |
Počítadla výkonu |
Nejedná se o odkaz |
Zdroj:
Redmond, Washington, Microsoft Press, 2012, str. 281.
Soubory protokolu jsou umístěny v následujících složkách:
Soubory protokolu operačního systému
C:\Windows\System32\Config\
Soubory registru pro každého uživatele
C:\Users\<uživatelské jméno>\ntuser.dat
5.1.1. Editor registru (RegEdit)
Editor registru ve své grafické verzi umožňuje exportovat jeden nebo více klíčů registru (Obrázek 53).
RegEdit, Soubor > Exportovat
Obrázek 53 - Export registru prostřednictvím nástroje RegEdit
Prostřednictvím příkazového řádku:
regedit /e c:\output.reg "HKEY_LOCAL_MACHINE\System\..."
5.1.2. ERUNTgui
Aplikace ERUNTgui (Obrázek 54) umožňuje zálohování, obnovu a optimalizaci registru, přičemž pro forenzní analýzu je zajímavá možnost provést zálohu registru a umožnit tak jeho následnou analýzu.
Obrázek 54 - Export registru prostřednictvím ERUNTgui
5.1.3. RAWCopy
Aplikace RAWCopy (Obrázek 55) umožňuje kopírovat sektory disku, ve kterých se nacházejí používané soubory, a překonat tak omezení kopírování souborů otevřených systémem.
Obrázek 55 - Export registru prostřednictvím RAWCopy
Prostřednictvím RAWCopy bylo možné získat kopii souboru SAM a SOFTWARE se spuštěným systémem (Obrázek 56).
Obrázek 56 - Soubory exportované programem RAWCopy
Zdroj: https://github.com/jschicht/RawCopy