Quando effettuiamo indagini o un audit su un computer uno degli aspetti importanti è sapere se sono stati collegati dispositivi non autorizzati o quali dispositivi sono stati utilizzati, come pen drive, stampanti o altri dispositivi. Per rilevare questi dispositivi in Windows utilizzeremo il registro di Windows che memorizza queste informazioni e ci consentirà di determinare quali dispositivi sono stati collegati, informazioni su chi, cosa, dove e come è stata eseguita l'attività sul computer che stiamo controllando o anche se abbiamo un'immagine disco come quelle che abbiamo visto nel tutorial Analizza immagine disco con FTK Imager.
In questo tutorial vedremo dove e come trovare la cronologia dei dispositivi connessi utilizzando il registro di Windows. Ogni volta che colleghiamo un dispositivo tramite USB o altro connettore, questo evento viene memorizzato nel registro di Windows, quindi lascia una traccia e attraverso ci concentreremo sulla ricerca dei dispositivi di archiviazione all'interno del registro.
Il registro in un sistema Windows varia leggermente da una versione all'altra, ma se indaghiamo sull'essenza è lo stesso con quasi tutte le versioni di Windows e altri sistemi operativi. Per questo tutorial utilizziamo Windows 7, in generale i passaggi sono simili per qualsiasi versione.
Il primo passo sarà apri RegeditPossiamo farlo dal menu di Windows con l'opzione Esegui o nella casella di ricerca scriviamo redegit.
Quindi premiamo va bene e si aprirà l'editor del registro di Windows, dove vedremo le chiavi di registro sono cartelle in un albero di chiavi, contengono oltre ai valori che sono dati, ogni chiave può contenere sottochiavi.
Contenuto delle chiaviHKEY_CLASSES_ROOTQuesta chiave contiene informazioni sulle applicazioni registrate, come le associazioni di file, per determinare con quale applicazione viene utilizzata questa estensione per impostazione predefinita esempio * .html per impostazione predefinita Firefox, * .txt per impostazione predefinita Wordpad, lì possiamo cambiare il software con cui si apre o viene eseguito per impostazione predefinita per ogni estensione di file.
HKEY_USERSContiene informazioni corrispondenti al profilo degli utenti che sono loggati o attivi sul computer, il sistema è anche un utente (Predefinito), sebbene funzioni automaticamente, lascia anche tracce.
HKEY_LOCAL_MACHINEContiene informazioni sull'hardware installato nel computer, la maggior parte delle informazioni è memorizzata nella memoria RAM e salva solo alcune tracce nel registro, quindi le informazioni in questa chiave sono volatili e vengono ricostruite ogni volta che il computer viene riavviato.
HKEY_CURRENT_USERQuesta chiave memorizza le informazioni e le impostazioni dell'utente che ha effettuato l'accesso, ovvero l'utente corrente.
a trova traccia di dispositivi di archiviazione USB, dobbiamo cercare all'interno del registro nella seguente chiave:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBLe due sottochiavi ControlSet001, ControlSet002 è una copia che viene eseguita quando il computer ottiene un avvio corretto, questo set di controlli è ciò che consente di determinare quale è stato l'ultimo avvio senza problemi o l'ultima configurazione nota. In questa chiave troveremo la prova di qualsiasi dispositivo di archiviazione USB che è stato collegato a questo sistema. Ad esempio, all'interno della chiave USB troviamo diverse sottochiavi di dispositivi e possiamo vedere che uno di loro corrisponde a un telefono cellulare Motorola XT1040 che è stato collegato a un certo punto tramite USB.
INGRANDIRE
Analizzando un'altra sottochiave vediamo che è stato collegato uno scanner Lexmark X1100 Series, questo dispositivo è una stampante multifunzione, ma il registro indica che è stato utilizzato il servizio usbscan e non usbprint.
INGRANDIRE
Con la chiave USB vedremo una cronologia dei dispositivi che non sono più collegati. Per vedere o catturare i dispositivi che sono collegati, allora dobbiamo guardare la sottochiave:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
INGRANDIRE
In questo caso possiamo vedere una pendrive Kingston collegata al computer, se il dispositivo viene rimosso, la sottochiave rimarrà registrata in USBSTOR fino allo spegnimento del computer, ma rimarrà un record nella sottochiave USB.
Cerca i dispositivi che sono stati montati sul sistema.
Se un utente utilizza un dispositivo hardware che deve essere montato come lettore DVD esterno, disco rigido esterno, memoria flash, il registro lascerà una traccia del dispositivo montato. Queste informazioni sono memorizzate nella sottochiave:
HKEY_LOCAL_MACHINE \ Sistema \ Dispositivi montatiPossiamo vedere di seguito, un elenco di tutti i dispositivi che sono stati montati o sono montati sul computer, le unità C: D: e F:. Se facciamo doppio clic sull'unità D, vedremo che si tratta di un CD ROM collegato da VirtualBox e se facciamo lo stesso con l'unità F vedremo che è la pendrive kingston che è stata collegata in qualche momento.
Se non riusciamo a determinare quale dispositivo sia, possiamo mettere in relazione i dispositivi della chiave MountDevices guardando la chiave in binario e quindi quell'id univoco lo cerchiamo nelle altre sottocave. Uno strumento che possiamo utilizzare è USBViewer, che è uno strumento semplice e portatile che offre la possibilità di visualizzare informazioni sui dispositivi USB che attualmente e in precedenza sono stati collegati al computer.
INGRANDIRE
Il registro di Windows consente di mantenere una cronologia degli eventi su ciò che è accaduto in un sistema Windows utilizzando diverse tecniche e procedure, possiamo ricostruire i fatti e determinare gli elementi che sono stati utilizzati.