Når vi utfører undersøkelser eller revisjon på en datamaskin, er en av de viktige aspektene vite om uautoriserte enheter har blitt tilkoblet eller hvilke enheter som har blitt brukt, for eksempel pennstasjoner, skrivere eller andre enheter. For å oppdage disse enhetene i Windows bruker vi Windows -registret som lagrer denne informasjonen, og lar oss bestemme hvilke enheter som var tilkoblet, informasjon om hvem, hva, hvor og hvordan aktiviteten ble utført på datamaskinen som vi kontrollerer. eller også hvis vi har et diskbilde som de vi så i Analyze disk image with FTK Imager tutorial.
I denne opplæringen får vi se hvor og hvordan du finner historien til tilkoblede enheter ved hjelp av Windows -registret. Hver gang vi kobler til en enhet via USB eller en annen kontakt, lagres denne hendelsen i Windows -registret, derfor etterlater det et spor, og gjennom det skal vi fokusere på søket etter lagringsenheter i registret.
Registret i et Windows -system varierer litt fra en versjon til en annen, men hvis vi undersøker essensen er det det samme med nesten alle versjoner av Windows og andre operativsystemer. For denne opplæringen bruker vi Windows 7, generelt er trinnene like for alle versjoner.
Det første trinnet blir åpne RegeditVi kan gjøre det fra Windows -menyen med alternativet Kjør, eller i søkeboksen skriver vi redegit.
Så trykker vi greit og Windows Registerredigering åpnes, der vi vil se registernøklene er mapper i et nøkkeltre, de inneholder i tillegg til verdiene som er data, hver nøkkel kan inneholde undernøkler.
NøkkelinnholdHKEY_CLASSES_ROOTDenne nøkkelen inneholder informasjon om registrerte applikasjoner, for eksempel filforeninger, for å avgjøre med hvilken applikasjon denne utvidelsen brukes som standardeksempel * .html som standard Firefox, * .txt som standard Wordpad, der kan vi endre programvaren som den åpnes eller kjører som standard for hver filtypen.
HKEY_USERSDen inneholder informasjon som tilsvarer profilen til brukere som er logget inn eller aktiv på datamaskinen, systemet er også en bruker (standard), selv om det fungerer automatisk, setter det også spor.
HKEY_LOCAL_MACHINEDen inneholder informasjon om maskinvaren som er installert på datamaskinen, mesteparten av informasjonen lagres i RAM -minnet og lagrer bare noen spor i registret, derfor er informasjonen i denne nøkkelen flyktig og gjenoppbygges hver gang datamaskinen startes på nytt.
HKEY_CURRENT_USERDenne nøkkelen lagrer informasjon og innstillinger for brukeren som har logget på, det vil si den nåværende brukeren.
Til finne spor av USB -lagringsenheter, må vi søke i registret i følgende nøkkel:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBDe to undernøklene ControlSet001, ControlSet002 det er en kopi som er laget når datamaskinen oppnår en vellykket oppstart, dette kontrollsettet er det som gjør det mulig å avgjøre hvilken som var den siste oppstarten uten problemer eller sist kjente gode konfigurasjon. I denne nøkkelen finner vi bevis på enhver USB -lagringsenhet som har blitt koblet til dette systemet. For eksempel finner vi i USB -nøkkelen flere undernøkler til enheter, og vi kan se at en av dem tilsvarer en Motorola XT1040 mobiltelefon som har blitt koblet til på et tidspunkt via USB.
FORSTØRRE
Ved å analysere en annen undernøkkel ser vi at en Lexmark X1100 Series -skanner er koblet til, denne enheten er en multifunksjonsskriver, men registret indikerer at usbscan -tjenesten ble brukt og ikke usbprint.
FORSTØRRE
Med USB -nøkkelen ser vi en historie med enheter som ikke lenger er tilkoblet. For å se eller fange opp enhetene som er tilkoblet, må vi se på undernøkkelen:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
FORSTØRRE
I dette tilfellet kan vi se en Kingston -pendrive koblet til datamaskinen. Hvis enheten fjernes, forblir undernøkkelen registrert i USBSTOR til datamaskinen slås av, men en post vil forbli i USB -nøkkelen.
Søk etter enheter som er montert på systemet.
Hvis en bruker bruker en maskinvareenhet som må monteres, for eksempel ekstern DVD -spiller, ekstern harddisk, flashminne, vil registeret etterlate et spor av den monterte enheten. Denne informasjonen er lagret i undernøkkelen:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesVi kan se nedenfor en liste over alle enhetene som er montert eller montert på datamaskinen, C: D: og F: stasjonene. Hvis vi dobbeltklikker på stasjon D, vil vi se at det er en CD -ROM tilkoblet fra VirtualBox, og hvis vi gjør det samme med stasjon F, vil vi se at det er kingston -pendrive som ble koblet til på et tidspunkt.
Hvis vi ikke kan finne ut hvilken enhet det er, kan vi relatere enhetene til MountDevices -nøkkelen og se på nøkkelen i binær og deretter den unike IDen vi ser etter den i de andre delhulene. Et verktøy vi kan bruke er USBViewer, som er et enkelt og bærbart verktøy som gir mulighet for å se informasjon om USB -enhetene som for øyeblikket og tidligere har blitt koblet til datamaskinen.
FORSTØRRE
Windows -registret gjør det mulig å føre en historie med hendelser om hva som skjedde i et Windows -system ved hjelp av forskjellige teknikker og prosedyrer, vi kan rekonstruere fakta og bestemme elementene som ble brukt.
