Analiza rejestru systemów z rodziny Windows za pomocą programu X-Ways Forensics. Informacje podstawowe

(1)

Analiza rejestru systemów z rodziny Windows

za

pomocą

programu X-Ways Forensics.

Informacje podstawowe

Wprowadzenie i cel pracy

Niniejsza publikacja stanowi wstęp do cyklu artyku -łów poświęconych możliwościom analizy systemów operacyjnych z rodziny NT. Przeprowadzone badania oraz przedstawione przykładyw znacznej mierze będą opierać się na pracy w programie X-Ways Forensics, jednak autor przedstawi również programy niekomer -cyjne, które mogą wspomóc analizę cyfrowego

mate-riału dowodowego. Pierwsza część artykułu to wgląd

w podstawowe informacje o rejestrze Windows oraz omówienie poszczególnych jego gałęzi. Następnie po-ruszone zostanązagadnieniadotyczącem.in. ostatniej

aktywności użytkownika, analizydziałalności interneto-wej, konfiguracji sprzętu, identyfikacji podłączanych urządzeń.

Nawiązanie współpracy pomiędzy Komendą

Woje-wódzką Policji w Łodzi a Politechniką Łódzką, przy wsparciu oddziału łódzkiego Polskiego Towarzystwa Informatycznego, zaowocowało pracami nad oprogra-mowaniem wspomagającymekspertów z dziedziny in-formatyki. Dlatego też w dalszych częściach zostaną

przedstawione narzędzia, będącewynikiem tej współ

pracy. Slużyć one mogą do analizy danych znajdują

cych się na dysku twardym (m.in.program do analizy plików z popularnych przeglądarek internetowych ta-kich jak:FireFox, Opera, Chrome, IE), konwertowania formatów plików multimedialnych, pomagają tworzyć

różnegorodzaju raporty.

Pracującz cyfrowymi nośnikamidanych, nie można

zapomniećoprawidłowym postępowaniu zmateriałem dowodowym. Dlategoteżautor zaproponuje procedury, które powinnybyćstosowane w laboratoriach krymina-listycznych. Wypracowanie dobrych praktyk wydaje się

konieczne,bowiem do tej pory pomimo ich stosowania w poszczególnych laboratoriach,nie zostały one usys-tematyzowane i rekomendowane przez wszystkie pra-cownie.

Celem starań podjętych przez autora jest zarówno zapoznanie kandydatów na ekspertów pracowni kom-puterowych z obecnie stosowanymi metodami ujawnia-nia informacji z elektronicznych nośników danych, jak i ugruntowanie wiadomości doświadczonych inżynie

rów z zakresu informatyki śledczej. Poniższe opraco-wanie może wydawać sięistotne zewzględu na fakt,iż

w resorcie brak jest specjalistycznych szkoleń

podno-38

szących kwalifikacje ekspertów w dziedzinie informaty-ki. Dlatego teżwypracowywane i przedstawione meto-dy bazują nadoświadczeniach ekspertów z terenu ca -lego kraju.

Informacje podstawowe - rejestr Windows

Rejestr ustawieńw systemach operacyjnych z rodz i-ny Windows to baza dai-nych zawierająca, zestawione hierarchicznie, informacje konfiguracyjne. W tej bazie przechowywanesąliczne dane opisujące: system ope-racyjny (w tym datę instalacji'), konta użytkowników,

urządzenia zarządzane przez system operacyjny z wy-korzystaniem kontrolerów IDE/ATA/ATAPI,SCSI, RAID, stacje dysków, karty sieciowe, przenośne urządzenia magazynujące, zainstalowane oprogramowanie oraz wiele innych.Z uwagi na fakt,że działaniesystemu

za-leżyw znacznejmierze odustawieńzapisanych w reje-strze, z punktu widzeniainformatykiśledczejjest to bar -dzo cenny zbiór informacji przydatnych w czasie prze-prowadzanych badań, jak chociażbyzapisy o odinsta-lowanych programach.

Struktura rejestru składa się z pięciu kiuczy głów

nych przedstawionych w tabeli 1.

W starszych systemach takich jak Windows 98 pliki rejestru zlokalizowane były w dwóch plikach sys-tem.dat i user.dat. Systemy operacyjne z rodziny NT

mają kilka pojedynczych piików zawierających tema-tycznie zorganizowane informacje tzw.gałęzie2. Infor-macja o miejscu ich przechowywania znajduje się

w kluczu HKEY_LOCAL_ MACHINEISystemIControl-Set0011Controllhivelist (ryc. 1) imoże przedstawiać się następująco:

•HKEY_LOCAL_MACHINEISAM • HKEY_LOCAL_MACHINEI Security • HKEY_LOCA L_MACHINEI Sottware • HKEY_LOCA L_MACHINEI System • HKEY_USERI.Defauit

• HKEY_US ERI S-1-5-2 1-220523388-492894223 -1343024091

• HKEY_USERI S-1-5-2 1-220523388-492894223-1343024091-Classes

Wskładjednej gałęzinp.HKLMwchodząplikigłów

ne zapisane na dysku twardym. Posiadająone pliki do-datkowe, np. C:lwindowslsystem32Iconfig. zawiera m.in.pliki3:

(2)

Struktura rejestru Windows Structure ot Windows register

Tabela 1

Nazwa kluczagłównego Opis

HKEY_LOCA L_MACHINE Zaw_sp_rzętuiera_iinformac_{systemu ope}je osystemie komputera_racyjnego,_t_akie_{jak typ magistrali}lokalnego,włącza_,_pamjąc_ięćw_systemowato dane dotyczące_,_słerowniki HKLM _urządzeń_i_{dane kontr}_oli_uruchamian_ia.

Zawiera informacjewykorzystywa neprzezróżn egorodzaju technologieOLEidane skojarzeńklas plików.Dany klucz lubwartość występujewkluczu HKEY_CLASSES_ROOT, HKEY_CLASSES_RDDT j_HKEYeśli odpowiadający_{_LOCAL}_{_MACHINE}mu klucz_{ISOFTWAREIClasses}lubwartość występuje_bądźw_kluczukluczu

HKCR _{HKEY_CURRENT}_{_USER}_{\SOFTWAREIClasses.}_Jeżeli_{klucz lub}_{wartość występuje}

wobydwu miejscach, to wersjaHKEY_CURRENT_USERjesttą,którawystępujew kluczu HKEY_CLASSES_ROOT.

Zawieraprofilużytkownika,który jest aktualnie zalogowanyinteraktywnie

(jakoprzeciwieństwozalogowaniazdalnego),w tym zmienne środowiskowe,ustawienia HKEY_CURRENT_USER _pulpitu, _połączenia_{sieciowe, drukarki i prefe}_rencje_{programów. To poddrzewo jest aliasem}

HKCU _podd_rzewa _HKEY_{_USERS}_{i wskazuje na}

HKEY_USERS\identyfikator_zabezpieczeń_bieżącego_użytkownika.

Zawierainfo rmacje o aktualniezaładowanychprofilachużytkownikówi profiludomyślnym. HKEY_USERS Częśćtych informacjipojawiasię takżew kluczu HKEY_CURRENT_USER.Użytkownicy

HKU uzyskującyzdalnydostępdo serwera nie mająprofili pod tym kluczem na serwerze; ich profilesą załadowanedo rejestr u ichwłasnychkomputerów.

Zawiera informacjeo profilu sprzętowym używanympodczas uruchamianiakomputera lokalnego. Te informacjesą używane międzyinnymi do konfiguracji ustawień,takich jak HKEY_CURRENT_CONFIG sterownikiurządzeńdozaładowaniaidostępne rozdzielczości wyświetlania.To poddrzewo

HKCC wchodzi wskładpoddrzewaHKEY_LOCAL_MACHINEiwskazuje klucz

HKEY_LOCAL_MACHINEISYSTEM\CurrentControISet\Hardware Profiles\Current.

źródło:opracowaniewłasnena podstawie htlp:l ltechnet.microsott.com

iłEdytorreojestru

flik Edycj . Widok Vlubione Porno," ~:. Komputer HKEY_CLASSES_ROOT HKEY_CURRENT_USER ~ HKEY_lOCAl_MACHINE COMPONENTS HARDWARE SAM SECURrTY SOFTWARE ~ SYSTEM ~ ControlSetOOl ~ Control

F.leSynemUtl lit ies GraphicsDrivers GroupOrderlist HAL hive1ist

Ryc.1. Okno Edy tor rejestru widok klucza hivelist

źródło(ryc.1-9):autor

Fig. 1. Windows Registry editor hivelistkey view

PROBLEMY KRYMINALISTYKI 270(pażdziernik-grudzień)2010

Nazwa ~(Domy5lna)

~\REGISTRY\ MACHINE\COMPONENT S ~\REGISTRY\MACHINE\HARDWARE ,~\REGISTRY\MACHINE\SAM

~\REGISTRY\MACHlNE\SEC UPJTY

Uazwawaftoki:

\REGISTRY\MACHI NE\SOFTWARE QanewMtośd·

'"

.

OK

I

...

(3)

Tabela 2

Pliki zapisane nadysku twardym orazichpowiązaniazodpowiednimi gałęziamiw rejestrze Windows

Fi/es recorded on hard disk andconnected with Windows register hives

Nazwa pliku Opiszawartości

system,system.sav,system.log HKLM\ SYSTE M

sam,sam.log HKLM\SECURITY\SAM

softw are,softwar e.sav,software.log HKLM\SOFTWARE, HKCR

secunty,security.log HKLM \SECURITY

default HKU\.DEFAULT

C:\Documents and setttnp s-uvazwaużytkownika·\ntuser.datuser.dat.log HKCU,HKU\-identyfik ato rużytkownika(810) -źródło(tab.2-17):opracowaniewłasne

• software - plikgłówny,

• software,log- wprowadzane zmiany, •software.sav- kopia.

Powiązanie plików zapisanych na dysku twardym z kluczami rejestru przedstawia tabela 2.

Każdy klucz lub podkluczmoże zawierać kilka wpi

-sów (lub być pusty). Wszystkie wpisy składają się z trzechczłonów: nazwy,typu i danych.

Przykładowe typy danych używanychwrejestrze" : •REG_BINARY- wartośćbinarna5wyświetlanaprzez

edytorrejestru w notacjiheksadecymalnejś,np.klucz HKLMISOFTWARE IMicrosoft lWindowsNTI CurrentVersionlDigitalProductld; dane a4 00 00 00 03 00 00 00 38 39 35 38 33 2d (..

F

Wartość bi-narną możnajednak w niektórych przypadkach po -dejrzeć,uruchamiając zakładkę Edytowanie

warto-ścibinarnej (ryc.2).

• REG_DWORD - dane zapisane w postaci liczby odługości4 bajtów (32 bity),wyświetlaneprzez edy

-tor rejestru w notacji binarnej, szesnastkowej lub dziesiętnej8, np. klucz HKLM

ISOFTWAREIMicro-softlWindowsNnCurrentVersion\lnstailDate; dane szesnastkowe4ac3906t,dziesiętne 1254330479.

• REG_EXPAND_SZ- ciągdanych o zmiennejdłu gości obliczany,gdy program bądż usługa z nich korzysta, np. klucz HKCUISOFTWAREIMicro

-soft\WindowslCurrentVersionlExplorerlUser Shell

Folders:dane %USERPROFILE%IDesktop. • REG_MULTCSZ - ciąg wielokrotny. Wartości

przedstawione sąw formiemożliwejdo odczytania przez użytkowników.Wpisy są oddzielone spacja

-mi,przecinkami lub innymi znacznikami,np.klucz HKLMISYSTEM IControiSet001 1 IEnumIIDEICdRomLl TE-ON_DVO_SOHD- 16P9S; dane IDEICdRomLlTE-ON

_DVD_SOHD-[dytOWclOle wertosct binarnej [1]~

.

..

... ..

....

•

' "

.

l o •

"""

(~rIfU5tłlc:nI) 105233łb00000000

26OO.xptpJPl_rP.091:zoe.Z03il!

Dodatek5tfvaPKk) 1.511.1(){0bs0W:.

del

.

·

ÓDno' 2600 ~lproceHOr""" '.1 ...00000003000000353538 35 J5 38 36 3'1 Ul 'lf '15 'ID 2D ao 30 31 31 39 ao 000 14 00 00 00 03 00 00 00 000 010 010 O_ W«toki: łD5pHch ~ ~ Typ

:

~

E,~.

r

l

-

;

:~~~

:)

:;:

HAA

V

a:e.AcI.ab FllG..5Z

ł>8 T(pIp r...CSOYenion RfG.,,5Z ...CJTehItSM'ver '

t,~T.lI'INI s.rver ' Cwert8l.łd REG-Sl

t,SJrr«tlljl fU'C1xr~ IlfG.,5l t CJTr-.ctionSr ~ClIrIl'ltType RfG...n t.SJ~ ~CUTentY"łlon RfG..5Z ., 8 lll'ltl9$p«M l&1Dig1tł1lro6.la:1d IWi..JINAAV łCJUpdItes łCJL.PnPDevbHo G;JVllA t.\i;]~l.dc ...W WfIIJ t i:JWBfM ł.CJ\lr\'ldows ł>CJWWldowto.t... ':JWndowtGtt'lJłr ;,JWlncIowsMe6I Ryc. 2.OknoEdytowaniewartościbinarnej

Fig.2. Windows Editingotthe binaryvełue

(4)

-16P9S FS09 IDEILlTE

--ON_DVD_SOHD-16P9S (...j.

•REG_SZ - ciąg tekstowy o stałej długości, np. klucz: HKLMISOFTWAREISymanlecIS ymNel-DrvISym/M; dane C:IProgram Fi/es(x86jINorton

AnliViruslEngine64116.7.2.11.

In f o rm acj e podstawowe - X-Ways Forensics

X-Ways Forensics jest zaawansowanym środowi

skiem pracy dla specjalistów z zakresu informatyki

śledczej, oferującym duże możliwości analizy danych.

Za pomocą programu można m.in.: powielać cyfrowy

materiałwpostaci klonów lub obrazów,odzyskiwać

da-ne,an al izować zawartość nośników,w tymrównieżd

o-konywać podgląduposzczególnychplikównp.obrazów

graficznych,archiwów,kluczysystemowycn''.

Raportowanie oraz analiza rejestru Windows za pomocą programu X-Ways Forensics

Analizę klucza systemowego MS Windows za po

-mocąX-WaysForensicsmożna przeprowadzićnadwa

sposoby:

• manualne wskazanie konkretnego pliku (istnieje

niebezpieczeń stwo pominięcia informacji zapi sa-nychw innychniżstandardowa lokalizacja),

•wykorzystanie trybu automatycznego z filtrem TypIWindows Registry iopcją Explore Recursively (ryc.3),który pozwalaujawniaćwszystkie(widocz

-ne.skasowane,wtym wyeksportowane) plikire

je-struna danej partycji.

Kolejny krok to wskazanieodpowiedniego plikuz

a-wierającegokluczrejestru. Potejczynnościzapomocą

prawego przyciskumyszy należy otworzyć podręcz n e

Menu i wyb rać opcję CrealeRaport.Wzorzec raportu

Rejestru Windows ma nazwę Reg Report.

ta.

Jest to

edytowalny plik tekstowy. Następnie należy wskazać

nazwę oraz miejsce,wktórymmabyćzapisanyraport

w formacie HTML. Program, tworząc zestawienie na

podstawiezdefiniowanegoplikuRegReport.txt,zwraca

wartości zadeklarowanychkluczy w postaci:

HKLMISOFTWAREIMicrosoftlWindows NTI ICurrentVersionl ProductName

2009-10-1403:13:40Operatingsystem:Name

Windows Vista(TM) Home Premium

W przypadkuwystąpienia

n

wa rtościdanego podklu-czazostanie on umieszczony

n

razy w raporcie.

Poniżej przedstawiono klucz HKLMISOFTWAREI

IMicrosoftlWindowsNnCurren/Version zawierający in

-formacje o systemie Windows możliwe do odczytania z poziomu programu Edylor rejestru(ryc. 4).

Jakjuż wspomniano,plik wzorca raportu może być

edytowany. Funkcjonalność ta może okazać si ę przy-datna,gdy poszukujesięinformacji fragmentarycznych np. tylko danych typu: nazwa systemu operacyjnego,

data instalacjiitp. lub danychpierwotnie n

ieprzewidzia-nych w raporcie przez producentów oprogramowania.

-

o "'

...

.

1F1r

..

..~

..

_"-!l_{" ~} ..ił~Q ".o ę!I~C~g_

,_0.0.

. . .C

..

••

T:_~," '''-<

'!",.,.

.

-. .... e-CO""OłlEWTS

I

oJ'

..J

'

'''

...c o:>I"OlllNrl .J_ ~..,, _

....

Cł~AIJLT

I

....J, ...CI'lI,,--,O Cł'lIAT oJ_ _ • ...JSf.--.

_

..

...Jo_ s... r_ . J~I...'"

.

""

..

oJ... • _H _ NTVSEIIDAT .J_

...Jc.e_ ...~s.n;..'iI. 'lTIJSE Il.OAT

_I

.J... J_~ NnIU "tlT

.J...._

, ...JMW<:w.. tłfUSlIl.OAT .J_

• ...JPorf\.09'

...

._. .J_....J5..-Codo_{w ...} • J ' ...._ ,...

...

₅_./_J • ..J

'ror-

Jola(;11M,

"""'''

"

_ _.11.-,.... • .J~""O...

"'""'"

_"

....

.

~

....

• ...JSyIl:_~ "" lnI_Mo~ JOfTYl'.lP[

I I

_"

fIdo~'~~ SOfTWI.Pl

-•..JUl...

"

_

..

.

~

...

• J ....- . , .

"'''"

"

..,U·~loogollJl ",,,

..

_I

-..

_I

"

_ ·At9'l"JIM

-

""

.-

--

...

.

.---Ryc. 3.Okno filtruTypeprog ramuX-WaysForens ics Fig.3. Windowsoll ilter Type programX-Ways Forensics

~.JP'thN, me

'!~;ProdudId

ilblReQirteredOra,niutlon Ryc. 4.RejestrWindows- podgl ądz programuEdytor rejestru

Fig. 4.Windows registerot preview trom program Register Viwer

REG_SZ REG_SZ REG_SZ REG_SZ C:\Windows 89~ 83·0 EM·730418 5·71752 WindowsVirt,(TM)Herne Premivm

(5)

W tym celu należy odszukaćplikReg Report.txtw fol-derze C:IProgram FileslX-Ways Forensics. Składa się

on znastępującychtrzech elementów. Pierwsza część

określa system operacyjny NT,druga częśćtowartość

klucza z rejestru, który będzie wyświetlony, trzecia

częśćto opis (ryc. 5).

Zmieniając oraz dodając elementy do tego pliku,

można dowolnie modyfikować póżniejszy raport tak,

abydostosowaćgo dowłasnych potrzeb.

Poniżej przedstawiono przykłady modyfikacji oraz

korelacji poszczególnych kluczy w rejestrze z informa-cjami, które można uzyskać poprzez tradycyjne prze-glądanie działającego systemu Windows 10.W celuła

twiejszego zrozumienia,dane odnośniedo kluczy reje

-stru będą podawane w tabelkach w oryginalnym brzmieniu - wiersz "Rejestr" oraz zmodyfikowanegoto

-we do użyciaw programie X-Ways Forensics - wiersz "X-Ways" (tab.3-17).

Pfik EdycjI formłt Widok Pomoc

NT HKlM\software\Microsoft\Wind on~ NT\cu r r @ntv@ rs i on\Pr o duct N a~@ NT HKLM\Software\M1crosoft\Windows NT\Currentv@rsion\Currentvers ion

NT HKlM\Software\Microsoft\wi ndows NT\Current version\CSDVers1on

NT HKLM\softwar e\Microsoft\Windows NT\currentVersion\Instal1oate

NT HKLM\50ftware\M1crosoft\w1ndo~~ NT\currentversi on\Productld

NT HKLM\Software\M1 cr osoft\w1nd ~~ NT\C u r r entVe r s 1on\R e g is t er edO~ne r

Ryc. 5.FragmentplikuReg Report.txtz zamienionyminajęzykpolskiopisami Fig. 5.Fragmentotfile Reg Report.lxt with descriptions converted into Polish

Podstawowe informacje o systemie operacyjnym

Data instalacji systemu operacyjnego Date ot operation system installation

Na~'a systemuoperacyjnego. wer sja systemuoper acy j nego. zai ns t a lowany Servic e pac~

Data instalacji systemu. systemoperacyj nyproduet Id.

systemzarejestrowanyna osobe.

Tabela 3

Rejestr HKEY_LOCAL _MACHINE\SOFTWAREIMicrosoft\WindowsNnCurrentVersion\lnstallDate

X-Ways NT HKLM\SOFTWARE\MicrosoftIWindows NnCurrentVersion\/nstaIlDate Data instalacji systemu operacyjnego

Tabela 4 Nazwa systemu operacyjnego

Name ot operation system

Rejestr HKEY_LOCAL _MACHINElSOFTWAREIMicrosoftIWindowsNnCurrentVersion\ProductName

X-W'Y' NT HKLM\SoftwarelMicrosoftlWindowsNnCurrentVersion\ProductName Nazwa systemu operacyjnego

Tabela 5 Numer identyfikacyjny Windows

Windows ID number

Rejestr HKEY_LOCAL_MACHINElSOFTWARE\MicrosoftIWindowsNnCurrentVers;onl/nstallDate

X-W'Y' NT HKLM\SoftwarelMicrosoftlWindowsNnCurrentVersion\ProductName Numer identyfikacyjny Windows

(6)

W doprecyzowaniu wersji produktu Windows XP

można równieżprzean ali zować zawartośćpliku szablo

-nu domyślnych uprawnień systemu plików NTFS de

-f/tkw.infznajdującego sięw folderze W/NDOWSVnf. Dla wersji Windows Home Edition widnieje w nim

zapis NT 5.1Personal Edition

(c) Microsoft Corporation t997-2000 Security Configuration Temp/ate forSecurity ConfigurationManager

Temp/ateName: Def/tWK. /NF

Temp/ate Version: 05.fO.oP. OOOO

De/auli Security forNT5. I Persona/Edition.

Potwierdza to również plik eu/a.txt znajdujący się

w folderze W/NDOWSIsys tem32,w którym znajdujesię

zapis Microsoft(r) Windows(r) XP HomeEdition.

W przypadku wersji Windows Professional zapisy będą wyglądaćodpowiednio:

Plikdef/tkw.inf.

(c) MicrosoftCorporation 1997-2000

Security Configuration Temp/atefor Security Configuration Editor

Temp/ateName: Def/tWK./NF

Temp/ale Version:05.I0.0W.0000

DefaulI Security for Windows NT5.I Professiona/

Plikeu/a.lxt Microsoft Windows XP Professional.

Przykładoweoznaczenia WindowsProduet1011:

xxxxx-OEM-xxxxxxx-xxxxx- wersja OEM, xxxxx-640-xxxxxxx -xxxxx - wersjaSOX,

xxxxx-647-xxxxxxx -xxxxx- wersjaVLK.

Tabela6

Window sProduet ID

Rejestr HKEY_LOCAL_MACHINE\SoftwareIMicrosoftIWindowsNnCurren tVersion\ProductlD

X-Way. NT HKLM\Software\MicrosoftIWindowsNnCurrentVersion\Productld Windows Produet ID

Tabela7 Klucz Window s

KeV Windows

Rejestr HKEY_LOCAL_MACHINE\SOFTWARElMicrosoftIWindowsNnCurrenlVersionlDigitalProductlD

X-Ways NT HKLM\SOFTWARElMicrosoftlWindowsNnCurrentVersionlDigilalProductlD KluczWindows

!I

RegistryVi~~r

• ,

,

8·

.:.J

CUrTentVNSion

.

_N_{em e} _Typ. Value

l

fi}

:..:.J

Accessibility

elIO.f.uk) REG.SZ (vllue not set)

,

li!

..:.J

AeOebug

I

~CurrentVersion REG.SZ 6.0

I

1--

_-2..J

_APnracing _~_C_urrent_B_u_i_ldNumb~r _R_{EG_SZ} ₆₀₀₂

!

I

,

-2..J

AppCompatFlags _~_Current8u_i_ld _R_EG.SZ ₆₀₀₂

i

1łJ·..:JASR ~SoftwareType REG_SZ System

,

_~_~_Com_pat_ibility32 _e)_CurrentT_y_pe _R_{EG_SZ} _M_ult_i_pr_ocessor_Free

lE~(onsole ~;JlnstaI10ate REG. OWORD O,4AC3906Fn254330479)

t1r

-

-2..J

CorruptedFileReccvery ~Re9isteredOr9anization REG_SZ

l..

:...:J

OefaultProdudKey ~Re9isteredOwnef REG_SZ Tomek.

I

$.

-

:...:J

Oisk.Diagnostics ~SystemRoot REG_S2 C:\ Windows

,

_i,.

_:...:J

_d_r_ivers._desc ~ProductName REG.SZ WindowsVista(lM)HcmePremiu m

I

!--

...:.J

Orivers32 ej

Productld REG_SZ 89S83·0EM·730418S·71752

~.,.-2..JEFS ,'o •• . '

..

,

.' .. II IłIIł Ił II II

,

.

I

ciJ

· ..:J

EMOM9mt 1~)OigitalProductld4 REG_BINARY ~~oooo~oooooo~oo~oo~ oo~ oo

i

_-

..

.

...b1EditionlD REG SZ HomePremium

Ryc.6. KluczproduktuWindowszapisanywrejestrze Fig.6.WindowsKey recorded in register

(7)

Tabela 8 Zainstalowane oprogramowanie

Installed software

Rejestr HKEY_LOCAL_MACHINE\SOFTWARElMicrosoft\WindowsICurrentVersion\Uninstal/\

X-Ways

N

T

HKLM\$oftwareIMicrosoft\WindowsICurrentVersion \Uninstafl \*\DisplayName Localmachine :installed

programs: nam e

W rejestrze klucz produktu Windows widnieje jako

wartość binarna, natomiast w raporcie otrzymujemy

przekonwertowane dane 12 (ryc.6).

W celu identyfikacji Windows 7, Vista,Server 2008,

posiadając jedynie Klucz Windows, można posłużyć

się stronami typu Windows PIDchecker

(http://d--Iault.nl/pidcheck!).Po wpisaniu klucza produktu

Win-dows otrzymujesiętakie dane jak:Windows Product ID

nazwęWindows oraz rodzaj licencji (ryc. 7).

Informacje na temat kart sieciowych

W rejestrze systemu można znależć informacje na

temat zainstalowanych kart sieciowych. W przypadku

fizycznegowyjęciakarty dane na jej tematsą nadal

za-pisane w rejestrze. Karty sieciowe numerowane są od

1 w górę, ilość numerów oznacza licz bę zainstalowa

-nych urządzeń. Dane te znajdują się w kluczu

przed-stawionym w tabeli9 (ryc. 8).

PlOchecXH

In put

~9..11~.u1.2e :

"i

wocows7and servee2008R2

Produetssr,

122TKD-F8XXO- YG6 IlF-9M660-_ .-.

rCł1eckPIO

I

Output

'tQGuctKły

,

~zn:D·r8XXIS·YG6Slr-9Ii66D -_

Val1111ty

,

Vdld

'cod\l.ctIti

,

lOOOOC"-O[ft- . ,926e 2-OOU1

Act1V1tion ID

,

7c:tI14696-Ei9a9-4.n- If 36- r r )0:11a.--. Idlt1cm 'l'ype

,

U!tiute

t>l1c:~lptiCll

,

l/lndO\l' 7 Ulei...u onI1SLP

Idl t l cmID l XlS - 313 '4 K~y Typ~

,

OElll51.P

C[YP[O III

,

m

Ryc. 7. WidokWindowsPIDchecker z kluczem produktu Windows id o-datkowy mi informacjami na temat wersji

Fig.7.View otWindows PIOcheckerwith Windows COKey andmorein

-tormation about MS version

Tabela 9 Zainstalowane karty sieciowe

Installed network cards

Rejestr HKEY_LOCAL_MACHINEISOFTWARE\Microsoft\WindowsNnCurrentVersion\NetworkCards

X-W.y. NT HKLM\$oftwareIMicrosoft IWindows NnCurrentVersion\NetworkCards Zainstalowane karty sieciowe

W rozpatrywanym przypadku jest zainstalowanych sześćkart sieciowych.

:

Y

Registry Viewer

8 ~NetworkCerd, ~10 ~13

.-1

2

~21 ~23

.2.l

f1J

" Narne §j(Defd ) ~5ervlceName ~Descrlptlon Type REG_5Z REG_5Z REG3Z Velue (velue not 'et)

{802F80SS-8896-17E1-86FO-A2A09CC2EA9Af

SAGEM WI-FI 110U5Bed,pter

Ryc.8.Widokkluczarejestruz zainstalowanymikartami sieciowymi Fig. 8. View otregister key with network cards installed

(8)

Raport z programu X-Ways Forensics wygląda

na-stępująco:

HKLM\software\Microsoft\Windows NnCurrentVer -sion\NetworkCards \1O\Descr iption

2007-10-1012:09:18

Model description ol installed network card Realtek RTL8168/8111 PCI-EGigabit Ethernet NIC

HKLM\software\Microsoft\Windows NnCurrentVer-sion\NetworkCards\13\Description

2008-08-22 09:31:55

Modeldescription ol installed networkcard Karta Realtek RTL8029(AS)PCI EthernetAdapter HKLM\software\Microsoft\Windows Nn CurrentVer-sion\NetworkCards\2\Description

2007-10-1012:10:13

Modeldescriptionol installednetworkcard Kartasieciowa1394

HKLM\software\Microsoft\Windows NnCurrentVer-sion\NetworkCards\21\Description

2009-10-1909:55:06

Model descriptionol installed network card

Sony Ericsson Device 0016 USB Ethernet Emula-tion (NDIS 5)

HKLM\software\Microsoft\Windows Nn CurrentVer-sion\NetworkCards\23\Description

2009-06-17 10:32:27

Modeldescriptionot installednetwork card LGE MobileUSB WMC Ethernet (NDIS 5)

HKLM\software\Microsott\Windows NnCurrentVer-sion\NetworkCards\27\Description

2009-11 -0610:00 :43

Model descriptionot installed network card SAGEM Wi-Fi11g USB adapter

Powyższe dane można uzyskać w Panel

sterowa-niaJSystemlMenadżer urządzeń, następnie wybierając właściwościkart sieciowych.Jednakniewszystkieurzą dzeniasieciowezapisująinlo rmacjeo swoich stero wni-kachw podkluczuNetworkCards. Niektórez nich (

prze-ważnie USB)można znależćw innych lokalizacjach.

Dane dotyczącezainstalowanych urządzeń

Inlormacje o zainstalowanym sprzęcie znajdują się

w podkluczu HKLMISYSTEM\CurrentControISetIEnum. W przypadku urządzeń magazynujących należy

w pierwszej kolejności rozpatrzyć, za pomocą jakiego interfejsu urządzenie tozostało połączone z kompute -rem.W przypadku standardów ATA/SATA zainsta lowa-neurządzeniaodnajduje sięw podkluczu IDE.

Tabela 10 Urządzeniatypu CO. DVD. HDD (ATA/SAlA)

CO.DVD. HDD (ATA/SATA) devices

Rejestr HKEY_L OCAL_MACHIN E1SYSTEMlConlroISeIOO1IEnumltDE

X-Way.

NT

HKLMIS YS TEMIConlr olSel'IEnumllDE1 'I'IFrien dlyName Name UrządzenieIDE

W przypadkuzewnętrznych urządzeń magazynującychtransmisja może następowaćzapomocąportu USB/F i-reWire13.

Tabela '1

Urządzenia magazynujące

usa

typu pendrive,dyskiw kieszeniach

us

a

storage devices such as pendrive,poeket drive

Rejestr HKEY_LOCAL_MACHINE1SYSTEMl ConlroISetOO1IEnum IUSBSTOR

X-Ways

N

T

HKLMISYS TEMIConlroISel'IEnumIUSBSTORI'\'\FriendlyName Urządzenie magazynująceUSB

(9)

Tabela12

Urządzenia podłączonepoprzez FireWire

Devices connected by FireWire

Rejestr HKEY_LOCALMACHINEISYSTEMIControISetOOIIEnum l1394

X-Ways NT HKLM\S YSTEM IContro/Set*\Enum\1394\*\*\Hardware ID Urządzen ie magazyn ujące podłączonepoprzez FireWire

Tabela 13

Stacja FDD FDDstation

Rejestr HKEY_LOCA LMACHINEISYSTEMIConlroISetOOIIEnuml

X-Ways NT HKLM\SYSTEM \ControfSet*\Enum \FDC \*\*\HardwareID Stacjadyskietek

Tabela 14

Drukarki

usa

USBprinters

Rejestr HKEY_LOCAL_MACHINEiSYSTEMIControISetOOIIEnum IUSBPRINT

X-Ways NT HKLMISYSTEMIControISet-IEnum IUSBPR IN n-I-IFriendlyName DrukarkiUSB

Dan e dotyczące użytkownika

Informacje dotyczące kontaużytkownika można

od-należć w plikach: ntuser.dat. Zawierająone takie dane

jak ostatnio uruchomione, za pomocą Windows,

pro-gramy czy też dokumenty. Istotne mogą okazać się

przypisane operacjom daty systemowe,wraz z danymi

o zainstalowanym oprogramowaniu (HKE Y_

LO-CAL_MACHINEISOFTWAREIMicrosoftIWindows

ICur-rentVersion\UninstaIWIDisplayName) można dokonać

identyfikacji zainstalowanych oraz najczęściej używa

nych programów14

Tabela 15 Historia otwieranych dokumentów

History ot opened documents

Rejestr HKEY_CURRENT_USER\SOFTWARE\MicrosoftIWindows ICurrentVersion \Explo rerlRecentDocs l

X-Ways NT HKCUISoftwa re \MicrosottlWindowslCurrentVersion lExplorerl RecentDocsl* Histori aotwieranych dokumentów

Tabela 16

Programyw autostarcie Programmes in autostart

Rejestr HKEY_LOCA CMACHINE'lSOFTWAR E\MicrosoftIWindows \CurrentVersion \ExplorerIRecentDocs\

X~Ways NT HKLM \Software IMicrosoft\WindowsICurrentVersion\Run l* Programy urucham iane przy starciesystemu

(10)

Tabela 17 Historiauruch amianych programów

History ot laun ch edprogrammes

Rejestr HKEY_CURRENT_USER\SOFTWAREIMicrosoft\WindowsICurrent Version\ExplorerlUserAss ist\(75 04870O-EFl F

-ttDO-9888 -00609 7DEACF9}\Count

X-Ways NT HKC U\S oftw are\Microsoft\Windows\CurrentVerslorrExplore r\UserAssist\{7 504 87 00 ·EF1F- 110098 88

-OOS097DEACF9)\Count\- Historia urucham ianychprogram ów

flwHtoadro S...d. o"Pa.lilion1 ~

Tomasz Pawlicki

1Wszystkiedaty/czas zapisywane w system ieWindows

są pobierane z urządzenia znajdującego się na płycie

głównejkomputeratzw.zegarasystemowego.

2ang.hives-ul,gałąż(w rejestrzesystemuz rodziny NT).

3 W trakcietworzeniaartykułuLK KWPŁódźniedy

spono-wałosystemem Windows7.

4J. Honeycu tt: Microsoft Windows XP Registry Guide,

Washington2003.s.24-25 (tłumaczenieautora).

5System binarny (dwójkowy) to system liczbowy,wkt

ó-rympodstawąpozycjisąkolejnepotęgi liczby2.Do

za-pisuliczb potrzebnesą więctylkodwiecyfry:Oi1.

6 Heksadecymalny - szesnastkowy system liczbowy,

wktórympodstawą pozycjisą kolejnepotęgi liczby 16.

00 zapisu liczb w tym systemie potrzebnych jest szesna -ściecyfr.Poza cyframidziesiętnymiod O do 9używa się

pierwszychsześciuliter alfabetułacińskiego:A,B,C,O,

E,F(dużeimałelitery).

7 Niewstawionocałegociąguznaków.

8Dziesiętny system liczbowy (decymalny)- system licz

-bowy,wktórympodstawąpozycjisą kolejnepotęgi l

icz-mie opera cyjnym, oprogramowaniu, urządzeniach

USB oraz wielu innych przydatnych,z punktu w

idze-nia informatyki śledczej, informac jach. Dlatego też

podcza sinterpretacjizapisanych za pomocąsystemu

operacyjnego Windows danych nie można pominąć

dokładnej jego analizy. Natomiast elastyczny mecha

-nizm raportowania, zaimplementowany w programie

X-Ways Forensics , pozwala na tworzenie włas nych

przejrzystych szablonów mogących znacznie wspo

-móc pracę eksperta. Wzorzec raportu Rejestru Win

-dows ma nazwę RegReport.ta,w momen cie zakupu

programu jestzdefiniowany wjęzykuangie lskim.

Pro-gramiści z X-Ways Software Technology AG przew i-dzieli jego rozbudowę i edycję, dzięki zapisaniu go

w tekstowym pliku edytowalnym. Znajomość kluczy

rejestru umożliwia dostosowanie raportów do wła

snych potrzeb i uwzględnienie danych niep rzewidzi

a-nych przez autorów programu.

PRZYPISY SMJdI.._ bculcloMo _

...

o

....

2.024 JJ 0RMC*ll'llMt.oll óeld_" .~"""" M- Ikon 100 _ dol.... . Oe - -b N1FS- - - . . . fJt1JoP'(łl ~ QcdT ...MPHlrPI) NIIrOoU I·...y] flMhV~I ~ MlOIlfllidl

~=

..

I

'-'

Za pomocąX-WaysForensicsmożna równieżodzy -skiwać pliki, w tym pliki rejestru. Jedną z metod jest

funkcja File header signalure search.Opcja ta ma

du-że możliwościkonfiguracyjnepolegające m.in.na

usta-wieniu maksymalnej wielkości odzyskiwanych plików,

obszaru przeszukania (rn.in.wyboruobszaru tree

spa-ce,przestrzeni zaalokowanych czyteż całejpowierzch

-ni nośnika). Pliki odzyskane za pomocą tej funkcji są

umieszczane w utworzonymprzez program wirtuainym

katalogu badanegonośnika (ryc.9).

W przypadku plików skasowanychzapomocąkosza

systemowegozdołano przywrócić dane oraz odczytać

z nich informacje, jednak już po szybkim (dostępnym

z poziomu MS Windows) sformatowaniu nie były one

czytelnedla prog ram u.

Po d s u m o w ani e

Ryc. 9.OknoopcjiodzyskiwaniaFileHeaderSignatu reSearchprogra mu

X·Ways Forenstcs

Fig .9.Windowsof recoveryoptionsFifeHeaderSignature Search pro

-gramX·WaysForensics

Rejest r system uWindows toznacząceżródł o

infor-macji o badanym sprzęcie, jego użytkowniku,

(11)

by 10. Do zapisu liczb potrze bnych jest więc wnim 10 cytr:O, 1,2,3, 4,5,6,7,8,9.

9 Podstawowa analiza danych za pomocą programu

X-Ways Forensics została opisana wpracach z

alicze-niowychBłażeja Karpi ńskiego"Wykorzystanieprogramu X-Ways Forensicswopracowywaniuekspertyz z zakre-su badań sprzętu komput erow ego"oraz Marka Liszkie-wieza "Wykorzystanie aplikacjiX-Ways Forensicsw k ry-minalistycznych badaniach cyfrowych nośnikówdanych

- aspektypraktyczne".

1O W przypadku analizy materiału dowodowego i koniecz

-ności pracyna uruchomionym systemienależywykonać

jego klon.

11 Szerzej na ten temat można dowiedzieć się ze stron:

http://wik i.lunarso ft.neUwiki/P rod ucLIOs#.27xxxxx.27

_-_the_MicrosofLProduct_C ode oraz http://www

.tack-tech.com/dis play.cfm?ttid=342.

12 DotyczyX-Ways Forensics od wersji15.3.

13 W trakciepisaniaartykułunie posiada nokomp uteraz

in-tertejsemeSATA.

14 W tym celudodat koweinformacjemożna uzyskaćzap

o-mocą programuWindows File Analyze r, który analizuje

m.in.zawartośćfolderuG./Windows/Prefetch.

BIBLIOGRA FIA

2.HoneycuttJ.:Microsoft WindowsXP Registry Guide,

3. Chorążewski M.,Zię ba D.: Rejestr Windows XP.Lek

-sykon kieszonkowy ,Helion 2004 r.

4. Karpi ński B.:Wykorzystan ie programuX-Ways

Foren-sics w opraco wyw an iu ekspert yz z zakr esu badań sp rzęt u

komputerowego, praca zalicz eniowa, LK KWP Bydgoszcz , 2008r.

5. Liszkiew icz M.: Wyk orzystan ieaplikacji X-Ways For

en-sicswkryminalistyczny chbad aniach cyfrowychnośni kówd a-nych- aspektypraktyc zne,praca zaliczeniowa, LK KW P

Kra-ków,2009 r.

Streszczenie

Pracama naceluzapoznanie

z

podstawowymiinformacjami

na temat rejestru Windows,którymożebyćjedynym źródłem

pozwalającymnaidentyfikacjęsprzętuiaktywnościużytkowni

ka.Struktura rejestruskładasięzpięciukluczygłównychz

awie-rającychm.in.:informacje o systemiekomputera lokalnego,usta

-wieniachpulpitu,połączeniachsieciowych, drukarkach iprefe

-rencjach programów oraz konfiguracjisprzętowej. Zuwagi na

ten faktdziałuniesystemuzależywznacznej mierzeodustawień

zapisanych w rejestrze, azpunktu widzenia informatykiśled

czej jestto bardzo cennyzbiórinformacjiprzydatnywczasie

przeprowadzanychbadań. Ponieważjednymzelementów pracy

48

infonnatyka śledczego jest czytelne przedstawianie wyników,

w artykule omówionesą równ ież możliwościedycyjneraportów

generOlvanychprzezprogram X-Ways Forensics.Takie dosto

so-wanieprogramu pozwalanaczytelniejsząprezentacjęwyników

badań informatyczny ch, któresą bardzo częs to niezrozumiałe

dla przedstawicieliwymiarusprawiedliwości.

Słowakluczowe: X-WaysForensics.rejestrWindows,klu

-czerejestru,analiza rejestruWindows.

Summary

The hereby ariiclepresents basie informationon Windows

register that may be the onlysource allowingidentificationof

hardware anduseractivity. The structure of registercomprises five main keys including:informationon local computersystem, desktop seUings, networkconnections, printers and software preferences,as wellas hardtuare configuration. Duetothat[act, system operation largely dependson settings recorded in the register.From the pointof view of lT investigationsit is a very important collection of information useful in examinations. Becauseof the elements ofII expertit is elear presentation of resu1ts,the Articlediscusses also editoriot potentialgenerated by X-WayForensics software.This adjustment of the programme

allows more legible presentationof IT examinations, whichare very often difficult to understand for representatives of the judiciary.

Keywords : X-Way Forensics, Windows register, register keys, Windows register analysis.

B

iblio teka N

au kow a

eŁK

K

GP

Aleje

U

j azdowskie 7

zaprasza ekspertów i technikówkryminalistyki

do korzystania zarówno

z opracowań książkowych.

jak i specjalistycznych czasopism

polskich i zagranicznych.

Biblioteka jest czynna co d zie n n ie

w godz. 8.15-16.00 tel. (22) 601-45-30

e-ma il:b.lcgo wicz@p olicj a.g ov.pl