2009. október 28., szerda

Forensic vizsgálatok 9. - Windows 7 I.

A Windows 7 magyarországi bemutatója nemrég zajlott: nézzünk kicsit körül, hogy forensic szempontból mi minden változott/javult az új verzióban.

Felhasználói profilok
Az Xp-ben alapvetően kétfajta profilt lehetett a felhasználóhoz rendelni: az a célja a dolognak, hogy a felhasználó a domain akármelyik munkaállomására beléphessen, a személyes mappái kövessék hűen. Ilyen klasszikus mappa a My Documents és a többi hasonló nevű, tipikusan a Documents and Settings mappában található. Az ilyen "letöltődő" profilokat roaming profilnak nevezik, és jellemzően pár tíz megás méret fölött ez hosszítja meg jelentősen a belépési procedúrát egy új gépen (e sorok írója egyszer elkövette azt a hibát, hogy négy-öt gigányi zenét tartott a My Documents-mappában, és csodálkozott, hogy miért tart tíz percig belépésnél a felület testreszabása).

Forensic szempontból ez egyrészt azért kellemes, ugyanis a felhasználói adatok jelentős része központilag is megtalálható, tehát ad absurdum az elveszett/letörölt/ellopott munkaállomás nélkül is lehet -korlátozott- analízist végezni. A dolog hátulütője ott van, hogy sokszor nem teljesen világos, hogy a szinkronizáció mely fájlokat érinti, és melyeket nem (tehát pl. a böngészők melyik részbe szemetelnek).

Windows7 alatt explicit meghatározták, hogy a felhasználói profil melyik része romaing és melyik local: a böngészős példánál maradva a cookie cache a roaming részben, a browsing cache és a history a localban található.

IE
Az IE forensic szempontból fontos újítása a "protected mód": azaz ha káros kódot töltene le a böngészőnk, az nem fog tudni a futás ellenére sem kárt okozni - elméletileg. Mivel nem minden felhasználói tevékenység véghezvihető ilyen módban, két mappakészletet is használ a böngészőnk. A buta módú működés során használt mappakészlet itt található:

%userprofile%\AppData\Local\Microsoft\Windows\History\Low\History.IE5


Figyeljük meg a "Low" szócskát, ugyanis nagyrészt itt találhatóak a forensic szempontból fontos dolgok (history, lnk fájlok, tmp mappák stb). A lokálisan megnyitott fájlokkal kapcsolatos dolgok a "rendes" mappakészletben találhatóak.

Persze ki is lehet kapcsolni a "Low" mappák használatát:
  • Kikapcsoljuk a "Protected mode" használatát
  • Kikapcsoljuk az UAC-ot
  • Adminisztrátorként használjuk a böngészőt(!)
Pendrive-ok
Az Xp-ben megismert és bevált artifactok túlnyomórészt változatlanul kereshetőek a 7-ben is, csak helyenként másként hívják a figyelendő logokat és registry-kulcsokat. Itt egy nagyon jó forensic manual a különféle Windows-verziók USB-kulcsokkal kapcsolatos elemzésére.

Csak címszavakban: amikor csatlakoztatunk egy USB-s tárolóeszközt a vindózunkhoz, számos artifact keletkezik, amelyek az eszköz eltávolítása után is megmaradnak. Forensic nyomozás során ezeket a nyomokat keressük, illetve elemezzük. A registryben az alábbi helyeket érdemes figyelni, csatlakoztatott eszközök nyomai után kutatva:

HKEY_LOCAL_SYSTEM\CurrentControlSet\Enum\USBSTOR\ - a csatlakoztatott eszközök azonosítói
NTUSER.DAT\Software\Microsoft\CurrentVersion\Explorer\MountPoints2 - melyik felhasználó csatlakoztatta az adott eszközt?

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek