Analiza rejestru systemów z rodziny Windows
za
pomocą
programu X-Ways Forensics.
Informacje podstawowe
Wprowadzenie i cel pracy
Niniejsza publikacja stanowi wstęp do cyklu artyku -łów poświęconych możliwościom analizy systemów operacyjnych z rodziny NT. Przeprowadzone badania oraz przedstawione przykładyw znacznej mierze będą opierać się na pracy w programie X-Ways Forensics, jednak autor przedstawi również programy niekomer -cyjne, które mogą wspomóc analizę cyfrowego
mate-riału dowodowego. Pierwsza część artykułu to wgląd
w podstawowe informacje o rejestrze Windows oraz omówienie poszczególnych jego gałęzi. Następnie po-ruszone zostanązagadnieniadotyczącem.in. ostatniej
aktywności użytkownika, analizydziałalności interneto-wej, konfiguracji sprzętu, identyfikacji podłączanych urządzeń.
Nawiązanie współpracy pomiędzy Komendą
Woje-wódzką Policji w Łodzi a Politechniką Łódzką, przy wsparciu oddziału łódzkiego Polskiego Towarzystwa Informatycznego, zaowocowało pracami nad oprogra-mowaniem wspomagającymekspertów z dziedziny in-formatyki. Dlatego też w dalszych częściach zostaną
przedstawione narzędzia, będącewynikiem tej współ
pracy. Slużyć one mogą do analizy danych znajdują
cych się na dysku twardym (m.in.program do analizy plików z popularnych przeglądarek internetowych ta-kich jak:FireFox, Opera, Chrome, IE), konwertowania formatów plików multimedialnych, pomagają tworzyć
różnegorodzaju raporty.
Pracującz cyfrowymi nośnikamidanych, nie można
zapomniećoprawidłowym postępowaniu zmateriałem dowodowym. Dlategoteżautor zaproponuje procedury, które powinnybyćstosowane w laboratoriach krymina-listycznych. Wypracowanie dobrych praktyk wydaje się
konieczne,bowiem do tej pory pomimo ich stosowania w poszczególnych laboratoriach,nie zostały one usys-tematyzowane i rekomendowane przez wszystkie pra-cownie.
Celem starań podjętych przez autora jest zarówno zapoznanie kandydatów na ekspertów pracowni kom-puterowych z obecnie stosowanymi metodami ujawnia-nia informacji z elektronicznych nośników danych, jak i ugruntowanie wiadomości doświadczonych inżynie
rów z zakresu informatyki śledczej. Poniższe opraco-wanie może wydawać sięistotne zewzględu na fakt,iż
w resorcie brak jest specjalistycznych szkoleń
podno-38
szących kwalifikacje ekspertów w dziedzinie informaty-ki. Dlatego teżwypracowywane i przedstawione meto-dy bazują nadoświadczeniach ekspertów z terenu ca -lego kraju.
Informacje podstawowe - rejestr Windows
Rejestr ustawieńw systemach operacyjnych z rodz i-ny Windows to baza dai-nych zawierająca, zestawione hierarchicznie, informacje konfiguracyjne. W tej bazie przechowywanesąliczne dane opisujące: system ope-racyjny (w tym datę instalacji'), konta użytkowników,urządzenia zarządzane przez system operacyjny z wy-korzystaniem kontrolerów IDE/ATA/ATAPI,SCSI, RAID, stacje dysków, karty sieciowe, przenośne urządzenia magazynujące, zainstalowane oprogramowanie oraz wiele innych.Z uwagi na fakt,że działaniesystemu
za-leżyw znacznejmierze odustawieńzapisanych w reje-strze, z punktu widzeniainformatykiśledczejjest to bar -dzo cenny zbiór informacji przydatnych w czasie prze-prowadzanych badań, jak chociażbyzapisy o odinsta-lowanych programach.
Struktura rejestru składa się z pięciu kiuczy głów
nych przedstawionych w tabeli 1.
W starszych systemach takich jak Windows 98 pliki rejestru zlokalizowane były w dwóch plikach sys-tem.dat i user.dat. Systemy operacyjne z rodziny NT
mają kilka pojedynczych piików zawierających tema-tycznie zorganizowane informacje tzw.gałęzie2. Infor-macja o miejscu ich przechowywania znajduje się
w kluczu HKEY_LOCAL_ MACHINEISystemIControl-Set0011Controllhivelist (ryc. 1) imoże przedstawiać się następująco:
•HKEY_LOCAL_MACHINEISAM • HKEY_LOCAL_MACHINEI Security • HKEY_LOCA L_MACHINEI Sottware • HKEY_LOCA L_MACHINEI System • HKEY_USERI.Defauit
• HKEY_US ERI S-1-5-2 1-220523388-492894223 -1343024091
• HKEY_USERI S-1-5-2 1-220523388-492894223-1343024091-Classes
Wskładjednej gałęzinp.HKLMwchodząplikigłów
ne zapisane na dysku twardym. Posiadająone pliki do-datkowe, np. C:lwindowslsystem32Iconfig. zawiera m.in.pliki3:
Struktura rejestru Windows Structure ot Windows register
Tabela 1
Nazwa kluczagłównego Opis
HKEY_LOCA L_MACHINE Zawsprzętuieraiinformacsystemu opeje osystemie komputeraracyjnego,takiejak typ magistralilokalnego,włącza,pamjącięćwsystemowato dane dotyczące,słerowniki HKLM urządzeńidane kontroliuruchamiania.
Zawiera informacjewykorzystywa neprzezróżn egorodzaju technologieOLEidane skojarzeńklas plików.Dany klucz lubwartość występujewkluczu HKEY_CLASSES_ROOT, HKEY_CLASSES_RDDT jHKEYeśli odpowiadający_LOCAL_MACHINEmu kluczISOFTWAREIClasseslubwartość występujebądźwkluczukluczu
HKCR HKEY_CURRENT_USER\SOFTWAREIClasses.Jeżeliklucz lubwartość występuje
wobydwu miejscach, to wersjaHKEY_CURRENT_USERjesttą,którawystępujew kluczu HKEY_CLASSES_ROOT.
Zawieraprofilużytkownika,który jest aktualnie zalogowanyinteraktywnie
(jakoprzeciwieństwozalogowaniazdalnego),w tym zmienne środowiskowe,ustawienia HKEY_CURRENT_USER pulpitu, połączeniasieciowe, drukarki i preferencjeprogramów. To poddrzewo jest aliasem
HKCU poddrzewa HKEY_USERSi wskazuje na
HKEY_USERS\identyfikator_zabezpieczeń_bieżącego_użytkownika.
Zawierainfo rmacje o aktualniezaładowanychprofilachużytkownikówi profiludomyślnym. HKEY_USERS Częśćtych informacjipojawiasię takżew kluczu HKEY_CURRENT_USER.Użytkownicy
HKU uzyskującyzdalnydostępdo serwera nie mająprofili pod tym kluczem na serwerze; ich profilesą załadowanedo rejestr u ichwłasnychkomputerów.
Zawiera informacjeo profilu sprzętowym używanympodczas uruchamianiakomputera lokalnego. Te informacjesą używane międzyinnymi do konfiguracji ustawień,takich jak HKEY_CURRENT_CONFIG sterownikiurządzeńdozaładowaniaidostępne rozdzielczości wyświetlania.To poddrzewo
HKCC wchodzi wskładpoddrzewaHKEY_LOCAL_MACHINEiwskazuje klucz
HKEY_LOCAL_MACHINEISYSTEM\CurrentControISet\Hardware Profiles\Current.
źródło:opracowaniewłasnena podstawie htlp:l ltechnet.microsott.com
iłEdytorreojestru
flik Edycj . Widok Vlubione Porno," ~:. Komputer HKEY_CLASSES_ROOT HKEY_CURRENT_USER ~ HKEY_lOCAl_MACHINE COMPONENTS HARDWARE SAM SECURrTY SOFTWARE ~ SYSTEM ~ ControlSetOOl ~ Control
F.leSynemUtl lit ies GraphicsDrivers GroupOrderlist HAL hive1ist
Ryc.1. Okno Edy tor rejestru widok klucza hivelist
źródło(ryc.1-9):autor
Fig. 1. Windows Registry editor hivelistkey view
PROBLEMY KRYMINALISTYKI 270(pażdziernik-grudzień)2010
Nazwa ~(Domy5lna)
~\REGISTRY\ MACHINE\COMPONENT S ~\REGISTRY\MACHINE\HARDWARE ,~\REGISTRY\MACHINE\SAM
~\REGISTRY\MACHlNE\SEC UPJTY
Uazwawaftoki:
\REGISTRY\MACHI NE\SOFTWARE QanewMtośd·
'"
.
.
OK
I
I
...
Tabela 2
Pliki zapisane nadysku twardym orazichpowiązaniazodpowiednimi gałęziamiw rejestrze Windows
Fi/es recorded on hard disk andconnected with Windows register hives
Nazwa pliku Opiszawartości
system,system.sav,system.log HKLM\ SYSTE M
sam,sam.log HKLM\SECURITY\SAM
softw are,softwar e.sav,software.log HKLM\SOFTWARE, HKCR
secunty,security.log HKLM \SECURITY
default HKU\.DEFAULT
C:\Documents and setttnp s-uvazwaużytkownika·\ntuser.datuser.dat.log HKCU,HKU\-identyfik ato rużytkownika(810) -źródło(tab.2-17):opracowaniewłasne
• software - plikgłówny,
• software,log- wprowadzane zmiany, •software.sav- kopia.
Powiązanie plików zapisanych na dysku twardym z kluczami rejestru przedstawia tabela 2.
Każdy klucz lub podkluczmoże zawierać kilka wpi
-sów (lub być pusty). Wszystkie wpisy składają się z trzechczłonów: nazwy,typu i danych.
Przykładowe typy danych używanychwrejestrze" : •REG_BINARY- wartośćbinarna5wyświetlanaprzez
edytorrejestru w notacjiheksadecymalnejś,np.klucz HKLMISOFTWARE IMicrosoft lWindowsNTI CurrentVersionlDigitalProductld; dane a4 00 00 00 03 00 00 00 38 39 35 38 33 2d (..
F
Wartość bi-narną możnajednak w niektórych przypadkach po -dejrzeć,uruchamiając zakładkę Edytowaniewarto-ścibinarnej (ryc.2).
• REG_DWORD - dane zapisane w postaci liczby odługości4 bajtów (32 bity),wyświetlaneprzez edy
-tor rejestru w notacji binarnej, szesnastkowej lub dziesiętnej8, np. klucz HKLM
ISOFTWAREIMicro-softlWindowsNnCurrentVersion\lnstailDate; dane szesnastkowe4ac3906t,dziesiętne 1254330479.
• REG_EXPAND_SZ- ciągdanych o zmiennejdłu gości obliczany,gdy program bądż usługa z nich korzysta, np. klucz HKCUISOFTWAREIMicro
-soft\WindowslCurrentVersionlExplorerlUser Shell
Folders:dane %USERPROFILE%IDesktop. • REG_MULTCSZ - ciąg wielokrotny. Wartości
przedstawione sąw formiemożliwejdo odczytania przez użytkowników.Wpisy są oddzielone spacja
-mi,przecinkami lub innymi znacznikami,np.klucz HKLMISYSTEM IControiSet001 1 IEnumIIDEICdRomLl TE-ON_DVO_SOHD- 16P9S; dane IDEICdRomLlTE-ON
_DVD_SOHD-[dytOWclOle wertosct binarnej [1]~
.
..
... ..
....
•
' ".
l o •"""
(~rIfU5tłlc:nI) 105233łb0000000026OO.xptpJPl_rP.091:zoe.Z03il!
Dodatek5tfvaPKk) 1.511.1(){0bs0W:.
del
.
·
ÓDno' 2600 ~lproceHOr""" '.1 ...00000003000000353538 35 J5 38 36 3'1 Ul 'lf '15 'ID 2D ao 30 31 31 39 ao 000 14 00 00 00 03 00 00 00 000 010 010 O_ W«toki: łD5pHch ~ ~ Typ:
:
~
E,~.
r
l
-
;
:~~~
:)
:;:
HAA
V
a:e.AcI.ab FllG..5Zł>8 T(pIp r...CSOYenion RfG.,,5Z ...CJTehItSM'ver '
t,~T.lI'INI s.rver ' Cwert8l.łd REG-Sl
t,SJrr«tlljl fU'C1xr~ IlfG.,5l t CJTr-.ctionSr ~ClIrIl'ltType RfG...n t.SJ~ ~CUTentY"łlon RfG..5Z ., 8 lll'ltl9$p«M l&1Dig1tł1lro6.la:1d IWi..JINAAV łCJUpdItes łCJL.PnPDevbHo G;JVllA t.\i;]~l.dc ...W WfIIJ t i:JWBfM ł.CJ\lr\'ldows ł>CJWWldowto.t... ':JWndowtGtt'lJłr ;,JWlncIowsMe6I Ryc. 2.OknoEdytowaniewartościbinarnej
Fig.2. Windows Editingotthe binaryvełue
-16P9S FS09 IDEILlTE
--ON_DVD_SOHD-16P9S (...j.
•REG_SZ - ciąg tekstowy o stałej długości, np. klucz: HKLMISOFTWAREISymanlecIS ymNel-DrvISym/M; dane C:IProgram Fi/es(x86jINorton
AnliViruslEngine64116.7.2.11.
In f o rm acj e podstawowe - X-Ways Forensics
X-Ways Forensics jest zaawansowanym środowi
skiem pracy dla specjalistów z zakresu informatyki
śledczej, oferującym duże możliwości analizy danych.
Za pomocą programu można m.in.: powielać cyfrowy
materiałwpostaci klonów lub obrazów,odzyskiwać
da-ne,an al izować zawartość nośników,w tymrównieżd
o-konywać podgląduposzczególnychplikównp.obrazów
graficznych,archiwów,kluczysystemowycn''.
Raportowanie oraz analiza rejestru Windows za pomocą programu X-Ways Forensics
Analizę klucza systemowego MS Windows za po
-mocąX-WaysForensicsmożna przeprowadzićnadwa
sposoby:
• manualne wskazanie konkretnego pliku (istnieje
niebezpieczeń stwo pominięcia informacji zapi sa-nychw innychniżstandardowa lokalizacja),
•wykorzystanie trybu automatycznego z filtrem TypIWindows Registry iopcją Explore Recursively (ryc.3),który pozwalaujawniaćwszystkie(widocz
-ne.skasowane,wtym wyeksportowane) plikire
je-struna danej partycji.
Kolejny krok to wskazanieodpowiedniego plikuz
a-wierającegokluczrejestru. Potejczynnościzapomocą
prawego przyciskumyszy należy otworzyć podręcz n e
Menu i wyb rać opcję CrealeRaport.Wzorzec raportu
Rejestru Windows ma nazwę Reg Report.
ta.
Jest toedytowalny plik tekstowy. Następnie należy wskazać
nazwę oraz miejsce,wktórymmabyćzapisanyraport
w formacie HTML. Program, tworząc zestawienie na
podstawiezdefiniowanegoplikuRegReport.txt,zwraca
wartości zadeklarowanychkluczy w postaci:
HKLMISOFTWAREIMicrosoftlWindows NTI ICurrentVersionl ProductName
2009-10-1403:13:40Operatingsystem:Name
Windows Vista(TM) Home Premium
W przypadkuwystąpienia
n
wa rtościdanego podklu-czazostanie on umieszczonyn
razy w raporcie.Poniżej przedstawiono klucz HKLMISOFTWAREI
IMicrosoftlWindowsNnCurren/Version zawierający in
-formacje o systemie Windows możliwe do odczytania z poziomu programu Edylor rejestru(ryc. 4).
Jakjuż wspomniano,plik wzorca raportu może być
edytowany. Funkcjonalność ta może okazać si ę przy-datna,gdy poszukujesięinformacji fragmentarycznych np. tylko danych typu: nazwa systemu operacyjnego,
data instalacjiitp. lub danychpierwotnie n
ieprzewidzia-nych w raporcie przez producentów oprogramowania.
-
o "'
...
.
1F1r..
..
..
..~..
"-!l" ~ ..ił~Q ".o ę!I~C~g_,_0.0.
. . .C..
••
T:_~," '''-<'!",.,.
.
-. .... e-CO""OłlEWTSI
oJ'..J
'
'''
...c o:>I"OlllNrl .J_ ~..,, _....
Cł~AIJLTI
....J, ...CI'lI,,--,O Cł'lIAT oJ_ _ • ...JSf.--._
..
...Jo_ s... r_ . J~I...'".
""
..
oJ... • _H _ NTVSEIIDAT .J_...Jc.e_ ...~s.n;..'iI. 'lTIJSE Il.OAT
I
.J... J_~ NnIU "tlT.J...._
, ...JMW<:w.. tłfUSlIl.OAT .J_
• ...JPorf\.09'
...
.. .J....J5..-Codow ... • J ' ...._ ,......
5./J • ..J'ror-
Jola(;11M,"""'''
"
_ _.11.-,.... • .J~""O..."'""'"
"
....
.
~....
• ...JSyIl:_~ "" lnI_Mo~ JOfTYl'.lP[I I
"
fIdo~'~~ SOfTWI.Pl -•..JUl..."
_
..
.
~...
• J ....- . , ."'''"
"
..,U·~loogollJl ",,,..
I
-..
I
"
_ ·At9'l"JIM-
""
.-
--
...
.
.---Ryc. 3.Okno filtruTypeprog ramuX-WaysForens ics Fig.3. Windowsoll ilter Type programX-Ways Forensics
~.JP'thN, me
'!~;ProdudId
ilblReQirteredOra,niutlon Ryc. 4.RejestrWindows- podgl ądz programuEdytor rejestru
Fig. 4.Windows registerot preview trom program Register Viwer
REG_SZ REG_SZ REG_SZ REG_SZ C:\Windows 89~ 83·0 EM·730418 5·71752 WindowsVirt,(TM)Herne Premivm
W tym celu należy odszukaćplikReg Report.txtw fol-derze C:IProgram FileslX-Ways Forensics. Składa się
on znastępującychtrzech elementów. Pierwsza część
określa system operacyjny NT,druga częśćtowartość
klucza z rejestru, który będzie wyświetlony, trzecia
częśćto opis (ryc. 5).
Zmieniając oraz dodając elementy do tego pliku,
można dowolnie modyfikować póżniejszy raport tak,
abydostosowaćgo dowłasnych potrzeb.
Poniżej przedstawiono przykłady modyfikacji oraz
korelacji poszczególnych kluczy w rejestrze z informa-cjami, które można uzyskać poprzez tradycyjne prze-glądanie działającego systemu Windows 10.W celuła
twiejszego zrozumienia,dane odnośniedo kluczy reje
-stru będą podawane w tabelkach w oryginalnym brzmieniu - wiersz "Rejestr" oraz zmodyfikowanegoto
-we do użyciaw programie X-Ways Forensics - wiersz "X-Ways" (tab.3-17).
Pfik EdycjI formłt Widok Pomoc
NT HKlM\software\Microsoft\Wind on~ NT\cu r r @ntv@ rs i on\Pr o duct N a~@ NT HKLM\Software\M1crosoft\Windows NT\Currentv@rsion\Currentvers ion
NT HKlM\Software\Microsoft\wi ndows NT\Current version\CSDVers1on
NT HKLM\softwar e\Microsoft\Windows NT\currentVersion\Instal1oate
NT HKLM\50ftware\M1crosoft\w1ndo~~ NT\currentversi on\Productld
NT HKLM\Software\M1 cr osoft\w1nd ~~ NT\C u r r entVe r s 1on\R e g is t er edO~ne r
Ryc. 5.FragmentplikuReg Report.txtz zamienionyminajęzykpolskiopisami Fig. 5.Fragmentotfile Reg Report.lxt with descriptions converted into Polish
Podstawowe informacje o systemie operacyjnym
Data instalacji systemu operacyjnego Date ot operation system installation
Na~'a systemuoperacyjnego. wer sja systemuoper acy j nego. zai ns t a lowany Servic e pac~
Data instalacji systemu. systemoperacyj nyproduet Id.
systemzarejestrowanyna osobe.
Tabela 3
Rejestr HKEY_LOCAL _MACHINE\SOFTWAREIMicrosoft\WindowsNnCurrentVersion\lnstallDate
X-Ways NT HKLM\SOFTWARE\MicrosoftIWindows NnCurrentVersion\/nstaIlDate Data instalacji systemu operacyjnego
Tabela 4 Nazwa systemu operacyjnego
Name ot operation system
Rejestr HKEY_LOCAL _MACHINElSOFTWAREIMicrosoftIWindowsNnCurrentVersion\ProductName
X-W'Y' NT HKLM\SoftwarelMicrosoftlWindowsNnCurrentVersion\ProductName Nazwa systemu operacyjnego
Tabela 5 Numer identyfikacyjny Windows
Windows ID number
Rejestr HKEY_LOCAL_MACHINElSOFTWARE\MicrosoftIWindowsNnCurrentVers;onl/nstallDate
X-W'Y' NT HKLM\SoftwarelMicrosoftlWindowsNnCurrentVersion\ProductName Numer identyfikacyjny Windows
W doprecyzowaniu wersji produktu Windows XP
można równieżprzean ali zować zawartośćpliku szablo
-nu domyślnych uprawnień systemu plików NTFS de
-f/tkw.infznajdującego sięw folderze W/NDOWSVnf. Dla wersji Windows Home Edition widnieje w nim
zapis NT 5.1Personal Edition
(c) Microsoft Corporation t997-2000 Security Configuration Temp/ate forSecurity ConfigurationManager
Temp/ateName: Def/tWK. /NF
Temp/ate Version: 05.fO.oP. OOOO
De/auli Security forNT5. I Persona/Edition.
Potwierdza to również plik eu/a.txt znajdujący się
w folderze W/NDOWSIsys tem32,w którym znajdujesię
zapis Microsoft(r) Windows(r) XP HomeEdition.
W przypadku wersji Windows Professional zapisy będą wyglądaćodpowiednio:
Plikdef/tkw.inf.
(c) MicrosoftCorporation 1997-2000
Security Configuration Temp/atefor Security Configuration Editor
Temp/ateName: Def/tWK./NF
Temp/ale Version:05.I0.0W.0000
DefaulI Security for Windows NT5.I Professiona/
Plikeu/a.lxt Microsoft Windows XP Professional.
Przykładoweoznaczenia WindowsProduet1011:
xxxxx-OEM-xxxxxxx-xxxxx- wersja OEM, xxxxx-640-xxxxxxx -xxxxx - wersjaSOX,
xxxxx-647-xxxxxxx -xxxxx- wersjaVLK.
Tabela6
Window sProduet ID
Rejestr HKEY_LOCAL_MACHINE\SoftwareIMicrosoftIWindowsNnCurren tVersion\ProductlD
X-Way. NT HKLM\Software\MicrosoftIWindowsNnCurrentVersion\Productld Windows Produet ID
Tabela7 Klucz Window s
KeV Windows
Rejestr HKEY_LOCAL_MACHINE\SOFTWARElMicrosoftIWindowsNnCurrenlVersionlDigitalProductlD
X-Ways NT HKLM\SOFTWARElMicrosoftlWindowsNnCurrentVersionlDigilalProductlD KluczWindows
!I
RegistryVi~~r•
,
,
8·
.:.J
CUrTentVNSion.
Nem e Typ. Valuel
fi}
:..:.J
AccessibilityelIO.f.uk) REG.SZ (vllue not set)
,
li!
..:.J
AeOebugI
~CurrentVersion REG.SZ 6.0I
1--
-2..J
APnracing ~CurrentBuildNumb~r REG_SZ 6002!
I
,
-2..J
AppCompatFlags ~Current8uild REG.SZ 6002i
1łJ·..:JASR ~SoftwareType REG_SZ System,
~~Compatibility32 e)CurrentType REG_SZ MultiprocessorFreelE~(onsole ~;JlnstaI10ate REG. OWORD O,4AC3906Fn254330479)
t1r
-
-2..J
CorruptedFileReccvery ~Re9isteredOr9anization REG_SZl..
:...:J
OefaultProdudKey ~Re9isteredOwnef REG_SZ Tomek.I
$.
-
:...:J
Oisk.Diagnostics ~SystemRoot REG_S2 C:\ Windows,
i,.
:...:J
drivers.desc ~ProductName REG.SZ WindowsVista(lM)HcmePremiu mI
!--
...:.J
Orivers32 ejProductld REG_SZ 89S83·0EM·730418S·71752
~.,.-2..JEFS ,'o •• . '
..
,
.' .. II IłIIł Ił II II,
,
.
.
I
ciJ
·
..:J
EMOM9mt 1~)OigitalProductld4 REG_BINARY ~~oooo~oooooo~oo~oo~ oo~ ooi
-
..
.
...b1EditionlD REG SZ HomePremiumRyc.6. KluczproduktuWindowszapisanywrejestrze Fig.6.WindowsKey recorded in register
Tabela 8 Zainstalowane oprogramowanie
Installed software
Rejestr HKEY_LOCAL_MACHINE\SOFTWARElMicrosoft\WindowsICurrentVersion\Uninstal/\
X-Ways
N
T
HKLM\$oftwareIMicrosoft\WindowsICurrentVersion \Uninstafl \*\DisplayName Localmachine :installedprograms: nam e
W rejestrze klucz produktu Windows widnieje jako
wartość binarna, natomiast w raporcie otrzymujemy
przekonwertowane dane 12 (ryc.6).
W celu identyfikacji Windows 7, Vista,Server 2008,
posiadając jedynie Klucz Windows, można posłużyć
się stronami typu Windows PIDchecker
(http://d--Iault.nl/pidcheck!).Po wpisaniu klucza produktu
Win-dows otrzymujesiętakie dane jak:Windows Product ID
nazwęWindows oraz rodzaj licencji (ryc. 7).
Informacje na temat kart sieciowych
W rejestrze systemu można znależć informacje na
temat zainstalowanych kart sieciowych. W przypadku
fizycznegowyjęciakarty dane na jej tematsą nadal
za-pisane w rejestrze. Karty sieciowe numerowane są od
1 w górę, ilość numerów oznacza licz bę zainstalowa
-nych urządzeń. Dane te znajdują się w kluczu
przed-stawionym w tabeli9 (ryc. 8).
PlOchecXH
In put
~9..11~.u1.2e :
"i
wocows7and servee2008R2
Produetssr,
122TKD-F8XXO- YG6 IlF-9M660-_ .-.
rCł1eckPIO
I
Output
'tQGuctKły
,
~zn:D·r8XXIS·YG6Slr-9Ii66D -_Val1111ty
,
Vdld'cod\l.ctIti
,
lOOOOC"-O[ft- . ,926e 2-OOU1Act1V1tion ID
,
7c:tI14696-Ei9a9-4.n- If 36- r r )0:11a.--. Idlt1cm 'l'ype,
U!tiutet>l1c:~lptiCll
,
l/lndO\l' 7 Ulei...u onI1SLPIdl t l cmID l XlS - 313 '4 K~y Typ~
,
OElll51.PC[YP[O III
,
mRyc. 7. WidokWindowsPIDchecker z kluczem produktu Windows id o-datkowy mi informacjami na temat wersji
Fig.7.View otWindows PIOcheckerwith Windows COKey andmorein
-tormation about MS version
Tabela 9 Zainstalowane karty sieciowe
Installed network cards
Rejestr HKEY_LOCAL_MACHINEISOFTWARE\Microsoft\WindowsNnCurrentVersion\NetworkCards
X-W.y. NT HKLM\$oftwareIMicrosoft IWindows NnCurrentVersion\NetworkCards Zainstalowane karty sieciowe
W rozpatrywanym przypadku jest zainstalowanych sześćkart sieciowych.
:
Y
Registry Viewer
8 ~NetworkCerd, ~10 ~13.-1
2
~21 ~23.2.l
f1J
" Narne §j(Defd ) ~5ervlceName ~Descrlptlon Type REG_5Z REG_5Z REG3Z Velue (velue not 'et){802F80SS-8896-17E1-86FO-A2A09CC2EA9Af
SAGEM WI-FI 110U5Bed,pter
Ryc.8.Widokkluczarejestruz zainstalowanymikartami sieciowymi Fig. 8. View otregister key with network cards installed
Raport z programu X-Ways Forensics wygląda
na-stępująco:
HKLM\software\Microsoft\Windows NnCurrentVer -sion\NetworkCards \1O\Descr iption
2007-10-1012:09:18
Model description ol installed network card Realtek RTL8168/8111 PCI-EGigabit Ethernet NIC
HKLM\software\Microsoft\Windows NnCurrentVer-sion\NetworkCards\13\Description
2008-08-22 09:31:55
Modeldescription ol installed networkcard Karta Realtek RTL8029(AS)PCI EthernetAdapter HKLM\software\Microsoft\Windows Nn CurrentVer-sion\NetworkCards\2\Description
2007-10-1012:10:13
Modeldescriptionol installednetworkcard Kartasieciowa1394
HKLM\software\Microsoft\Windows NnCurrentVer-sion\NetworkCards\21\Description
2009-10-1909:55:06
Model descriptionol installed network card
Sony Ericsson Device 0016 USB Ethernet Emula-tion (NDIS 5)
HKLM\software\Microsoft\Windows Nn CurrentVer-sion\NetworkCards\23\Description
2009-06-17 10:32:27
Modeldescriptionot installednetwork card LGE MobileUSB WMC Ethernet (NDIS 5)
HKLM\software\Microsott\Windows NnCurrentVer-sion\NetworkCards\27\Description
2009-11 -0610:00 :43
Model descriptionot installed network card SAGEM Wi-Fi11g USB adapter
Powyższe dane można uzyskać w Panel
sterowa-niaJSystemlMenadżer urządzeń, następnie wybierając właściwościkart sieciowych.Jednakniewszystkieurzą dzeniasieciowezapisująinlo rmacjeo swoich stero wni-kachw podkluczuNetworkCards. Niektórez nich (
prze-ważnie USB)można znależćw innych lokalizacjach.
Dane dotyczącezainstalowanych urządzeń
Inlormacje o zainstalowanym sprzęcie znajdują się
w podkluczu HKLMISYSTEM\CurrentControISetIEnum. W przypadku urządzeń magazynujących należy
w pierwszej kolejności rozpatrzyć, za pomocą jakiego interfejsu urządzenie tozostało połączone z kompute -rem.W przypadku standardów ATA/SATA zainsta lowa-neurządzeniaodnajduje sięw podkluczu IDE.
Tabela 10 Urządzeniatypu CO. DVD. HDD (ATA/SAlA)
CO.DVD. HDD (ATA/SATA) devices
Rejestr HKEY_L OCAL_MACHIN E1SYSTEMlConlroISeIOO1IEnumltDE
X-Way.
NT
HKLMIS YS TEMIConlr olSel'IEnumllDE1 'I'IFrien dlyName Name UrządzenieIDEW przypadkuzewnętrznych urządzeń magazynującychtransmisja może następowaćzapomocąportu USB/F i-reWire13.
Tabela '1
Urządzenia magazynujące
usa
typu pendrive,dyskiw kieszeniachus
a
storage devices such as pendrive,poeket driveRejestr HKEY_LOCAL_MACHINE1SYSTEMl ConlroISetOO1IEnum IUSBSTOR
X-Ways
N
T
HKLMISYS TEMIConlroISel'IEnumIUSBSTORI'\'\FriendlyName Urządzenie magazynująceUSBTabela12
Urządzenia podłączonepoprzez FireWire
Devices connected by FireWire
Rejestr HKEY_LOCALMACHINEISYSTEMIControISetOOIIEnum l1394
X-Ways NT HKLM\S YSTEM IContro/Set*\Enum\1394\*\*\Hardware ID Urządzen ie magazyn ujące podłączonepoprzez FireWire
Tabela 13
Stacja FDD FDDstation
Rejestr HKEY_LOCA LMACHINEISYSTEMIConlroISetOOIIEnuml
X-Ways NT HKLM\SYSTEM \ControfSet*\Enum \FDC \*\*\HardwareID Stacjadyskietek
Tabela 14
Drukarki
usa
USBprinters
Rejestr HKEY_LOCAL_MACHINEiSYSTEMIControISetOOIIEnum IUSBPRINT
X-Ways NT HKLMISYSTEMIControISet-IEnum IUSBPR IN n-I-IFriendlyName DrukarkiUSB
Dan e dotyczące użytkownika
Informacje dotyczące kontaużytkownika można
od-należć w plikach: ntuser.dat. Zawierająone takie dane
jak ostatnio uruchomione, za pomocą Windows,
pro-gramy czy też dokumenty. Istotne mogą okazać się
przypisane operacjom daty systemowe,wraz z danymi
o zainstalowanym oprogramowaniu (HKE Y_
LO-CAL_MACHINEISOFTWAREIMicrosoftIWindows
ICur-rentVersion\UninstaIWIDisplayName) można dokonać
identyfikacji zainstalowanych oraz najczęściej używa
nych programów14
Tabela 15 Historia otwieranych dokumentów
History ot opened documents
Rejestr HKEY_CURRENT_USER\SOFTWARE\MicrosoftIWindows ICurrentVersion \Explo rerlRecentDocs l
X-Ways NT HKCUISoftwa re \MicrosottlWindowslCurrentVersion lExplorerl RecentDocsl* Histori aotwieranych dokumentów
Tabela 16
Programyw autostarcie Programmes in autostart
Rejestr HKEY_LOCA CMACHINE'lSOFTWAR E\MicrosoftIWindows \CurrentVersion \ExplorerIRecentDocs\
X~Ways NT HKLM \Software IMicrosoft\WindowsICurrentVersion\Run l* Programy urucham iane przy starciesystemu
Tabela 17 Historiauruch amianych programów
History ot laun ch edprogrammes
Rejestr HKEY_CURRENT_USER\SOFTWAREIMicrosoft\WindowsICurrent Version\ExplorerlUserAss ist\(75 04870O-EFl F
-ttDO-9888 -00609 7DEACF9}\Count
X-Ways NT HKC U\S oftw are\Microsoft\Windows\CurrentVerslorrExplore r\UserAssist\{7 504 87 00 ·EF1F- 110098 88
-OOS097DEACF9)\Count\- Historia urucham ianychprogram ów
flwHtoadro S...d. o"Pa.lilion1 ~
Tomasz Pawlicki
1Wszystkiedaty/czas zapisywane w system ieWindows
są pobierane z urządzenia znajdującego się na płycie
głównejkomputeratzw.zegarasystemowego.
2ang.hives-ul,gałąż(w rejestrzesystemuz rodziny NT).
3 W trakcietworzeniaartykułuLK KWPŁódźniedy
spono-wałosystemem Windows7.
4J. Honeycu tt: Microsoft Windows XP Registry Guide,
Washington2003.s.24-25 (tłumaczenieautora).
5System binarny (dwójkowy) to system liczbowy,wkt
ó-rympodstawąpozycjisąkolejnepotęgi liczby2.Do
za-pisuliczb potrzebnesą więctylkodwiecyfry:Oi1.
6 Heksadecymalny - szesnastkowy system liczbowy,
wktórympodstawą pozycjisą kolejnepotęgi liczby 16.
00 zapisu liczb w tym systemie potrzebnych jest szesna -ściecyfr.Poza cyframidziesiętnymiod O do 9używa się
pierwszychsześciuliter alfabetułacińskiego:A,B,C,O,
E,F(dużeimałelitery).
7 Niewstawionocałegociąguznaków.
8Dziesiętny system liczbowy (decymalny)- system licz
-bowy,wktórympodstawąpozycjisą kolejnepotęgi l
icz-mie opera cyjnym, oprogramowaniu, urządzeniach
USB oraz wielu innych przydatnych,z punktu w
idze-nia informatyki śledczej, informac jach. Dlatego też
podcza sinterpretacjizapisanych za pomocąsystemu
operacyjnego Windows danych nie można pominąć
dokładnej jego analizy. Natomiast elastyczny mecha
-nizm raportowania, zaimplementowany w programie
X-Ways Forensics , pozwala na tworzenie włas nych
przejrzystych szablonów mogących znacznie wspo
-móc pracę eksperta. Wzorzec raportu Rejestru Win
-dows ma nazwę RegReport.ta,w momen cie zakupu
programu jestzdefiniowany wjęzykuangie lskim.
Pro-gramiści z X-Ways Software Technology AG przew i-dzieli jego rozbudowę i edycję, dzięki zapisaniu go
w tekstowym pliku edytowalnym. Znajomość kluczy
rejestru umożliwia dostosowanie raportów do wła
snych potrzeb i uwzględnienie danych niep rzewidzi
a-nych przez autorów programu.
PRZYPISY SMJdI.._ bculcloMo _
...
o
....
....
2.024 JJ 0RMC*ll'llMt.oll óeld_" .~"""" M- Ikon 100 _ dol.... . Oe - -b N1FS- - - . . . fJt1JoP'(łl ~ QcdT ...MPHlrPI) NIIrOoU I·...y] flMhV~I ~ MlOIlfllidl~=
..
I
I
'-'
Za pomocąX-WaysForensicsmożna równieżodzy -skiwać pliki, w tym pliki rejestru. Jedną z metod jest
funkcja File header signalure search.Opcja ta ma
du-że możliwościkonfiguracyjnepolegające m.in.na
usta-wieniu maksymalnej wielkości odzyskiwanych plików,
obszaru przeszukania (rn.in.wyboruobszaru tree
spa-ce,przestrzeni zaalokowanych czyteż całejpowierzch
-ni nośnika). Pliki odzyskane za pomocą tej funkcji są
umieszczane w utworzonymprzez program wirtuainym
katalogu badanegonośnika (ryc.9).
W przypadku plików skasowanychzapomocąkosza
systemowegozdołano przywrócić dane oraz odczytać
z nich informacje, jednak już po szybkim (dostępnym
z poziomu MS Windows) sformatowaniu nie były one
czytelnedla prog ram u.
Po d s u m o w ani e
Ryc. 9.OknoopcjiodzyskiwaniaFileHeaderSignatu reSearchprogra mu
X·Ways Forenstcs
Fig .9.Windowsof recoveryoptionsFifeHeaderSignature Search pro
-gramX·WaysForensics
Rejest r system uWindows toznacząceżródł o
infor-macji o badanym sprzęcie, jego użytkowniku,
by 10. Do zapisu liczb potrze bnych jest więc wnim 10 cytr:O, 1,2,3, 4,5,6,7,8,9.
9 Podstawowa analiza danych za pomocą programu
X-Ways Forensics została opisana wpracach z
alicze-niowychBłażeja Karpi ńskiego"Wykorzystanieprogramu X-Ways Forensicswopracowywaniuekspertyz z zakre-su badań sprzętu komput erow ego"oraz Marka Liszkie-wieza "Wykorzystanie aplikacjiX-Ways Forensicsw k ry-minalistycznych badaniach cyfrowych nośnikówdanych
- aspektypraktyczne".
1O W przypadku analizy materiału dowodowego i koniecz
-ności pracyna uruchomionym systemienależywykonać
jego klon.
11 Szerzej na ten temat można dowiedzieć się ze stron:
http://wik i.lunarso ft.neUwiki/P rod ucLIOs#.27xxxxx.27
_-_the_MicrosofLProduct_C ode oraz http://www
.tack-tech.com/dis play.cfm?ttid=342.
12 DotyczyX-Ways Forensics od wersji15.3.
13 W trakciepisaniaartykułunie posiada nokomp uteraz
in-tertejsemeSATA.
14 W tym celudodat koweinformacjemożna uzyskaćzap
o-mocą programuWindows File Analyze r, który analizuje
m.in.zawartośćfolderuG./Windows/Prefetch.
BIBLIOGRA FIA
1. Fleisc hm ann 5.:X-Ways Software Technology AG X --Ways ForensicslWinHex . Manuał book, Copyright© 1995-2009,X-Ways SoftwareTechnologyAG.
2.HoneycuttJ.:Microsoft WindowsXP Registry Guide,
Copyright(C)2003 by Jerry Honeycutt.
3. Chorążewski M.,Zię ba D.: Rejestr Windows XP.Lek
-sykon kieszonkowy ,Helion 2004 r.
4. Karpi ński B.:Wykorzystan ie programuX-Ways
Foren-sics w opraco wyw an iu ekspert yz z zakr esu badań sp rzęt u
komputerowego, praca zalicz eniowa, LK KWP Bydgoszcz , 2008r.
5. Liszkiew icz M.: Wyk orzystan ieaplikacji X-Ways For
en-sicswkryminalistyczny chbad aniach cyfrowychnośni kówd a-nych- aspektypraktyc zne,praca zaliczeniowa, LK KW P
Kra-ków,2009 r.
Streszczenie
Pracama naceluzapoznanie
z
podstawowymiinformacjamina temat rejestru Windows,którymożebyćjedynym źródłem
pozwalającymnaidentyfikacjęsprzętuiaktywnościużytkowni
ka.Struktura rejestruskładasięzpięciukluczygłównychz
awie-rającychm.in.:informacje o systemiekomputera lokalnego,usta
-wieniachpulpitu,połączeniachsieciowych, drukarkach iprefe
-rencjach programów oraz konfiguracjisprzętowej. Zuwagi na
ten faktdziałuniesystemuzależywznacznej mierzeodustawień
zapisanych w rejestrze, azpunktu widzenia informatykiśled
czej jestto bardzo cennyzbiórinformacjiprzydatnywczasie
przeprowadzanychbadań. Ponieważjednymzelementów pracy
48
infonnatyka śledczego jest czytelne przedstawianie wyników,
w artykule omówionesą równ ież możliwościedycyjneraportów
generOlvanychprzezprogram X-Ways Forensics.Takie dosto
so-wanieprogramu pozwalanaczytelniejsząprezentacjęwyników
badań informatyczny ch, któresą bardzo częs to niezrozumiałe
dla przedstawicieliwymiarusprawiedliwości.
Słowakluczowe: X-WaysForensics.rejestrWindows,klu
-czerejestru,analiza rejestruWindows.
Summary
The hereby ariiclepresents basie informationon Windows
register that may be the onlysource allowingidentificationof
hardware anduseractivity. The structure of registercomprises five main keys including:informationon local computersystem, desktop seUings, networkconnections, printers and software preferences,as wellas hardtuare configuration. Duetothat[act, system operation largely dependson settings recorded in the register.From the pointof view of lT investigationsit is a very important collection of information useful in examinations. Becauseof the elements ofII expertit is elear presentation of resu1ts,the Articlediscusses also editoriot potentialgenerated by X-WayForensics software.This adjustment of the programme
allows more legible presentationof IT examinations, whichare very often difficult to understand for representatives of the judiciary.
Keywords : X-Way Forensics, Windows register, register keys, Windows register analysis.
B
iblio teka N
au kow a
eŁKK
GP
Aleje
U
j azdowskie 7
zaprasza ekspertów i technikówkryminalistyki
do korzystania zarówno
z opracowań książkowych.
jak i specjalistycznych czasopism
polskich i zagranicznych.
Biblioteka jest czynna co d zie n n ie
w godz. 8.15-16.00 tel. (22) 601-45-30
e-ma il:b.lcgo wicz@p olicj a.g ov.pl