Forensic vizsgálatok 7.- Windows Xp restore pointok

A betörési tesztelés mellett a nyomelemző munkák területe az a témakör, amelyről sok szakmabeli is csak homályos képpel rendelkezik, holott meglehetősen szerteágazó és szövevényes világról van szó. Több posztból álló sorozatunkban igyekszünk felvillantani néhány érdekesebb momentumot nyomelemzős munkáinkról.

A Windows Xp-ben bemutatkozott egy csodálatos új szolgáltatás, amelynek keretében a felhasználó vissza tudja állítani a rendszerét olyan régebbi állapotba, amikor működött.

Mielőtt rátérnénk arra, hogy miért is jó forensic szempontból a system restore pointok vizsgálata, kicsit fussuk át a szolgáltatást. Először is, a SRP-k alapvetően az alábbi elemeket tartalmazzák visszaállítási céllal (testre is lehet szabni a dolgot a megfelelő célszerszámmal, ez esetben új elemek is jöhetnek a listába):

• A Registry bizonyos részei
  
• Local profilok (nem roaming értelemben)
• COM+ objektumok adatbázisa
• A Windows File Protection DLL cache-e (emlékszünk ugye, ebből a tiszta forrásból javítja meg a windows a DLL-eket, amelyeket gonosz módon megbuherálunk kedvenc rootkitünkkel a tesztrendszerünkben)
  
• WMI adatbázis
• IIS metabase
• Azok a fájlok, amelyeket beleteszünk a testreszabásba

Mi az, ami kimarad a visszaállításból? Figyelem: attól, hogy a visszaállításban nem szerepelnek az alábbi elemek, még biztonsági mentési céllal simán belekerülhetnek az SRP-kbe!

• A SAM hive (asszociálunk a "felhasználók" és a "jelszavak" stringekre, és igen, bizonyos részeit biztonsági menti a Windows annak ellenére, hogy visszaállításkor nem másolja vissza őket)
• A DRM menedzsment beállításai
• A wifi hálózatok kulcsai
• Azok a fájlok, amelyeket explicit kihagyunk a testreszabásban

A System Restore Service futásához meglehetősen sok hely szükséges, nagyjából 200MB szabad helynél kevesebb esetén a szolgáltatás egész egyszerűen pihenni tér, ekkor nem készülnek SRP-k, a forensic elemző pedig gondolkodhat, hogy miért is hiányzik néhány, aminek márpedig ott kéne lennie.

A System Restore Service futásával kapcsolatos információk a Registryben találhatóak, az alábbi kulcs alatt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

A fenti kulcsban található értékek mindent elárulnak a szolgáltatás paraméterezéséről:

• A DisableSR szabályozza, hogy be legyen-e kapcsolva a szolgáltatás.
  
• Az RPGlobalInterval mondja meg, hogy milyen gyakran készül SRP.
• Az RPLifeInterval mutatja meg, mennyi legyen az SRP-k élettartama, alapkiépítésben 7776000 másodperc, azaz 90 nap.

Mire használhatóak az SRP-k? Egyrészről registry mentéseket tartalmaznak. Az SRP-kben egyébként rengeteg, forensic szempontból fontos fájl megtalálható, például:

• Majdnem a teljes registry
  
• RP.log: megtalálható benne az SRP típusa, némi szöveges információ a keletkezés körülményeiről, egy 64 bites FILETIME objektum, amiből meglehetősen pontosan megvan, mikor készült a mentés a rendszeróra szerint. Ez utóbbinak ott van jelentősége, hogy az RP-oknak egyedi szekvenciális sorszámuk van, és ha az idő összevissza telik az RP-k sorszámait tekintve, akkor nagy valószínűséggel machináltak a rendszeridővel akkoriban.
• Change.log.x fájlok: ha egyszer elkészült az SRP, akkor a visszaállítható fájlokat továbbra is figyeli a rendszer, a fájlokon bekövetkezett változásokról napló készül (igaz, bináris).