Когато провеждаме разследвания или одит на компютър, един от важните аспекти е знаят дали са били свързани неоторизирани устройства или кои устройства са били използвани, като писалки, принтери или други устройства. За да открием тези устройства в Windows, ще използваме системния регистър на Windows, който съхранява тази информация и ще ни позволи да определим кои съдържат свързани устройства, информация за това кой, какво, къде и как е извършена дейността на компютъра, който одитираме или също така, ако имаме изображение на диск като тези, които видяхме в Анализиране на образа на диска с урока FTK Imager.
В този урок ще видим къде и как да намерите историята на свързаните устройства с помощта на системния регистър на Windows. Всеки път, когато свързваме устройство чрез USB или друг конектор, това събитие се съхранява в системния регистър на Windows, следователно оставя следа и чрез него ще се съсредоточим върху търсенето на устройства за съхранение в регистъра.
Регистърът в системата на Windows варира малко в различните версии, но ако изследваме същността, той е същият с почти всички версии на Windows и други операционни системи. За този урок използваме Windows 7, като цяло стъпките са подобни за всяка версия.
Първата стъпка ще бъде отворете RegeditМожем да го направим от менюто на Windows с опцията Run или в полето за търсене, което пишем redegit.
След това натискаме добре и ще се отвори редакторът на системния регистър на Windows, където ще видим, че ключовете на системния регистър са папки в дърво на ключове, те съдържат в допълнение към стойностите, които са данни, всеки ключ може да съдържа подключове.
Съдържание на ключоветеHKEY_CLASSES_ROOTТози ключ съдържа информация за регистрирани приложения, като файлови асоциации, за да се определи с кое приложение се използва това разширение по подразбиране пример * .html по подразбиране Firefox, * .txt по подразбиране Wordpad, там можем да променим софтуера, с който се отваря или работи по подразбиране за всяко разширение на файла.
HKEY_USERSТой съдържа информация, съответстваща на профила на потребители, които са влезли или са активни на компютъра, системата също е потребител (по подразбиране), въпреки че работи автоматично, но също така оставя следи.
HKEY_LOCAL_MACHINEТой съдържа информация за хардуера, инсталиран в компютъра, по -голямата част от информацията се съхранява в RAM паметта и запазва само някои следи в системния регистър, поради което информацията в този ключ е нестабилна и се възстановява всеки път, когато компютърът се рестартира.
HKEY_CURRENT_USERТози ключ съхранява информация и настройки на потребителя, който е влязъл, тоест на текущия потребител.
Да се намерете следа от USB устройства за съхранение, трябва да търсим в системния регистър в следния ключ:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBДвата подраздела ControlSet001, ControlSet002 това е копие, което се прави, когато компютърът постигне успешно зареждане, този набор от контроли позволява да се определи кое е последното зареждане без проблеми или последната известна добра конфигурация. В този ключ ще намерим доказателства за всяко USB устройство за съхранение, което е свързано към тази система.Например, в рамките на USB ключа откриваме няколко подраздела устройства и можем да видим, че едно от тях съответства на мобилен телефон Motorola XT1040, който е свързан в даден момент чрез USB.
Увеличете
Анализирайки друг подраздел, виждаме, че е свързан скенер Lexmark X1100 Series, това устройство е многофункционален принтер, но регистърът показва, че услугата usbscan е била използвана, а не usbprint.
Увеличете
С USB ключа ще видим история на устройства, които вече не са свързани. За да видим или заснемем свързаните устройства, трябва да разгледаме подраздела:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
Увеличете
В този случай можем да видим дисково устройство Kingston, свързано към компютъра, ако устройството бъде премахнато, подключът ще остане регистриран в USBSTOR, докато компютърът се изключи, но записът ще остане в USB ключа.
Търсете устройства, които са монтирани в системата.
Ако потребителят използва хардуерно устройство, което трябва да бъде монтирано, като например външен DVD плейър, външен твърд диск, флаш памет, регистърът ще остави следа от монтираното устройство. Тази информация се съхранява в подраздела:
HKEY_LOCAL_MACHINE \ Система \ Монтирани устройстваПо -долу можем да видим списък на всички устройства, които са монтирани или са монтирани на компютъра, C: D: и F: устройствата. Ако кликнете два пъти върху устройство D, ще видим, че това е CD ROM, свързан от VirtualBox и ако направим същото с устройство F, ще видим, че това е Kingston pendrive, който е бил свързан по някое време.
Ако не можем да определим кое устройство е, можем да свържем устройствата на ключа MountDevices, като разглеждаме ключа в двоичен формат и след това този уникален идентификатор, който го търсим в другите подлужки. Един инструмент, който можем да използваме, е USBViewer, който е прост и преносим инструмент, който предлага възможност за преглед на информация за USB устройствата, които в момента и преди са били свързани към компютъра.
Увеличете
Регистърът на Windows позволява да се съхранява история на събитията за случилото се в система с Windows, като се използват различни техники и процедури, можем да възстановим фактите и да определим използваните елементи.
