Podstawy informatyki śledczej

"Centralna hierarchiczna baza danych w systemie Windows ... używana do przechowywania informacji niezbędnych do skonfigurowania systemu dla jednego lub więcej użytkowników, aplikacji i urządzeń sprzętowych. Rejestr zawiera informacje, do których Windows nieustannie odwołuje się podczas pracy, takie jak profile każdego użytkownika, aplikacje zainstalowane na komputerze i typy dokumentów, które każda z nich może tworzyć, ustawienia arkusza właściwości dla folderów i ikon aplikacji, jaki sprzęt istnieje w systemie i jakie porty są używane. "

Źródło: Microsoft Computer Dictionary.--5th ed. , Redmond, Washington, Microsoft Press, 2002, s. 445

Można zatem stwierdzić, że rejestr systemu Windows, mimo plików strukturalnych, zawiera strukturę logiczną w ciągłym użyciu przez system operacyjny, przechowującą zestaw informacji niezbędnych do jego działania.

Struktura logiczna rejestru systemu Windows zawiera:

1. Klucze rejestru, klucze o nazwie "Software" i "System", należące do roju "HKEY_CURRENT_CONFIG".
2. Podklucze rejestru, gdzie przechowywane są informacje rejestru (np.: podklucz "Fonts").
3. Wartości rejestru, które zawierają informacje poprzez określenie ich typu w odpowiedniej kolumnie (np.: REG_DWORD - 32-bitowa wartość binarna, REG_QWORD - 64-bitowa wartość binarna).

Pięć głównych Hives w strukturze logicznej systemu operacyjnego MS Windows można zobaczyć na. Rysunek 52.

Rysunek 52 - Ul główny

Ule rejestru (Root Keys) charakteryzują się przedrostkiem "HKEY_", skrótem od "Handle to a KEY".

Istnieje 5 głównych ulów, przechowywanych w różnych plikach tworzących rejestr, chociaż tylko HKEY_USERS i HKEY_LOCAL_MACHINE są uważane za prawdziwe ule, reszta to skróty lub aliasy dla gałęzi w nich zawartych.

 

Ul	Skrót	Opis	Link
HKEY_CURRENT_USER	HKCU	Wskazuje na profil użytkownika aktualnie zalogowanego użytkownika	Podklucz w HKEY_USERS odpowiadający aktualnie zalogowanemu użytkownikowi
HKEY_USERS	HKU	Zawiera podklucze dla wszystkich załadowanych profili użytkowników	Nie link
HKEY_CLASSES_ROOT	HKCR	Zawiera informacje o skojarzeniach plików i rejestracji COM	Nie jest to bezpośredni link; raczej połączony widok HKLMSOFTWARE Classes i HKEY_CURRENT_USERSOFTWARE Classes.
HKEY_LOCAL_MACHINE	HKLM	Ustawienia globalne dla urządzenia.	Nie link
HKEY_CURRENT_CONFIG	HKCC	Aktualny profil sprzętowy	HKLMSYSTEMU Sterownik - Profile sprzętowe - HKLMSYSTEMSetet - Profile sprzętowe
HKEY_PERFORMANCE_DATA	HKPD	Liczniki wydajności	Nie link

Źródło: Windows Internals.--6th ed., Part 1,

Redmond, Washington, Microsoft Press, 2012, s. 281

 

Pliki dziennika znajdują się w następujących folderach:

Pliki dziennika systemu operacyjnego

Pliki rejestru dla każdego użytkownika

 

5.1.1.  Edytor rejestru (RegEdit)

Edytor rejestru, w wersji graficznej, umożliwia eksport jednego lub kilku kluczy rejestru (Rysunek 53).

Rysunek 53 - Eksport rejestru przez RegEdit

Przez wiersz poleceń:

 

5.1.2.  ERUNTgui

Aplikacja ERUNTgui (Rysunek 54), pozwala na tworzenie kopii zapasowych, przywracanie i optymalizację rejestru, będąc w kręgu zainteresowań kryminalistyki możliwość wykonania kopii zapasowej rejestru, co umożliwia jego późniejszą analizę.

Rysunek 54 - eksport rejestru przez ERUNTgui

 

1.1.3.  RAWCopy

Aplikacja RAWCopy (.Rysunek 55), umożliwia kopiowanie sektorów dysku, w których znajdują się używane pliki, pokonując w ten sposób ograniczenie kopiowania plików otwieranych przez system.

Rysunek 55 - Eksport rejestru przez RAWCopy

Poprzez RAWCopy możliwe było uzyskanie kopii pliku SAM i SOFTWARE z uruchomionym systemem (Rysunek 56).

Rysunek 56 - Pliki wyeksportowane przez RAWCopy

Źródło: https://github.com/jschicht/RawCopy