Podstawy informatyki śledczej
5. Identyfikacja i analiza informacji w systemach operacyjnych
5.1. Rejestr MS Windows
"Centralna hierarchiczna baza danych w systemie Windows ... używana do przechowywania informacji niezbędnych do skonfigurowania systemu dla jednego lub więcej użytkowników, aplikacji i urządzeń sprzętowych. Rejestr zawiera informacje, do których Windows nieustannie odwołuje się podczas pracy, takie jak profile każdego użytkownika, aplikacje zainstalowane na komputerze i typy dokumentów, które każda z nich może tworzyć, ustawienia arkusza właściwości dla folderów i ikon aplikacji, jaki sprzęt istnieje w systemie i jakie porty są używane. "
Źródło: Microsoft Computer Dictionary.--5th ed. , Redmond, Washington, Microsoft Press, 2002, s. 445
Można zatem stwierdzić, że rejestr systemu Windows, mimo plików strukturalnych, zawiera strukturę logiczną w ciągłym użyciu przez system operacyjny, przechowującą zestaw informacji niezbędnych do jego działania.
Struktura logiczna rejestru systemu Windows zawiera:
- Klucze rejestru, klucze o nazwie "Software" i "System", należące do roju "HKEY_CURRENT_CONFIG".
- Podklucze rejestru, gdzie przechowywane są informacje rejestru (np.: podklucz "Fonts").
- Wartości rejestru, które zawierają informacje poprzez określenie ich typu w odpowiedniej kolumnie (np.: REG_DWORD - 32-bitowa wartość binarna, REG_QWORD - 64-bitowa wartość binarna).
Pięć głównych Hives w strukturze logicznej systemu operacyjnego MS Windows można zobaczyć na. Rysunek 52.
Rysunek 52 - Ul główny
Ule rejestru (Root Keys) charakteryzują się przedrostkiem "HKEY_", skrótem od "Handle to a KEY".
Istnieje 5 głównych ulów, przechowywanych w różnych plikach tworzących rejestr, chociaż tylko HKEY_USERS i HKEY_LOCAL_MACHINE są uważane za prawdziwe ule, reszta to skróty lub aliasy dla gałęzi w nich zawartych.
Ul |
Skrót |
Opis |
Link |
HKEY_CURRENT_USER |
HKCU |
Wskazuje na profil użytkownika aktualnie zalogowanego użytkownika |
Podklucz w HKEY_USERS odpowiadający aktualnie zalogowanemu użytkownikowi |
HKEY_USERS |
HKU |
Zawiera podklucze dla wszystkich załadowanych profili użytkowników |
Nie link |
HKEY_CLASSES_ROOT |
HKCR |
Zawiera informacje o skojarzeniach plików i rejestracji COM |
Nie jest to bezpośredni link; raczej połączony widok HKLMSOFTWARE Classes i HKEY_CURRENT_USERSOFTWARE Classes. |
HKEY_LOCAL_MACHINE |
HKLM |
Ustawienia globalne dla urządzenia. |
Nie link |
HKEY_CURRENT_CONFIG |
HKCC |
Aktualny profil sprzętowy |
HKLMSYSTEMU Sterownik - Profile sprzętowe - HKLMSYSTEMSetet - Profile sprzętowe |
HKEY_PERFORMANCE_DATA |
HKPD |
Liczniki wydajności |
Nie link |
Źródło: Windows Internals.--6th ed., Part 1,
Redmond, Washington, Microsoft Press, 2012, s. 281
Pliki dziennika znajdują się w następujących folderach:
Pliki dziennika systemu operacyjnego
C:\NWindows \System32 \NKonfiguracja
Pliki rejestru dla każdego użytkownika
C:{\i0}C:{\i1}Niezależnie od tego, czy jest to użytkownik, czy nie.{\i0}
5.1.1. Edytor rejestru (RegEdit)
Edytor rejestru, w wersji graficznej, umożliwia eksport jednego lub kilku kluczy rejestru (Rysunek 53).
RegEdit, Plik > Eksport
Rysunek 53 - Eksport rejestru przez RegEdit
Przez wiersz poleceń:
regedit /e c:output.reg "HKEY_LOCAL_MACHINE "System..."
5.1.2. ERUNTgui
Aplikacja ERUNTgui (Rysunek 54), pozwala na tworzenie kopii zapasowych, przywracanie i optymalizację rejestru, będąc w kręgu zainteresowań kryminalistyki możliwość wykonania kopii zapasowej rejestru, co umożliwia jego późniejszą analizę.
Rysunek 54 - eksport rejestru przez ERUNTgui
1.1.3. RAWCopy
Aplikacja RAWCopy (.Rysunek 55), umożliwia kopiowanie sektorów dysku, w których znajdują się używane pliki, pokonując w ten sposób ograniczenie kopiowania plików otwieranych przez system.
Rysunek 55 - Eksport rejestru przez RAWCopy
Poprzez RAWCopy możliwe było uzyskanie kopii pliku SAM i SOFTWARE z uruchomionym systemem (Rysunek 56).
Rysunek 56 - Pliki wyeksportowane przez RAWCopy
Źródło: https://github.com/jschicht/RawCopy