Kai atliekame tyrimus ar auditą kompiuteryje, vienas iš svarbių aspektų yra žinoti, ar buvo prijungti neleistini įrenginiai arba kokie įrenginiai buvo naudojami, pvz., rašiklius, spausdintuvus ar kitus įrenginius. Norėdami aptikti šiuos įrenginius sistemoje „Windows“, naudosime „Windows“ registrą, kuriame bus saugoma ši informacija, ir mes galėsime nustatyti, kuriuose įrenginiuose yra prijungtų įrenginių, informaciją apie tai, kas, ką, kur ir kaip veikla atliko kompiuteryje, kurį mes tikriname arba taip pat, jei turime tokį disko vaizdą, kokį matėme analizuojant disko vaizdą su „FTK Imager“ pamoka.
Šioje pamokoje pamatysime kur ir kaip rasti prijungtų įrenginių istoriją naudojant „Windows“ registrą. Kiekvieną kartą, kai prijungiame įrenginį per USB ar kitą jungtį, šis įvykis yra saugomas „Windows“ registre, todėl jis palieka pėdsaką ir per tai sutelksime dėmesį į atminties įrenginių paiešką registre.
„Windows“ sistemos registras skirtingose versijose šiek tiek skiriasi, tačiau, jei ištirsime esmę, jis yra tas pats su beveik visomis „Windows“ ir kitų operacinių sistemų versijomis. Šiai pamokai naudojame „Windows 7“, apskritai bet kurios versijos veiksmai yra panašūs.
Pirmasis žingsnis bus atidarykite „Regedit“Tai galime padaryti iš „Windows“ meniu naudodami parinktį „Vykdyti“ arba paieškos laukelyje įrašome „redegit“.
Tada spaudžiame Gerai ir atsidarys „Windows“ registro rengyklė, kurioje pamatysime, kad registro raktai yra aplankai raktų medyje, juose, be reikšmių, kurios yra duomenys, kiekviename rakte gali būti antrinių raktų.
Raktų turinysHKEY_CLASSES_ROOTŠiame rakte yra informacijos apie užregistruotas programas, pvz., Failų susiejimus, kad būtų galima nustatyti, su kuria programa šis plėtinys naudojamas pagal numatytuosius nustatymus. veikia pagal numatytuosius nustatymus kiekvienam failo plėtiniui.
HKEY_USERSJame yra informacija, atitinkanti prisijungusių ar aktyvių kompiuteryje naudotojų profilį, sistema taip pat yra vartotojas (numatytasis), nors veikia automatiškai, bet taip pat palieka pėdsakus.
HKEY_LOCAL_MACHINEJame yra informacija apie kompiuteryje įdiegtą aparatinę įrangą, didžioji dalis informacijos yra saugoma RAM atmintyje ir tik išsaugo kai kuriuos pėdsakus registre, todėl šio rakto informacija yra nepastovi ir atnaujinama kiekvieną kartą paleidus kompiuterį.
HKEY_CURRENT_USERŠiame rakte saugoma prisijungusio vartotojo, tai yra dabartinio vartotojo, informacija ir nustatymai.
Į rasti USB atminties įrenginių pėdsakus, turime ieškoti registre naudodami šį raktą:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBDu raktai „ControlSet001“, „ControlSet002“ tai yra kopija, padaryta, kai kompiuteris sėkmingai paleidžiamas, šis valdymo rinkinys leidžia nustatyti, kuris buvo paskutinis įkrovos būdas be problemų ar paskutinės žinomos geros konfigūracijos. Šiame rakte rasime įrodymų apie bet kurį prie šios sistemos prijungtą USB atmintinę. Pavyzdžiui, per USB raktą randame kelis įrenginių raktus ir matome, kad vienas iš jų atitinka „Motorola XT1040“ mobilųjį telefoną, kuris tam tikru momentu buvo prijungtas per USB.
DIDELIS
Analizuodami kitą raktą matome, kad buvo prijungtas „Lexmark X1100“ serijos skaitytuvas, šis įrenginys yra daugiafunkcis spausdintuvas, tačiau registras nurodo, kad buvo naudojama „usbscan“ paslauga, o ne „usbprint“.
DIDELIS
Naudodami USB raktą pamatysime įrenginių, kurie nebėra prijungti, istoriją. Norėdami pamatyti ar užfiksuoti prijungtus įrenginius, turime pažvelgti į antrąjį raktą:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
DIDELIS
Tokiu atveju matome prie kompiuterio prijungtą „Kingston“ pendrive, jei įrenginys pašalinamas, antrinis raktas liks užregistruotas USBSTOR, kol kompiuteris bus išjungtas, tačiau įrašas liks USB daliniame rakte.
Ieškokite prie sistemos prijungtų įrenginių.
Jei vartotojas naudoja bet kokį aparatūros įrenginį, kuris turi būti sumontuotas, pvz., Išorinį DVD grotuvą, išorinį standųjį diską, „flash“ atmintį, registras paliks prijungto įrenginio pėdsaką. Ši informacija saugoma daliniame rakte:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesŽemiau matome visų kompiuteryje sumontuotų ar sumontuotų įrenginių, C: D: ir F: diskų sąrašą. Jei dukart spustelėsime diską D, pamatysime, kad tai yra kompaktinis diskas, prijungtas iš „VirtualBox“, ir jei tą patį padarysime su disku F, pamatysime, kad tai buvo „Kingston“ pendrive, kuris buvo prijungtas tam tikru metu.
Jei negalime nustatyti, kuris įrenginys tai yra, galime susieti „MountDevices“ rakto įrenginius, žiūrėdami į dvejetainį raktą, o tada tą unikalų ID, kurio ieškome kituose subklanuose. Vienas įrankis, kurį galime naudoti, yra „USBViewer“, kuris yra paprastas ir nešiojamas įrankis, suteikiantis galimybę peržiūrėti informaciją apie USB įrenginius, kurie šiuo metu ir anksčiau buvo prijungti prie kompiuterio.
DIDELIS
„Windows“ registras leidžia saugoti įvykių istoriją apie tai, kas nutiko „Windows“ sistemoje, naudojant skirtingus metodus ir procedūras, mes galime atkurti faktus ir nustatyti naudojamus elementus.