Veicot izmeklēšanu vai revīziju datorā, viens no svarīgākajiem aspektiem ir zināt, vai ir pievienotas neatļautas ierīces vai kādas ierīces ir izmantotas, piemēram, pildspalvu diskdziņus, printerus vai citas ierīces. Lai atklātu šīs ierīces sistēmā Windows, mēs izmantosim Windows reģistru, kurā tiek glabāta šī informācija, un mēs varēsim noteikt, kuras ierīces ir pievienotas, informāciju par to, kas, kas, kur un kā darbība tika veikta datorā, kuru mēs pārbaudām vai arī, ja mums ir tāds diska attēls, kādu redzējām diska attēla analīzē ar FTK Imager apmācību.
Šajā apmācībā mēs redzēsim kur un kā atrast pievienoto ierīču vēsturi, izmantojot Windows reģistru. Katru reizi, kad pievienojam ierīci, izmantojot USB vai citu savienotāju, šis notikums tiek saglabāts Windows reģistrā, tāpēc tas atstāj pēdas, un caur to mēs koncentrēsimies uz atmiņas ierīču meklēšanu reģistrā.
Reģistrs Windows sistēmā dažādās versijās nedaudz atšķiras, bet, ja mēs izpētām būtību, tas ir vienāds ar gandrīz visām Windows un citu operētājsistēmu versijām. Šajā apmācībā mēs izmantojam Windows 7, parasti jebkuras versijas darbības ir līdzīgas.
Pirmais solis būs atveriet RegeditMēs to varam izdarīt no Windows izvēlnes, izmantojot opciju Palaist, vai meklēšanas lodziņā ierakstām redegit.
Tad mēs nospiežam Labi un tiks atvērts Windows reģistra redaktors, kur mēs redzēsim, ka reģistra atslēgas ir mapes atslēgu kokā, tajās papildus vērtībām, kas ir dati, katrā atslēgā var būt apakšatslēgas.
Atslēgu satursHKEY_CLASSES_ROOTŠī atslēga satur informāciju par reģistrētām lietojumprogrammām, piemēram, failu asociācijām, lai noteiktu, ar kuru lietojumprogrammu šis paplašinājums tiek izmantots pēc noklusējuma. * .Html pēc noklusējuma Firefox, * .txt pēc noklusējuma Wordpad, tur mēs varam mainīt programmatūru, ar kuru tā tiek atvērta vai darbojas pēc noklusējuma katram faila paplašinājumam.
HKEY_USERSTajā ir informācija, kas atbilst to lietotāju profilam, kuri ir pieteikušies vai darbojas datorā, sistēma ir arī lietotājs (noklusējums), lai gan tā darbojas automātiski, tā atstāj arī pēdas.
HKEY_LOCAL_MACHINETajā ir informācija par datorā instalēto aparatūru, lielākā daļa informācijas tiek saglabāta RAM atmiņā un reģistrā tiek saglabātas tikai dažas pēdas, tādēļ šajā atslēgā esošā informācija ir nepastāvīga un tiek atjaunota katru reizi, kad dators tiek restartēts.
HKEY_CURRENT_USERŠī atslēga saglabā informāciju un iestatījumus par lietotāju, kurš ir pieteicies, tas ir, pašreizējo lietotāju.
Uz atrodiet USB atmiņas ierīču pēdas, mums reģistrā ir jāmeklē šāda atslēga:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBAbas apakšatslēgas ControlSet001, ControlSet002 tā ir kopija, kas tiek izgatavota, kad dators ir veiksmīgi startējis, un šī vadības kopa ļauj noteikt, kura bija pēdējā sāknēšana bez problēmām vai pēdējā zināmā labā konfigurācija. Šajā atslēgā mēs atradīsim pierādījumus par jebkuru USB atmiņas ierīci, kas ir pievienota šai sistēmai. Piemēram, USB atslēgas ietvaros mēs atrodam vairākas ierīču apakšatslēgas, un mēs redzam, ka viena no tām atbilst Motorola XT1040 mobilajam tālrunim, kas kādā brīdī ir pievienots, izmantojot USB.
PALIELINĀT
Analizējot citu apakšatslēgu, mēs redzam, ka ir pievienots Lexmark X1100 sērijas skeneris, šī ierīce ir daudzfunkcionāls printeris, taču reģistrs norāda, ka tika izmantots usbscan pakalpojums, nevis usbprint.
PALIELINĀT
Izmantojot USB atslēgu, mēs redzēsim to ierīču vēsturi, kuras vairs nav savienotas. Lai redzētu vai attēlotu savienotās ierīces, mums jāaplūko apakšatslēga:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
PALIELINĀT
Šajā gadījumā mēs varam redzēt Kingston pendrive, kas savienots ar datoru, ja ierīce tiek noņemta, apakšatslēga paliek reģistrēta USBSTOR, līdz dators tiek izslēgts, bet ieraksts paliek USB apakšatslēgā.
Meklējiet sistēmā uzstādītās ierīces.
Ja lietotājs izmanto jebkuru uzstādāmu aparatūras ierīci, piemēram, ārēju DVD atskaņotāju, ārējo cieto disku, zibatmiņu, reģistrs atstās pēdas no pievienotās ierīces. Šī informācija tiek glabāta apakšatslēgā:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesZemāk mēs varam redzēt visu to datoru sarakstu, kas ir uzstādīti vai ir uzstādīti datorā, C: D: un F: diskdziņos. Ja mēs veicam dubultklikšķi uz D diska, mēs redzēsim, ka tas ir kompaktdisks, kas pievienots no VirtualBox, un, ja mēs darīsim to pašu ar disku F, mēs redzēsim, ka tas ir Kingston pendrive, kas kādā laikā tika pievienots.
Ja mēs nevaram noteikt, kura ierīce tā ir, mēs varam saistīt MountDevices atslēgas ierīces, aplūkojot atslēgu binārā formātā un pēc tam šo unikālo ID, kuru mēs meklējam citās apakšklāsās. Viens rīks, ko mēs varam izmantot, ir USBViewer, kas ir vienkāršs un pārnēsājams rīks, kas piedāvā iespēju apskatīt informāciju par USB ierīcēm, kas pašlaik un iepriekš ir bijušas savienotas ar datoru.
PALIELINĀT
Windows reģistrs ļauj saglabāt notikumu vēsturi par Windows sistēmā notikušo, izmantojot dažādas metodes un procedūras, mēs varam rekonstruēt faktus un noteikt izmantotos elementus.