Analiza rejestru systemów z rodziny Windows za pomocą programu X-Ways Forensics. Informacje podstawowe



Podobne dokumenty
Rejestr systemu, pliki rejestru

Podstawy Rejestru systemu. Poddrzewa

Systemy operacyjne i sieci komputerowe mgr inż. Szymon Wilk Rejestr systemu Windows 1

Rejestr HKEY_LOCAL_MACHINE

Rejestr systemu Windows

Udostępnianie urządzenia USB w sieci...3. Udostępnianie drukarki USB...5. Tworzenie kopii zapasowej komputera Mac z użyciem funkcji Time Machine...

INSTRUKCJA INSTALACJI DRUKARKI. (Dla Windows CP-D70DW/D707DW)

Geneza rejestru systemu Windows

Instalacja programu SEE Electrical Expert V4

Kopia zapasowa i odzyskiwanie

SecureDoc Standalone V6.5

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Rejestr Windows. Praca z rejestrem

inode instalacja sterowników USB dla adaptera BT 4.0

Kancelaria Prawna.WEB - POMOC

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Acronis Backup & Recovery 10 Advanced Editions. Instrukcja szybkiego rozpoczęcia pracy

Memeo Instant Backup Podręcznik Szybkiego Startu

Kopia zapasowa i odzyskiwanie

Instrukcja instalacji sterowników USB dla urządzeń Posnet Polska S.A.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Rejestr systemowy

Instrukcja instalacji oprogramowania pixel-fox

Instrukcja instalacji Control Expert 3.0

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Tomasz Greszata - Koszalin

Ewidencja Wyposażenia PL+

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Tomasz Greszata - Koszalin

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

Instalacja programu. SEE Electrical Expert V4

Pomoc dla usługi GMSTHostService. GMSTHostService. Pomoc do programu 1/14

Aktualizacja sterownika Podobnie jak w przypadku instalacji, podczas wykonywania tej operacji należy zalogować się jako administrator.

Transmisja danych pomiędzy E-MEA i E-CADENCIER z wykorzystaniem trybu PENDRIVE

PlantVisor_1.90PL Instrukcja instalacji, konfiguracji oraz obsługi

Wykonywanie kopii zapasowych i odtwarzanie danych Instrukcja obsługi

VComNet Podręcznik użytkownika. VComNet. Podręcznik użytkownika Wstęp

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Instrukcja obsługi. Karta video USB + program DVR-USB/8F. Dane techniczne oraz treść poniższej instrukcji mogą ulec zmianie bez uprzedzenia.

Instrukcja obsługi przełącznika KVM ATEN CS661. Opis urządzenia. Instalacja urządzenia

FAQ: /PL Data: 3/07/2013 Konfiguracja współpracy programów PC Access i Microsoft Excel ze sterownikiem S7-1200

Kopia zapasowa i odzyskiwanie Podręcznik użytkownika

Przed restartowaniem routera odłącz wszystkie urządzenia podłączone pod porty USB.

INSTRUKCJA UŻYTKOWANIA CZYTNIKA KART PROCESOROWYCH SYGNET 5v1 IU SY5

NWD-210N Bezprzewodowy adapter USB n

Samsung Universal Print Driver Podręcznik użytkownika

Instrukcja instalacji środowiska testowego na TestingCup wersja 1.0

DLA DREAMBOX & FLASHWIZARD

Instalacja programu Warsztat 3 w sieci

Co to jest BCD? Jak możemy edytować magazyn BCD?

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Program Płatnik Instrukcja instalacji

FlowSoft02. Przeznaczenie programu

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Programator Kart Master - klient

Acronis Backup & Recovery 10 Server for Windows, Acronis Backup & Recovery 10 Workstation. Instrukcja szybkiego rozpoczęcia pracy

Przed restartowaniem routera odłącz wszystkie urządzenia podłączone pod porty USB.

Przywracanie systemu

INSTRUKCJA INSTALACJI


INSTRUKCJA UŻYTKOWNIKA MPCC

Moduł 2 Użytkowanie komputerów i zarządzanie plikami wymaga od kandydata znajomości obsługi komputera osobistego.

Silent setup SAS Enterprise Guide (v 3.x)

KATEGORIA OBSZAR WIEDZY NR ZADANIA Podstawowe informacje i czynności

Obudowa zewnętrznego dysku USB 2.0, 2.5" (6.35cm)

Ustawienia personalne

8. Generowanie raportów

Instalacja sieciowa Autodesk AutoCAD oraz wertykali

Instalacja, aktualizacja i migracja do Windows 7

Program RMUA. Instrukcja konfiguracji i pracy w programie. (Wersja 2)

Instrukcja instalacji v2.0 Easy Service Manager

Acronis Backup & Recovery 10 Advanced Editions. Instrukcja szybkiego rozpoczęcia pracy

Laboratorium - Archiwizacja i odzyskiwanie danych w systemie Windows XP

SERWER AKTUALIZACJI UpServ

AG-220 Bezprzewodowa karta sieciowa USB a/g

1. Opis. 2. Wymagania sprzętowe:

Ustalanie dostępu do plików - Windows XP Home/Professional

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu ftp.

Czytnik kart SIM instrukcja obsługi

MultiBoot Instrukcja obsługi

Laboratorium systemów MES. Instrukcja korzystania z środowiska do ćwiczeń laboratoryjnych z zakresu Wonderware MES

Acronis Backup & Recovery 10 Server for Windows Acronis Backup & Recovery 10 Workstation. Instrukcja szybkiego rozpoczęcia pracy

Wykorzystanie pamięci USB jako serwera Samba

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

INSTRUKCJA INSTALACJI I URUCHOMIENIA PROGRAMÓW FINKA DOS W SYSTEMACH 64 bit

Kancelaria instalacja programu

1) Czym jest architektura systemu Windows 7 i jak się ją tworzy? 2) Jakie są poszczególne etapy uruchomienia systemu Windows 7?

IBM SPSS Statistics dla systemu Windows Instrukcje instalacji (licencja sieciowa)

Instrukcja użytkownika serwera USB

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

Instalacja aplikacji

Instalacja oprogramowania Wonderware Application Server 3.0 na potrzeby Platformy Systemowej Wonderware

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Konfiguracja systemu operacyjnego Windows XP Professional SP2 dla poprawnej współpracy z oprogramowaniem Wonderware

Instrukcja instalacji i obsługi programu Szpieg 3

Połączenia. Obsługiwane systemy operacyjne. Instalowanie drukarki przy użyciu dysku CD Oprogramowanie i dokumentacja

Sharpdesk Najważniejsze informacje

Spis treści

Skrócony przewodnik OPROGRAMOWANIE PC. MultiCon Emulator

Transkrypt:

Analiza rejestru systemów z rodziny Windows za pomocą programu X-Ways Forensics. nformacje podstawowe Wprowadzenie i cel pracy Niniejsza publikacja stanowi wstęp do cyklu artyku łów poświęconych możliwościom analizy systemów operacyjnych z rodziny NT. Przeprowadzone badania oraz przedstawione przykłady w znacznej mierze będą opierać się na pracy w programie X-Ways Forensics, jednak autor przedstawi również programy niekomercyjne, które mogą wspomóc analizę cyfrowego materiału dowodowego. Pierwsza część artykułu to wgląd w podstawowe informacje o rejestrze Windows oraz omówienie poszczególnych jego gałęzi. Następnie poruszone zostaną zagadnienia dotyczące m.in. ostatniej aktywności użytkownika, analizy działalności internetowej, konfiguracji sprzętu, identyfikacji podłączanych urządzeń. Nawiązanie współpracy pomiędzy Komendą Wojewódzką Policji w Łodzi a Politechniką Łódzką, przy wsparciu oddziału łódzkiego Polskiego Towarzystwa nformatycznego, zaowocowało pracami nad oprogramowaniem wspomagającym ekspertów z dziedziny informatyki. Dlatego też w dalszych częściach zostaną przedstawione na rzędzia, będące wynikiem tej współpracy. S lużyć one mogą do analizy danych znajdujących si ę na dysku twardym (m.in. program do analizy plików z popularnych przeglądarek internetowych takich jak: FireFox, Opera, Chrome, E), konwertowania formatów plików multimedialnych, pomagają tworzyć różnego rodzaju raporty. Pracując z cyfrowymi nośnikami danych, nie można zapomnieć o prawidłowym postępowaniu z materiałem dowodowym. Dlatego też autor zaproponuje procedury, które powinny być stosowane w laboratoriach kryminalistycznych. Wypracowanie dobrych praktyk wydaje się konieczne, bowiem do tej pory pomimo ich stosowania w poszczególnych laboratoriach, nie zostały one usystematyzowane i rekomendowane przez wszystkie pracownie. Celem starań podjętych przez autora jest zarówno zapoznanie kandydatów na ekspertów pracowni komputerowych z obecnie stosowanymi metodami ujawniania informacji z elektronicznych nośników danych, jak i ugruntowanie wiadomości doświadczonych inżynierów z zakresu informatyki śledczej. Poniższe opracowanie może wydawać się istotne ze względu na fakt, iż w resorcie brak jest specjalistycznych szkoleń podno- szących kwalifikacje ekspertów w dziedzinie informatyki. Dlatego też wypracowywane i przedstawione metody bazują na doświadczen iach ekspertów z terenu calego kraju. nformacje podstawowe - rejestr Windows ustawień w systemach operacyjnych z rodziny Windows to baza danych zawierająca, zestawione hierarchicznie, informacje konfiguracyjne. W tej bazie przechowywane są liczne dane opisu jące: system operacyjny (w tym datę instalacji'), konta użytkowników, urządzenia zarządzane przez system operacyjny z wykorzystaniem kontrolerów DE/ATA/ATAP, SCS, RAD, stacje dysków, karty sieciowe, przenośne urządzenia magazynujące, zainstalowane oprogramowanie oraz wiele innych. Z uwagi na fakt, że działanie systemu zależy w znacz nej mierze od ustawień zapisanych w rejestrze, z punktu widzenia informatyki śledczej jest to bardzo cenny zbiór informacji przydatnych w czasie przeprowadzanych badań, jak chociażby zapisy o odinstalowanych programach. Struktura rejestru składa się z pięciu kiuczy głównych przedstawionych w tabeli 1. W starszych systemach takich jak Windows 98 pliki rejestru zlokalizowane były w dwóch plikach system.dat i user.dat. Systemy operacyjne z rodziny NT mają kilka pojedynczych piików zawierających tematycznie zorganizowane informacje tzw. g a ł ęz i e 2. nformacja o miejscu ich przechowywania znajduje się w kluczu HKEY_LOCAL_MACHNESystemControl Set0011Controllhivelist (ryc. 1) i może przedstawiać się następująco: HKEY_LOCAL_MACHNESAM HKEY_LOCAL_MACHNESecurity HKEY_LOCAL_MACHNESottware HKEY_LOCAL_MACHNESystem HKEY_USER.Defauit HKEY_ US ERS-1-5-2 1-220523388-492894223 1343024091 HKEY_ USER S-1-5-21-220523388-492894223 1343024091 -Classes W skład jednej gałęzi np. HKLM wchodzą pliki główne zapisane na dysku twardym. Posiadają one pliki dodatkowe, np. C:lwindowslsystem32config. zawiera m.in. pliki 3 : 38 PROBLEMY KRYMNALSTYK 270 (październik-grudzler'l) 2010

Struktura rejestru Windows Structure ot Windows register Tabela 1 Nazwa klucza głównego Opis HKEY_LOCAL_MACHNE HKLM Zawiera informacje o systemie komputera lokalnego, włączając w to dane dotyczące sp rzętu i systemu operacyjnego, takie jak typ magistrali, pam ięć systemowa, słerowniki urządzeń i dane kontroli uruchamiania. Zawiera informa cje wykorzystywane przez róż n e g o rodzaju technologie OLE i dane skojarzeń klas plików. Dany klucz lub wartość występu je w kluczu HKEY_CLASSES_ROOT, j e ś li odpowiadający mu klucz lub wartość występuje w kluczu HKEY_CLASSES_RDDT HKEY_LOCAL_MACHNESOFTWAREClasses bądź kluczu HKCR HKEY_CURRENT_USER \SOFTWAREClasses. Jeżeli klucz lub wartość występuje w obydwu miejscach, to wersja HKEY_CURRENT_USER jest tą, która występuje w kluczu HKEY_CLASSES_ROOT. HKEY_CURRENT_USER HKCU Zawie ra profil u ż y t ko wn ik a, który jest aktualnie zalogowany interakt ywnie (jako p rze ciwieństwo zalogowania zdalnego), w tym zmienne środowiskowe, ustawienia pulpitu, połączenia sieciowe, drukarki i prefe rencje programów. To poddrzewo jest aliasem podd rzewa HKEY_USERS i wskazuje na HKEY_USERS \identyfikator_zabezpieczeń_bieżącego_użytkownika. HKEY_USERS HKU Zawiera informacje o aktualnie załadowanych profilach użytkowników i profilu domyślnym. Część tych informacji pojawia się także w kluczu HKEY_CURRENT_USER. Użytkownicy uzyskujący zdalny dostęp do serwera nie mają profili pod tym kluczem na serwerze; ich profile są załadowane do rejestru ich własnych komputerów. Zawiera informacje o profilu sprzętowym używanym podczas uruchamiania komputera lokalnego. Te informa cje są używane między innymi do konfiguracji ustawień, takich jak HKEY_CURRENT_CONFG sterowniki urządzeń do załadowan ia i dostępne rozdzielczości wyśw ietlania. To poddrzewo HKCC wchodzi w skład poddrzewa HKEY_LOCAL_MACHNE i wskazuje klucz HKEY_LOCAL_MACHNESYSTEM\CurrentControSet\Hardware Profiles \Current. źródł o: opracowan ie własne na podstawie htlp :lltechnet.microsott.com ił Edytor reojestru f lik Edycj. Widok Vlubione Porno," ~ :. Komputer HKE Y_CLASSES_ROOT HKEY_CURRENT_USER ~ HKE Y_lOCAl_MACHNE COMPONENTS HARDWARE SAM SECURrTY SOFTWARE ~ SYSTEM ~ ControlSetOOl ~ Control F.leSynemUtl lities GraphicsDrivers GroupOrderlist HAL hive1ist Nazwa ~ (Do my5 l n a ) ~ \REGST RY\ MAC HN E\ COM PO N E N T S ~ \RE GST RY\M AC HN E\ H A RDWA RE,~ \RE G ST RY\MAC HN E\ SAM ~ \RE GST RY\MA C HlN E\ SE C U PJTY Uazwa waftoki: \REGSTRY\MACHNE\SOFTWARE QanewMtośd.. OK... '" Ryc. 1. Okno Edytor rejestru widok klucza hivelist ź ród ło (ryc. 1-9): autor Fig. 1. Windows Registry editor hivelist key view PROBLEMY KRYMNALSTYK 270 (pażdziernik-grudzień) 2010 39

Tabela 2 Pliki zapisane na dy sku twardym ora z ich powiązania z odpowiednimi gałęziami w rejestrze Windows Fi/es recorde d on hard disk and connected with Windows register hives Nazwa pliku Opis zawartości system, system.sav, system.log sam, sam.log softw are, software.sav, softwa re.log secunty, security.log default HKLM\ SYSTE M HKLM\SECURTY\SAM HKLM\SOFTWARE, HKCR HKLM\SECURTY HKU\.DEFAULT C:\Documents and setttnps-uvazwa u ż yt kown i k a \nt u s er. d at u s e r. d a t. lo g HKCU, HKU\-identyfik ator u żytkownika (810 )- źródło (tab. 2-1 7): opracowanie w łasne software - plik główny, software,log - wprowadzane zmiany, software.sav - kopia. Pow iązanie plików zapisanych na dysku twardym z kluczami rejestru przedstawia tabela 2. Każdy klucz lub podklucz może zawierać kilka wpisów (lub być pusty). Wszystkie wpisy składają się z trzech członów: nazwy, typu i danych. Przykład owe typy danych używanych w rejestrze" : REG_BNARY - wartość binarna 5 wyświetlana przez edytor rejestru w notacji heksadecymalnejś, np. klucz HKLMSOFTWAREMicrosoftl WindowsNT CurrentVersion ldigitalproductld; dane a4 00 00 00 03 00 00 00 38 39 35 38 33 2d (..F Wartość binarną można jednak w niektórych przypadkach podejrzeć, uruchamiając zakładkę Edytowanie wartośc i binarnej (ryc. 2). REG_DWORD - dane zapisane w postaci liczby o długości 4 bajtów (32 bity), wyświetlane przez edytor rejestru w notacji binarnej, szesnastkowej lub dzies iętnej8, np. klucz HKLMSOFTWAREMicrosoftlWindowsNnCurrentVersion\lnstailDate; dane szesnastkowe 4ac3906t, dziesiętne 1254330479. REG_EXPAND_SZ - ciąg danych o zmiennej długości obliczany, gdy program bądż usługa z nich korzysta, np. klucz HKCUSOFTWAREMicro soft\windows lcurrentvers ion lexplorerluser Shell Folders: dane %USERPROFLE%Desktop. REG_MULTCSZ - ciąg wielokrotny. Wartości przedstawione są w formie moż liwej do odczytania przez użytkowników. Wpisy są oddzielone spacjami, przecinkami lub innymi znacznikami, np. klucz HKLM SYSTEM Contro iset001 1 EnumDECdRomLl TE-ON_ DVO_SOHD- 16P9S; dane DECdRomLlTE-ON_DVD_SOHD- ł D 5pHch ~ ~ Typ ::~ E,~. rl-; :~~~:) :;:HAAV a: e.ac.ab FllG..5Z ł> 8 T(pp r... CSOYenion RfG.,,5Z... CJ TehtSM'ver ' t, ~ T.l'N s.rver ' Cwert8l.łd REG-Sl t, SJ rr«tlljl fu' C1xr~ lf G.,5l t CJ Tr-.ctionSr ~Clrl'ltType RfG...n t. SJ~ ~ CUTentY"łlon RfG..5Z., 8 l ll'ltl9$p«m l&1dig1tł1lro6.la:1d Wi..JNAAV ł CJ Updtes ł CJ L.PnP Devb Ho G;J VllA t. \i;] ~ l.dc... W WfJ t i:jwbfm ł. CJ \lr\'ldows ł> CJ WWldowt o.t... ':J Wndowt Gtt'lJłr ;,J Wlncows Me6 (~ """ rf U5tłlc:n ) 1052 33 łb 0000 0000 26OO.xptpJPl_rP.091:zoe.Z03il! Dodatek5tfva PKk ) 1.511.1 (){0bs0W:. del. ÓDno' 2600 ~lprocehor """ '.1... 00000003000000 353538 [dytowclole wertosct binarnej [1]~ O_ 000 14 00 00 00 03 00 00 00 35 J 5 3 8 3 6 3'1 U l 'lf '15 ' D 2 D ao 30 31 3 1 3 9 ao 000 010 010 W«toki:......... ' ". lo Ryc. 2. Okno Edytowanie wartości binarnej Fig. 2. Windows Editing ot the binary vełue 40 PROBLEMY KRYMNAliSTYK 270 (październik-grudzień) 2010

-16P9S FS09 DELlTE- -ON_D VD_SOHD-16P9S (... j. REG_SZ - ci ąg tekstowy o stałej d ł u gości, np. klucz: HKLMSOFTWARESyman lecsymnel DrvSym/M; dane C:Program Fi/es(x86j Norton AnliViruslEngine64 116.7.2. 11. nf orm acje podstawowe - X-Ways Forensics X-Ways Forensics jest zaawansowanym śro dow i skiem pracy dla specjalistów z zakresu informatyki ś ledcz ej, oferującym duże m ożliwości analizy danych. Za pom ocą programu można m.in.: powielać cyfrowy mate riał w postaci klonów lub obrazów, od zy s ki wa ć dane, a n a l i z ować zawartość nośników, w tym równi eż dokonywać podg lądu poszczególnych plików np. obrazów graficznych, archiwów, kluczy systemowycn''. za pomocą ne. skasowane, w tym wyeksportowane) pliki rejestru na danej partycji. Kolejny krok to wskazanie odpowiedniego pliku zawie rającego klucz rejestru. Po tej czynno śc i prawego przycisku myszy na leży otwo rzyć podręcz n e Menu i wyb rać o pcję Creale Raport. Wzorzec raportu u Windows ma n azwę Reg Report.ta. Jest to edytowalny plik tekstowy. Na stę p ni e na leż y w skazać nazw ę oraz miejsce, w którym ma b yć zapisany raport w formacie HTML. Program, tworząc zestawienie na podstawie zdefiniowanego pliku Reg Report.txt, zwraca wartości zadeklarowanych kluczy w postaci: HKLMSOFTWAREMicrosoftlWindows NT CurrentVersionlProductName 2009-10-1403:13:40 Operating system: Name Windows Vista (TM) Home Premium Raportowanie oraz analiza rejestru Windows za pomocą programu X-Ways Forensics Analizę klucza systemowego MS Windows za pomocą X-Ways Forensics można przeprowadzić na dwa sposoby: manualne wskazanie konkretnego pliku (istnieje n iebezpieczeń stwo pominięcia informacji zapisanych w innych ni ż standardowa lokalizacja), wykorzystanie trybu automatycznego z filtrem TypWindows Registry i opcją Explore Recursively (ryc. 3), który pozwala ujawniać wszystkie (widocz- W przypadku wystąpienia n wa rto śc i danego podklucza zostanie on umieszczony n razy w raporcie. Poniżej przedstawiono klucz HKLM SOFTWARE MicrosoftlWindowsNnCurren/Version zawierający informacje o systemie Windows możliwe do odczytania z poziomu programu Edylor rejestru (ryc. 4). Jak już wspomniano, plik wzorca raportu może być edytowany. Funkcjonalność ta może okazać s i ę przydatna, gdy poszukuje się informacji fragmentarycznych np. tylko danych typu: nazwa systemu operacyjnego, data instalacji itp. lub danych pierwotnie nieprzewidzianych w raporcie przez producentów oprogramowania. - o "'.... 1F1r........ ~...- "-!l " ~..ił ~ Q ".o ę!~c~g_,_0.0....c.. T : _~," '''-< '!",.,.....e- CO""OłlEWTS oj '... c Ryc. 3. Okno filtru Type programu X-Ways Forensics Fig. 3. Windows ol lilter Type program X-Ways Forensics o:>"olllnrl.j..j '''' oj...j,...c'l,,--,o Cł ' lat...j o_ s...r.. Cł ~ A JLT ~..,,_......JSf.--.. J ~...'"."".. oj... _H _ NTVS EDAT.J _...J c.e_...~s.n;..'i. 'ltjse l.oat.j....j..._ J _~ NnU " tlt,...j MW<:w.. tłfusl l. OAT.J _...JPorf\.09'.J 5..-Codo....J w... J '..._,...... - 5./ J JOfTYl'.lP[...J Syl:_~"" ln_mo~ fdo~'~~ SOfTW.Pl.....J Ul... " _...~ ~l oogolljl..j 'ror- Jola (;11M, """''' ".11.-,....J ~""O... "'""'" "...~... "'''" " J...-.,...,U ",,,.. -.. - "".- --...--- " _ At9'l"JM ~.J P ' th N, m e '!~; P rod u dd ilblreqirteredora, niutlon REG_SZ REG_SZ REG_SZ REG_SZ C:\Windows 89~ 83 0 EM 7304 18 5 71752 Windows Virt, (TM) Herne Premivm Ryc. 4. Windows - pod gl ąd z program u Edytor rejestru Fig. 4. Windows register ot preview trom program Register Viwer PROBLEMY KRYMNALSTYK 270 (październik-grudzień) 2010 41

W tym celu należy odszukać plik Reg Report.txt w folderze C:Program FileslX-Ways Forensics. Składa się on z następujących trzech elementów. Pierwsza część określa system operacyjny NT, druga część to wartość klucza z rejestru, który będzie wyświetlony, trzecia część to opis (ryc. 5). Zmieniając oraz dodając elementy do tego pliku, można dowolnie modyf ikować póżn iejszy raport tak, aby dostosować go do własnych potrzeb. Poniżej przedstawiono przykłady modyfikacji oraz korelacji poszczególnych kluczy w rejestrze z informacjami, które można uzyskać poprzez tradycyjne przeglądanie działającego systemu Windows 10. W celu ła twiejszego zrozumienia, dane odnośnie do kluczy rejestru będą podawane w tabelkach w oryginalnym brzmieniu - wiersz "" oraz zmodyfikowane gotowe do użycia w programie X-Ways Forensics - wiersz "X-Ways" (tab. 3-17). Pfik Edycj fo rmłt Widok Pomoc NT HKlM \soft ware \Microsoft \Wind on~ NT\c u r r @ntv@ rs i on\ Pr o duct N a~ @ NT HKLM\Software\M1crosoft\ Wind ows NT\Currentv@rsion \Currentversion NT HKlM\Software\ Microsoft\ wi ndows NT\Current version\csdvers1on NT HKLM\softwar e\microsoft\ Windows NT\currentVersion\nstal1oate NT HKLM\50ft ware \M1c rosoft \w1ndo~~ NT\currentversion\Productld NT HKLM\Soft ware\m 1 cr osoft \w1 nd~~ NT\C u r r entve r s 1on\ R e g is t er edo~ne r Na~'a systemu operacyjnego. wersja systemu operacyjnego. zai nst alowany Service pac~ Data instalacji systemu. system operacyjny produet d. system zarejestrowany na osobe. Ryc. 5. Fragment pliku Reg Report.txt z zamien ionymi na język polski opisami Fig. 5. Fragment ot file Reg Report.lxt with descriptions converted into Polish Podstawowe informacje o systemie operacyjnym Data instalacji systemu operacyjnego Date ot operation system installation Tabela 3 HKEY_LOCAL _MACHNE\SOFTWAREMicrosoft\Windows NnCurrentVersion\lnstallDate X-Ways NT HKLM\SOFTWARE\MicrosoftWindows NnCurrentVersion\/nstalDate Data instalacji systemu operacyjnego Nazwa systemu operacyjnego Name ot operation system Tabela 4 HKEY_LOCAL _MACHNElSOFTWAREMicrosoftWindows NnCurrentVersion\ProductName X-W'Y' NT HKLM\Software lmicrosoftlwindows NnCurrentVersion\ProductName Nazwa systemu operacyjnego Numer identyfikacyjny Windows Windows D number Tabela 5 HKEY_LOCAL_MACHNElSOFTWARE\MicrosoftWindows NnCurrentVers;onl/nstallDate X-W'Y' NT HKLM\SoftwarelMicrosoftlWindows NnCurrentVersion\ProductName Numer identyfikacyjny Windows 42 PROBLEMY KRYMNALSTYK 270 (październik-grudzień) 2010

W doprecyzowaniu wersji produktu Windows XP można rów n ież p rz ea n a l i z ować zawartość pliku szablonu domyślnych uprawnień systemu plików NTFS def/tkw.inf znajdującego się w folderze W/NDOWSVnf. Dla wersji Windows Home Edition widnieje w nim zapis NT 5.1 Personal Edition (c) Microsoft Corporation t997-2000 Security Configuration Temp/ate for Security Configuration Manager Temp/ate Name: Def/tWK./NF Temp/ate Version: 05. f O.oP. OOOO De/auli Security for NT 5. Persona/ Edition. Potwierdza to również plik eu/a.txt znajdujący się w folderze W/NDOWSsys tem32, w którym znajduje się zapis Microsoft(r) Windows(r) XP Home Edition. W przypadku wersji Windows Professional zapisy będą wyg lądać odpowiednio: Plik def/tkw.inf. (c) Microso ft Corporation 1997-2000 Security Configuration Temp/ate for Security Configuration Editor Temp/ate Name: Def/tWK./NF Temp/ale Version: 05. 0.0W. 0000 Defaul Security for Windows NT 5. Professiona/ Plik eu/a.lxt Microsoft Windows XP Professional. Przykładowe oznaczenia Windows Produet 10 11 : xxxxx-oem-xxxxxxx-xxxxx - wersja OEM, xxxxx-640-xxxxxxx-xxxxx - wersja SOX, xxxxx-647-xxxxxxx-xxxxx - wersja VLK. Window s Produet D Tabela 6 HKEY_LOCAL_ MACHNE\SoftwareMicrosoftWindows NnCurrentVersion\ProductlD X-Way. NT HKLM\Software\MicrosoftWindows NnCurrentVersion\Productld Windows Produet D Klucz W indow s KeV Windows Tabela 7 HKE Y_ LOCAL_MACHNE\SOFTWARElMicrosoftWindows NnCurrenlVersionlDigitalProductlD X-Ways NT HKLM\SOFTWARElMicrosoftlWindowsNnCurrentVersionlDigilalProductlD Klucz Windows! Registry Vi~~ r,, 8.:.J CUrTentVNSion. Nem e Typ. Value, l fi} :..:.J Accessibility li!..:.j AeOebug elo. f. uk) REG.SZ (vl lue not set) ~ C urrentversi on REG.SZ 6.0 1---2..J APnracing ~ C urrent Bu i l dn um b~r REG_SZ 6002!, -2..J AppCompatFlags ~ C urr ent8ui l d REG.SZ 6002 i 1łJ..:J ASR ~ Softw a retype REG_SZ System, ~ ~ Compatibility32 e)currenttype REG_SZ MultiprocessorFree le ~ ( onsole ~;J lnst a 1 0 at e REG. OWORD O,4AC3906F n254330479) t1r -2..J CorruptedFileReccvery ~ Re9ist eredo r9 an izati o n REG_SZ l.. :...:J OefaultProdudKey ~ Re9 i stere down ef REG_SZ Tomek. $.-:...:J Oisk.Diagnostics ~ Syst em Ro ot REG_S2 C:\Windows, i,. :...:J drivers.desc ~ P ro d u ctn a m e REG.SZ Windows Vista (lm) Hcme Premiu m!--...:.j Orivers32 ejproductld REG_SZ 89S83 0EM 730418S 71752 ~.,.-2..J EFS cij..:j EMOM9mt i -.....b1editionld REG SZ HomePremium,'o.'..,.'.. ł ł ł,,.. 1~) OigitalProductld4 REG_BNARY ~~oooo~oooooo~oo~ oo~ oo~ oo Ryc. 6. Klucz produktu Windowszapisany w rejestrze Fig. 6. Windows Key recorded in register PROBLEMY KRYMNALSTYK 270 (pażdziernik-grudzlen) 2010 43

Zainstalowane oprogramowanie nstalled software Tabela 8 HKEY_LOCAL_MACHNE\SOFTWARElMicrosoft\WindowsCurrentVersion\Uninstal/\ X-Ways NT HKLM\$oftwareMicrosoft\Windows CurrentVersion\Uninstafl \*\DisplayName Loca l machine : installed programs: nam e W rejestrze klucz produktu Windows widnieje jako wartość binarna, natomiast w raporcie otrzymujemy przekonwertowane dane 12 (ryc. 6). W celu identyfikacji Windows 7, Vista, Server 2008, posiadając jedynie Klucz Windows, można posłużyć się stronami typu Windows PDchecker (http://d -ault.nl/pidcheck!). Po wpisaniu klucza produktu Windows otrzymuje się takie dane jak: Windows Product D nazwę Windows oraz rodzaj licencji (ryc. 7). nformacje na temat kart sieciowych W rejestrze systemu można znależć informacje na temat zainstalowanych kart sieciowych. W przypadku fizycznego wyjęcia karty dane na jej temat są nadal zapisane w rejestrze. Karty sieciowe numerowane są od 1 w górę, ilość numerów oznacza l icz bę zainstalowa nych urządzeń. Dane te znajdują się w kluczu przedstawionym w tabeli 9 (ryc. 8). PlOchecXH nput ~9..11~.u1.2e : wocows 7 and se rvee 2008 R2 Produet ssr, 122TKD- F8XXO-YG6lF-9M660 -_.-. r C ł1eck P O Outp ut 'tqguct Kły ~zn:d r8xxs Y G6Slr-9i66D -_ Val1111ty Vdld 'cod\l.ct ti looooc"-o[ft-.,926e 2-OOU 1 Act1V1tion D 7c:t14696-Ei9a9-4.n- f 36- r r )0:11a.--. dlt1cm 'l'ype U!tiute t>l 1c:~lptiCll, l/lndo\l' 7 Ulei...u on1slp dl t l cm D l XlS - 313'4 K~y Typ~ OElll51.P C[YP[O, m Ryc. 7. Widok Windows PDchecker z kluczem produktu Windows i dodatkowymi informacjami na temat wersji Fig. 7. View ot Windows POchecker with Windows CO Key and more intormation about MS version " i Zainstalowane karty sieciowe nstalled network cards Tabela 9 HKEY_LOCAL_MACHNESOFTWARE\Microsoft\Windows NnCurrentVersion\NetworkCards X-W.y. NT HKLM\$oftwareMicrosoft Windows NnCurrentVersion\NetworkCards Zainstalowane karty siec iowe W rozpatrywanym przypadku jest zainstalowanych sześć kart sieciowych. :YRegistry Viewer 8 ~ NetworkCerd, ~ 10 ~ 13.-1 2 ~ 2 1 ~ 2 3.2.l f1j " Narne j(defd ) ~ 5e r v lcename ~ De sc r lpt lon Type REG_5Z REG_5Z REG3Z Velue (velue not 'et) {802F80SS-8896-17E1-86FO-A2A09CC2EA9Af SAGEM W-F 110U5B ed,pter Ryc. 8. Widok klucza rejestru z zainstalowanymi kartami sieciowymi Fig. 8. View ot register key with network cards installed 44 PROBLEMY KRYMNALSTYK 270 (październik-grudzień) 2010

Raport z programu X-Ways Forensics wygl ąd a następu jąco : HKLM\software\Microsoft\Windows NnCurrentVersion\NetworkCards\1O\Descr iption 2007-10-1012:09:18 Model description ol installed network card Realtek RTL8168/8111 PC-E Gigabit Ethernet NC HKLM\software\Microsoft\Windows NnCurrentVersion\NetworkCards\13\Description 2008-08-22 09:31:55 Model description ol installed network card Karta Realtek RTL8029(AS) PC Ethernet Adapter HKLM\software\Microsoft\Windows NnCurrentVersion\NetworkCards\2\Description 2007-10-1012:10:13 Model description ol installed network card Karta sieciowa 1394 HKLM\software\Microsoft\Windows NnCurrentVersion\NetworkCards\21 \Description 2009-10-1909:55:06 Model description ol installed network card Sony Ericsson Device 0016 USB Ethernet Emulation (NDS 5) HKLM\software\Microsoft\Windows NnCurrentVersion\NetworkCards\23\Description 2009-06-17 10:32:27 Model description ot installed network card LGE Mobile USB WMC Ethernet (NDS 5) HKLM\software\Microsott\Windows NnCurrentVersion\NetworkCards\27\Description 2009-11 -0610:00:43 Model description ot installed network card SAGEM Wi-Fi 11g USB adapter Powyższe dane można uzyskać w Panel sterowaniajsystemlmenadżer urządzeń, następn ie wyb ierając właściwo ś ci kart sieciowych. Jednak nie wszystkie urz ą dzenia sieciowe zap isują inlo rmacje o swoich sterownikach w podkluczu NetworkCards. Niektóre z nich (przeważni e USB) można zna leżć w innych lokalizacjach. Dane dotyczące zainstalowanych urządzeń nlormacje o zainstalowanym sprzęcie znajdują się w podkluczu HKLMSYSTEM\CurrentControSetEnum. W przypadku urządzeń magazynujących należy w pierwszej kolejności rozpatrzyć, za pomocą jakiego interfejsu urządzenie to zostało połączone z komputerem. W przypadku standardów ATA/SATA zainstalowane urządzenia odnajduje s ię w podkluczu DE. Urządzen ia typu CO. DVD. HDD (ATA/SAlA) CO. DVD. HDD (ATA/SATA) devices Tabela 10 HKE Y_L OCAL_MA CHN E1SYSTEMlConlroSeOO1 Enum ltde X-Way. NT HKLMSYSTEMConlrolSel'EnumllDE1 ''FriendlyNameName Urządzenie DE W przypadku zewnętrznych urządzeń magazynujących transmisja może następować za pomocą portu USB/ FireWire 13. Urządzenia magazynujące usa typu pendrive, dyski w kieszeniach usa s torage devices such as pendrive, poeket drive Tabela '1 HKE Y_LOCAL_MA CHNE1SYSTEMlConlroSetOO1 Enum USBSTOR X-Ways NT HKLMSYSTEMConlroSel'EnumUSBSTOR'\'\FriendlyName U rząd z en ie ma gazy n uj ące USB PAOBLEMY KRYMNALSTYK 270 (październik-grudzleń) 2010 45

Urządzenia podłączone poprzez FireWire Devices connected by FireWire Tabe la 12 HKEY_LOCALMACHNESYSTEMControSetOO Enuml1394 X-Ways NT HKLM\S YSTEMContro/Set*\Enum\1394 \*\*\Hardware D Urządze n ie m ag az y n uj ące p od łączone poprzez FireWire Stacja FDD FDD station Tabela 13 HKEY_ LOCALMACHNESYSTEMConlroSetOO Enum l X-Ways NT HKLM \SYSTEM \ControfSet*\Enum \FDC \*\*\HardwareD Stacja dyskietek Drukarki usa USB printers Tabela 14 HKEY_LOCAL_MACHNEiSYSTEMControSetOO Enum USBPRNT X-Ways NT HKLM SYSTEMControSet-Enum USBPRN n--friendlyname Drukarki USB Dan e dotyczące użytkownika nformacje dotyczące konta użytkownika można odna leżć w plikach: ntuser.dat. Zawierają one takie dane jak ostatnio uruchomione, za pomocą Windows, programy czy też dokumenty. stotne mogą okazać się przypisane operacjom daty systemowe, wraz z danymi o zainstalowanym oprogramowaniu (HKE Y_LO CAL_MACHNESOFTWAREMicrosoftWindowsCurrentVersion \UninstaWDisplayName) można dokonać identyfikacji zainstalowanych oraz najczęściej używanych programów 14 Historia otwieranych dokumentów History ot opened documents Tabela 15 HKEY_CURRENT_USER\SOFTWARE\MicrosoftWindows CurrentVersion\ExplorerlRecentDocsl X-Ways NT HKCU Software\MicrosottlWindows lcurrentversionlexplorerlrecentdocsl* Histori a otwieranych dokumentów Programy w autostarcie Programmes in autostart Tabela 16 HKEY_ LOCA CMACHNE'lSOFTWAR E\MicrosoftWindows \CurrentVersion \ExplorerRecentDocs\ X~Ways NT HKLM\Software Microsoft\WindowsCurrentVersion\Run l* Programy uruchamiane przy starcie systemu 46 PROBLEMY KRYMNALSTYK 270 (pażdziernik-grudzień) 2010

Historia uru ch amianych programów His tory ot laun ched programmes Tabela 17 X-Ways HKEY_ CURRENT_ USER\ SOFTWARE Microsoft\ WindowsCurrent Version \Exp lorerluserassist\(75048 70O-EFl F- ttdo-9888-00609 7DEACF9}\Count NT HKCU\S oftware\m icrosoft\w indows\currentverslorrexplorer\userass ist\{75048700 EF1F-110 0-9888- OOS097DEACF9)\Count\- Historia uruchamianych programów Za pomocą X-Ways Forensics można również odzyskiwać pliki, w tym pliki rejestru. Jedną z metod jest funkcja File header signalure search. Opcja ta ma duże możliwości konfiguracyjne po legające m.in. na ustawieniu maksymalnej wielkośc i odzyskiwanych plików, obszaru przeszukania (rn.in. wybo ru obszaru tree space, przestrzeni zaalokowanych czy też całej powierzchni nośn ika). Pliki odzyskane za pomocą tej funkcji są umieszczane w utworzonym przez prog ram wirtuainym katalogu badanego nośnika (ryc. 9). o... 2.024 JJ 0 RMC*l l'llmt.oll óeld _ ". ~ """" M- k on 100 _ dol... flwhtoadro S...d. o"pa.lilion1 ~ fjt1jop'(łl ~ QcdT... MPHlrP) N roou...y] flmh V~ ~ MlOlfllidl ~= 00 zapisu liczb w tym systemie potrzebnych jest szesnaści e cyfr. Poza cyframi dziesiętnymi od Odo 9 używa się pierwszych sześciu liter alfabetu łaci ń s ki e go : A, B, C, O, E, F (duże i mał e litery). 7 Nie wstawiono ca łego ciągu znaków. 8 Dziesię tny system liczbowy (decymalny) - system liczbowy, w którym p ods t a wą pozycji są kolejne potęgi liczmi e operacyjnym, oprogramowan iu, urządzen ia ch USB oraz wielu innych przydatnych, z punktu widzenia informatyki śledczej, informacjach. Dlatego też pod cza s interpretacji zapisanych za pomocą systemu operacyjnego Windows danych nie możn a pominąć dokład nej jego analizy. Natomiast elastyczny mechanizm raportowania, za imp lementowany w programie X-Ways Forensics, pozwala na tworzenie wła s nyc h przejrzystych sza blonów mogących znacznie wspomóc pracę eksperta. Wzorzec raportu u Win dows ma nazwę Reg Report.ta, w momen cie za kupu programu jest zdefiniowany w języku angie lskim. Programiści z X-Ways So ftware Technology AG przewidzieli jego rozbu dow ę i edycję, dzięki zapisaniu go w tekstowym pliku edytowalnym. Znajomość kluczy rejestru umożliwia dostosowanie raportów do własny ch potrzeb i uw zględnienie danych nieprzewidzianych przez autorów programu. Tomasz Pawlicki SMJd.. _ bculclomo _ PRZYPSY.. '-' O e--b N1FS---... Ryc. 9. Okno opcji odzyskiwania File Header Signature Search programu X Ways Forenstcs Fig. 9. Windows of recovery options Fife Header Signature Search program X Ways Forensics W przypadku plików skasowanych za pomocą kosza systemowego zdołano przywrócić dane oraz odczytać z nich info rmacje, jednak już po szybkim (dostępnym z poziomu MS Windows) sformatowaniu nie były one czytelne dla prog ram u. Po d su m ow anie Rejest r systemu Wi ndows to znaczące żró dł o informacji o badanym sprzęcie, jego użytkowniku, syste-... 1 Wszystkie daty/czas zapisywane w systemie Windows są pobierane z u rząd z e ni a zn ajdu j ąceg o si ę na płycie komputera tzw. zegara systemowego. gł ó wne j 2 ang. hives- ul, gałąż (w rejestrze systemu z rodziny NT). 3 W trakcie tworzen ia artykuł u LK KWP Łódź nie dysponowało systemem Windows 7. 4 J. Honeycu tt : Microsoft Windows XP Registry Guide, Washington 2003. s. 24-25 ( tł umacz e n i e autora). 5 System binarny (dwójkowy) to system liczbowy, w którym pod stawą pozycji są kolejne potęg i liczby 2. Do zapisu liczb potrzebne są w ięc tylko dwie cyfry: O i 1. 6 Heksadecyma lny - szesnastkowy system liczbowy, w którym p odstawą pozycji są kolejne potęgi liczby 16. PROBLEMY KRYMNALSTYK 270 (październik-grudzień) 2010 47

by 10. Do zapisu liczb potrze bnych jest więc w nim 10 cytr: O, 1, 2, 3, 4, 5, 6, 7, 8, 9. 9 Podstawowa anal iza danych za po mocą prog ramu X-Ways Forens ics została opisana w pracach zaliczeniowych Bł a żeja Karp i ńskiego "Wykorzystanie programu X-Ways Forens ics w opracowywaniu ekspertyz z zakresu badań sp rzętu komputerow ego" oraz Marka Liszkiewieza "Wykorzystanie aplikacji X-Ways Forensics w kryminalistycznych badaniach cyfrowych nośników danych - aspekty praktyczne". 1O W przypadku analizy materiału dowodowego i koniecz nośc i pracy na uruchomionym systemie należy wykonać jego klon. 11 Szerzej na ten temat można dow i edz ieć s i ę ze stron: http://wik i.lunar soft.neuwiki/p rod uclos#.27xxxxx.27_ _the_microsofl Product_Code oraz http://www.tacktech.com/dis play.cfm?ttid=342. 12 Dotyczy X-Ways Forensics od wersji 15.3. 13 W trakcie pisania a rtykuł u nie posia dano komputera z intertejsem esata. 14 W tym celu dod atkowe informacje można uzys kać za pomocą programu Windows File Analyzer, który analizuje m.in. zawartość folderu G./Windows/Prefetch. BBL OGRA FA 1. Fleischmann 5. : X-Ways Software Technology AG X -Ways ForensicslWinHex. Manuał book, Copyright 1995 2009, X-Ways Software Technology AG. 2. Honeycutt J.: Microsoft Windows XP Registry Guide, Copyri ght (C) 2003 by Jerry Honeycutt. 3. Chorążewsk i M., Zię ba D.: Windows XP. Leksykon kieszonkowy, Helion 2004 r. 4. Ka rpi ńsk i B. : Wykorzystanie programu X-Way s Forensics w opracowywaniu ekspert yz z zakresu b adań s p rzęt u komputerowego, praca zaliczeniowa, LK KWP Bydgoszcz, 2008 r. 5. Li szkiew icz M.: Wykorzystanie aplikacji X-Ways Forensics w kryminalistyczny ch badaniach cyfrowych n o ś ni ków danych - aspekty praktyc zne, praca zaliczeniowa, LK KWP Kraków, 2009 r. St reszczenie Praca ma na celu zapoznanie z podstawowymi informacjami na temat rejestru Windows, który może być jedynym źród łem pozwalającym na identyfika cję sprzętu i aktywności u ży tkowni ka. Struktura rejestru składa s ię z pięciu kluczy głównych zawierających m.in.:informacje o systemiekomputera lokalnego, ustawieniach pulpitu, połączeniach sieciowych, drukarkach i preferencjach programów oraz konfiguracji sprzętowej. Z uwagi na ten fakt dzia łunie systemu zależy w znacznej mierzeod ustawień zapisanych w rejestrze, a z punktu widzenia informatyki śled czej jest to bardzo cenny zbiór informacji przydatny w czasie przeprowadzanych badań. Pon ieważ jednym z elementów pracy infonnatyka śledczego jest czytelne przedstawianie wyników, w artykule omówione są równ ież możliwości edycyjne raportów generolvanych przez program X-Ways Forensics. Takie dostosowanie programu pozwala na czytelniejs zą prezentację wyników badań informatycznych, które są bardzo cz ęs to niezrozumiałe dla przedstawicieliwymiaru sp raw ied l iwości. Słowa kluczowe: X-Ways Forensics. rejestr Windows, klucze rejestru, analiza rejestru Windows. Summary The hereby ariicle presents basie information on Windows register that may be the only source allowing identification of hardware and user activity. The structure of register comprises five main keys including: informationon local computersystem, desktop seuings, network connections, printers and software preferences, as wellas hardtuare configuration. Due to that[act, system operation largely depends on settings recorded in the register. From the point of view of lt investigations it is a very important collection of information useful in examinations. Because of the elements of expert it is elear presentation of resu1ts, thearticlediscusses also editoriot potential generated by X-Way Forensics software. This adjustment of the programme allows more legible presentation of T examinations, which are very often difficult to understand for representatives of the judiciary. Keywords: X-Way Forensics, Windows register, register keys, Windows register analysis. Biblioteka Naukowa ełk K GP Aleje Uj azdowskie 7 zaprasza ekspertów i techników kryminalistyki do korzystania zarówno z opracowań książkowych. j ak i specjalistycznych czasopism polskich i zagranicznych. Biblioteka jest czynna c od zienn ie w godz. 8.15-16.00 tel. (22) 601-45-30 e-mail: b.lcgo wicz@p olicj a.gov.pl 48 PROBLEMY KRYMNALSTYK 270 (pażdziernik-grudzien) 2010

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres