За­раз­ные флеш­ки про­дол­жают быть проб­лемой для безопас­ников. Что­бы ты был под­готов­лен к борь­бе с этой напастью, мы соб­рали и срав­нили нес­коль­ко популяр­ных бес­плат­ных ути­лит для форен­зики под­клю­чаемых USB-устрой­ств.

В тес­тирова­нии, помимо компь­юте­ра‑жер­твы на Windows 7, при­няли учас­тие:

Так­же для про­вер­ки качес­тва работы ути­лит пос­ле уда­ления приз­наков под­клю­чения устрой­ств мы исполь­зовали USB Oblivion.

Для оцен­ки инс­тру­мен­тов мы смот­рим на удобс­тво тул­зы, наг­лядность резуль­татов и их пол­ноту, наличие или отсутс­твие допол­нитель­ных све­дений. Основная задача — подоб­рать опти­маль­ную прог­рамму, отли­чающуюся пол­нотой пре­дос­тавля­емых све­дений и удобс­твом в исполь­зовании.

 

Regedit

Нач­нем с клас­сики. Основная часть информа­ции о девай­сах, вклю­чая иден­тифика­торы под­клю­чаемых устрой­ств, хра­нит­ся в сис­темном реес­тре. С исполь­зовани­ем штат­ной ути­литы regedit по пути HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR или USB ты можешь най­ти все иден­тифика­торы устрой­ств. Напом­ним, что общий иден­тифика­тор флеш­ки обыч­но пред­став­ляет­ся в виде VID_0011&PID_7788<уникальный серийник> (под­робнос­ти читай в нашей статье про под­мену это­го иден­тифика­тора). Учти, что некото­рые арте­фак­ты могут обна­ружить­ся не толь­ко в текущем кон­фиге, но и в аль­тер­натив­ных (controlset00X).

Не­кото­рые устрой­ства (обыч­но само­иден­тифици­рующиеся, такие как CD/DVD или жес­ткие дис­ки) про­писы­вают­ся в USBSTOR. Так мы можем толь­ко понять, что какие‑то устрой­ства с такими‑то серий­никами под­клю­чались к хос­ту. Одна­ко ни вре­мени под­клю­чения, ни дру­гой под­робной информа­ции сис­темный реестр нам не пре­дос­тавит.

Для прод­винутых мож­но пос­мотреть вот этот раз­дел:

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Там мож­но опре­делить бук­ву, наз­начен­ную сис­темой под­клю­чен­ному устрой­ству.

По­мимо это­го, наз­вания парамет­ров содер­жат GUID девай­са:

\??\Volume{14dfb3bc-5c31-11ec-8d87-f46d043a41b7}

Бла­года­ря ему ты можешь най­ти учет­ную запись поль­зовате­ля, под которой под­клю­чалось это устрой­ство, — см. раз­дел HKEY_CURRENT_USER (если подоз­рева­ешь текуще­го юзе­ра; если это не он — то в про­филях поль­зовате­лей ищи фай­лы C:\Users\<имя>\ntuser.dat):

\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Или ана­лизи­руй в реес­тре вот эту вет­ку:

HKEY_USERS\<SID пользователя>\Software\Microsoft\Windows\ CurrentVersion\Explorer\MountPoints2

В целом прос­то ищи получен­ный GUID. Где нашел­ся — там и под­клю­чал­ся.

По­лез­ная информа­ция может встре­тить­ся и в кус­те SOFTWARE. Так, сле­дующий раз­дел, помимо серий­ников, содер­жит параметр FriendlyName, что поз­воля­ет тебе искать фра­зы типа «Смар­тфон Оле­га»:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices

Вот еще инте­рес­ный раз­дел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

Здесь хра­нит­ся информа­ция об устрой­ствах и свя­зан­ных с ними иден­тифика­торах фай­ловых сис­тем (VSN, Volume Serial Number; одна­ко дис­ки SSD сюда не попада­ют). Иден­тифика­торы меня­ются пос­ле каж­дого фор­матиро­вания — то есть ты можешь отсле­дить исто­рию фор­матиро­ваний носите­ля. Учти, что дан­ный параметр (пос­ледние циф­ры пос­ле _ в стро­ке под­разде­ла) пред­став­лен в десятич­ном виде и его нуж­но кон­верти­ровать в HEX. Нап­ример, изу­чив сле­дующий параметр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt_??_USBSTOR#Disk&Ven_&Prod_USB_DISK_2.0&Rev_PMAP#070867948D560839&0#VICTIMFAT_173966065

мы узна­ем, что устрой­ство с име­нем VICTIMFAT име­ло VSN 0A5E82F1.

Это при­годит­ся, если при изъ­ятии отформа­тиро­ван­ной юзе­ром флеш­ки он ска­жет, что никог­да ничего на носитель не копиро­вал, да и вооб­ще с ним не работал. В реес­тре же сох­ранена пол­ная исто­рия в фор­мате «серий­ник-VSN».

Ес­ли ты пред­почита­ешь копать­ся в реес­тре вруч­ную, то можешь выпол­нить экспорт реес­тра, а затем открыть его в ути­лите типа Registry Explorer. Там в раз­деле соз­дания раз­делов с серий­никами отоб­ража­ется дата их соз­дания — то бишь дата под­клю­чения устрой­ства. С пос­ледней, одна­ко, час­то встре­чают­ся осеч­ки из‑за анти­вирус­ных про­верок, выг­рузки кус­тов реес­тра или вследс­твие ба­гов опе­раци­онной сис­темы.

В ито­ге ана­лиз реес­тра может в луч­шем слу­чае дать тебе информа­цию о фак­те под­клю­чения устрой­ства, но кто его под­клю­чал, ког­да и как — об этом исто­рия умал­чива­ет.

 

Файловая система

Здесь клас­сичес­ким арте­фак­том явля­ется файл setupapi.dev.log, обыч­но рас­положен­ный в пап­ке C:\Windows\inf. В нем мож­но отыс­кать дату и вре­мя пер­вого под­клю­чения носите­ля. Одна­ко учти, что этот файл не бес­конечен и ста­рые под­клю­чения могут быть затер­ты.

В ста­рых вер­сиях вин­ды файл называл­ся setupapi.log, а рядом с ним могут валять­ся прош­лые вер­сии с име­нами setupapi.dev.yyyymmdd_hhmmss.log, куда тоже желатель­но заг­лянуть.

В качес­тве мини‑под­ска­зок в фай­ловой сис­теме пос­мотри ярлы­ки в недав­них фай­лах. Для это­го нуж­но нажать Win-R и ввес­ти shell:recent или заг­лянуть вот в эту пап­ку:

C:\Users<имя юзера>\AppData\Roaming\Microsoft\Windows\Recent\

Та­кие же под­сказ­ки есть для устрой­ств и прин­теров (Win-R, затем control printers). Если тре­бует­ся коп­нуть очень глу­боко, заходи в при­ложе­ния (офис, бра­узе­ры, пле­еры, муль­тимеди­апри­ложе­ния) и в спис­ках пос­ледних фай­лов ищи пути к дис­кам, которых явно нет на иссле­дуемом компь­юте­ре. Не забывай, что, если в сис­теме хорошо ведут­ся логи (в том чис­ле жур­налы анти­вирус­ных прог­рамм), в них могут хра­нить­ся све­дения о под­клю­чении устрой­ств или хотя бы об уста­нов­ке драй­вера для устрой­ства. Смот­ри события 2003 и 2102 в жур­нале Microsoft-Windows-DriverFrameworks-UserMode/Operational. В целом тебе могут помочь ко­ды событий 1003, 2004, 2005, 2010, 2100, 2101, 2102, 2105, 2106.

 

Промежуточный вывод

Ес­ли у тебя мно­го вре­мени и есть желание, в реес­тре мож­но копошить­ся доволь­но дол­го. Мы показа­ли тебе ско­рее теорию, чем прак­тику. Оче­вид­но, что пос­мотреть таким обра­зом даты под­клю­чения устрой­ства не получит­ся, а нас это не устра­ивает. Безопас­ник хочет домой, к любимо­му котику и плат­ным под­пискам стри­мин­говых сер­висов, пом­нишь?

 

MiTeC Windows Registry Recovery (WRR)

Раз уж мы начали с сис­темно­го реес­тра, давай про­дол­жим эту тему. Ты уже понял, что основны­ми источни­ками дан­ных слу­жат вет­ки SYSTEM и SOFTWARE, HKCU (если надо под­твер­дить дей­ствия про­веря­емо­го поль­зовате­ля). Выг­рузим их через кон­соль в фор­мате сырых кус­тов (не REG-фай­ла!):

reg save HKLM\Software\ "G:\Penetratordir\Software.DAT" /y /c
reg save HKLM\System\ "G:\Penetratordir\System.DAT" /y /c
reg save HKCU "G:\Penetratordir\HKCU.DAT" /y /c

Все эти фай­лы мож­но про­ана­лизи­ровать в WRR, но нас будет инте­ресо­вать толь­ко System.DAT, содер­жащий информа­цию по железу компь­юте­ра, — заг­рузим его. Откро­ем вклад­ку Hardware, там выберем кон­фигура­цию (текущую или пос­леднюю успешную), обя­затель­но уста­нав­лива­ем фла­жок Device Map, запус­каем поиск и ждем‑с. Верим, что ути­лита спра­вит­ся... В общем, спус­тя некото­рое доволь­но про­дол­житель­ное вре­мя получа­ем резуль­тат — раз­бивку не толь­ко по флеш­кам, но и по иным устрой­ствам: кла­виату­рам, при­водам, прин­терам и дру­гим девай­сам.

Вы­вод выг­лядит кра­сиво, одна­ко опять же не показы­вает вре­мени — толь­ко под­твержде­ние, что устрой­ство ког­да‑то под­клю­чалось.

У MiTeC есть ути­лита USB History в сос­таве MiTeC System Information Component Suite, которая пре­дос­тавля­ет базовую информа­цию о под­клю­чен­ных USB-устрой­ствах, в том чис­ле имя, серий­ный номер, тип и дату. Из информа­ции — толь­ко то, что ты видишь на скри­не, выг­рузка дос­тупна исклю­читель­но в фор­мате, под­держи­ваемом дан­ной прог­раммой, даже ско­пиро­вать ничего нель­зя.

 

Промежуточный вывод

WRR работа­ет как‑то заморо­чен­но и мед­ленно, а USB History годит­ся раз­ве что для получе­ния спис­ка устрой­ств и вре­мени (зато быс­тро). Давай поищем прош­ку получ­ше.

 

NirSoft USBDeview

По­жалуй, это наибо­лее извес­тная прог­рамма для вывода спис­ка под­клю­чаемых устрой­ств и управле­ния ими. При запус­ке она опе­ратив­но фор­миру­ет вывод, демонс­три­руя очень мно­го стол­бцов с раз­нооб­разной информа­цией.

Осо­бен­но при­ятно наличие допол­нитель­ных полей, которых мы рань­ше не видели: был ли носитель безопас­но извле­чен, бук­ва дис­ка и дата пос­ледне­го под­клю­чения. При двой­ном щел­чке мышью откры­вает­ся окно со все­ми под­робнос­тями о выб­ранном устрой­стве.

Все дан­ные мож­но ско­пиро­вать или сох­ранить в любом удоб­ном фор­мате, вклю­чая CSV. Из при­ятных бонус­ных фун­кций — воз­можность уста­новить зап­рет на под­клю­чение любых устрой­ств из спис­ка. Мож­но сра­зу перей­ти к клю­чу реес­тра в Enum\USB, отку­да прог­рамма взя­ла дан­ные.

 

Промежуточный вывод

Прог­рамма — поч­ти меч­та форен­зика. Если бы при­ходи­лось иметь дело толь­ко с live-сис­темами, а поль­зовате­ли не тер­ли бы инфу об устрой­ствах, то USBDeview — выбор номер один. Одна­ко ты уже понял, что мы на этом не оста­нав­лива­емся, ведь нет пре­дела совер­шенс­тву. Как нас­чет офлайн‑сис­тем, обра­зов дис­ков и опре­деле­ния фай­лов на флеш­ке, к которым обра­щал­ся юзверь? Смо­жем ли мы получить незави­симое от DLP-сис­темы под­твержде­ние, что наш работ­ник — вре­дитель?

 

USB Forensic Tracker

Та­иланд не перес­тает удив­лять. Сре­ди воз­можнос­тей дан­ной прог­раммы родом из экзо­тичес­кой стра­ны — мон­тирова­ние кри­мина­лис­тичес­ких обра­зов дис­ков (пос­редс­твом встро­енно­го Arsenal Image Mounter), а так­же теневых копий. При­ложе­ние спо­соб­но ана­лизи­ровать фай­лы не толь­ко Windows, но и MAC (/private/var/log/system*|kernel*) и Linux (/var/log/syslog, при­вет, usbrip!). Прой­дем­ся по спис­ку ана­лизи­руемых арте­фак­тов для вин­ды — кро­ме тех, что мы уже упо­мина­ли.

Уточ­нения в реес­тре.

GUID и серий­ники носите­лей:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM

Этот раз­дел может называть­ся и так:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB

Так­же:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

А вот здесь мож­но най­ти пос­ледние сопос­тавле­ния букв и меток дис­ка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache

В логах вин­ды (C:\Windows\System32\winevt\Logs) рекомен­дует­ся пос­мотреть сле­дующие фай­лы:

  • Microsoft-Windows-Storage-ClassPnP/Operational.evtx;
  • Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx (EventID 1000, под­клю­чение MTP-устрой­ства);
  • Microsoft-Windows-Partition%4Diagnostic.evtx;
  • Microsoft-Windows-Ntfs%4Operational.evtx.

По­мимо это­го, ути­лита смот­рит теневые копии — что осо­бен­но полез­но про­тив любите­лей затир­ки сле­дов — и пап­ку Windows.old (там могут хра­нить­ся фай­лы setupapi и логи, пом­нишь?).

Да­вай запус­тим эту пуш­ку на live-сис­теме, сле­ва для это­го есть спе­циаль­ная зеленая кноп­ка.

Ин­форма­ция выводит­ся с раз­бивкой по источни­кам. По срав­нению с USBDeview здесь нет пря­мого ука­зания вре­мени пер­вого или пос­ледне­го под­клю­чения, толь­ко пер­вая дата по реес­тру и мно­жес­тво дат под­клю­чений, которые по каж­дому источни­ку при­ходит­ся смот­реть отдель­но. Что при­ятно, в каж­дой стро­ке дано ука­зание, отку­да имен­но прог­рамма взя­ла арте­фак­ты.

Мож­но ско­пиро­вать информа­цию нап­рямую из интерфей­са или выг­рузить в Excel. Раду­ет факт, что выг­рузка поч­ти пол­ностью пов­торя­ет интерфейс прог­раммы.

На­ибо­лее инте­рес­на вклад­ка Accessed files — пом­нишь, что я тебе говорил про ярлы­ки в Recent? Бла­года­ря этой вклад­ке мож­но под­твер­дить работу с фай­лами на флеш­ке или в сис­теме.

 

Промежуточный вывод

Ути­лита исполь­зует зна­читель­ное количес­тво источни­ков, в том чис­ле и из дру­гих ОС. Огор­чает, что не выпол­няет­ся кор­реляция получен­ных све­дений (пос­тро­ение еди­ного тай­млай­на со все­ми дан­ными), а толь­ко выг­рузка вида «источник — смот­ри что я в нем нашел». Из дру­гих минусов — к прог­рамме надо при­норав­ливать­ся. Нап­ример, для ана­лиза офлайн‑фай­лов нуж­ны реаль­ные копии фай­лов, а не твой JSON-три­аж с самыми соч­ными арте­фак­тами или отдель­ными кус­тами реес­тра. Теневые копии ана­лизи­руют­ся толь­ко по одной за раз для каж­дого дис­ка. Нес­мотря на это, прог­рамма выг­лядит как одно из луч­ших решений в сво­ем клас­се. Пожалуй, она поможет нашему герою уйти с работы, не слиш­ком задер­жавшись.

 

USB Detective

На вход вер­сии Community Edition мож­но подать логичес­кий диск (но не текущий сис­темный) или соб­ранные арте­фак­ты. Давай раз­бирать­ся.

Мы ранее показа­ли, как выг­рузить кус­ты SYSTEM, SOFTWARE и HKCU (он же NTUSER.DAT), где находит­ся setupapi, — для базово­го ана­лиза это­го будет дос­таточ­но. Для бес­плат­ной вер­сии нам еще понадо­бит­ся Amcache Hive, который содер­жит информа­цию о запус­каемых при­ложе­ниях в сис­теме. Он рас­положен по пути %SystemRoot%\AppCompat\Programs\Amcache.hve (в live-сис­теме ты его так не откро­ешь, но методом мож­но вос­поль­зовать­ся при ана­лизе с заг­рузоч­ной флеш­ки или обра­за дис­ка).

Из‑за про­веде­ния валиди­рующих про­верок меж­ду вход­ными дан­ными прог­рамма работа­ет с уме­рен­ной ско­ростью, но мед­леннее, чем USB Forensic Tracker.

На стен­де бес­плат­ная вер­сия наш­ла 242 под­клю­чен­ных ранее устрой­ства. Для срав­нения — USB History нашел око­ло 100 устрой­ств, USB Deview — свы­ше полуты­сячи событий. Про­верим, что обна­ружи­ла эта соф­тина.

Мы видим, что работа прог­раммы стро­ится на осно­ве серий­ников и дат пер­вого или пос­ледне­го под­клю­чения. При двой­ном щел­чке мышью на соот­ветс­тву­ющей стро­ке мож­но открыть спи­сок источни­ков, отку­да были под­тянуты эти све­дения. Цве­том выделе­ны «сом­нения» прог­раммы отно­ситель­но отме­ток вре­мени.

До­пол­нитель­но отоб­ража­ется при­вяз­ка к VSN, что, безус­ловно, плюс (рань­ше мы такое видели толь­ко в USB Forensic Tracker в раз­делах обра­щений к фай­лам, реес­тру и поль­зовате­лю).

В кон­текс­тном меню, которое появ­ляет­ся по нажатию пра­вой кла­виши мыши, мож­но открыть спи­сок дру­гих под­клю­чений выб­ранно­го устрой­ства, что тоже удоб­но.

На этом фун­кции бес­плат­ной вер­сии исчерпы­вают­ся — давай про­верим, нас­коль­ко луч­ше работа­ет плат­ная или обра­зова­тель­ная вер­сия. В целом, загото­вив скрипт для сбо­ра ука­зан­ных арте­фак­тов (или исполь­зуя тул­зы вро­де KAPE), мож­но будет сос­редото­чить­ся на их даль­нейшем ана­лизе. С точ­ки зре­ния прак­тики регуляр­но исполь­зовать, конеч­но, нес­коль­ко неудоб­но.

Для плат­ной вер­сии нам допол­нитель­но понадо­бит­ся файл UsrClass.dat, EventLog, LNK files и Jump Lists. Пер­вый файл отве­чает за парамет­ры про­филя поль­зовате­ля и находит­ся по такому пути:

C:\Users<имя>\AppData\Local\Microsoft\Windows

Еще мож­но изу­чить под­разде­лы вет­ки HKEY_USERS в сис­темном реес­тре. Логи ищи в катало­ге C:\Windows\System32\winevt\Logs. LNK files — это те же ярлы­ки в Recent. Jump Lists — спис­ки недав­но откры­тых фай­лов — ищи в сле­дующих скры­тых пап­ках:

  • %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations;
  • %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations.

По срав­нению с Community Edition для той же сис­темы, прос­каниро­ван­ной в live-режиме, име­ем на 40 событий боль­ше, вре­мя ана­лиза уве­личи­лось до 11 минут. Что по ниш­тякам?

По­яви­лась воз­можность пос­мотреть спи­сок фай­лов, откры­тых на под­клю­чаемом устрой­стве, спи­сок источни­ков. Прог­рамма сама находит и ана­лизи­рует бэкапы реес­тра (пап­ка RegBack), так­же ана­лизи­рует сис­темный лог. Сра­зу мож­но выг­рузить тай­млайн по отдель­ному устрой­ству в фор­мате Excel или пос­тро­ить пол­ные отче­ты (генерят­ся дос­таточ­но дол­го).

При такой кон­фигура­ции отче­тов на вых­лопе мы получим три отчетных фай­ла:

  • Report. По сути, выг­рузка того, что ты видел на экра­не;
  • Verbose Report. Содер­жит GUID источни­ков, а так­же все вре­мен­ные отметки из всех источни­ков;
  • Timeline. Пред­став­ляет собой тай­млайн событий из источни­ков.

По­мимо событий под­клю­чения, безопас­ного отклю­чения или прос­то отклю­чения устрой­ства, в жур­налы попадут ивен­ты, свя­зан­ные с соз­дани­ем и откры­тием дирек­торий, а так­же соз­дани­ем, изме­нени­ем и откры­тием фай­лов на устрой­ствах.

 

Предпоследний вывод

Глав­ный недос­таток прог­раммы в том, что ска­ниро­вание live-сис­темы и топовых арте­фак­тов (логи, ярлы­ки) дос­тупно толь­ко в плат­ных вер­сиях, а для бес­плат­ных при­ходит­ся замора­чивать­ся с выг­рузкой сис­темных арте­фак­тов. Нем­ного жал­ко, что нет воз­можнос­ти сох­ранить сес­сию в прог­рамме, что­бы каж­дый раз не ука­зывать заново арте­фак­ты и ждать завер­шения ана­лиза. Прог­рамма поз­воля­ет получить мак­симум валиди­рован­ной информа­ции, минусы — про­дол­житель­ное вре­мя ана­лиза и цена pro-вер­сий.

За­бав­но, что популяр­ная ути­лита для очис­тки сле­дов USB-устрой­ств — USB Oblivion уда­ляет гораз­до боль­ше источни­ков, боль­шинс­тво из которых даже не обра­баты­вал USB Detective:

  • фай­лы: C:\Windows\setupact.log и setuperr.log;
  • жур­налы: Microsoft-Windows-DeviceSetupManager/Operational и Admin, Microsoft-Windows-Kernel-PnP/Configuration, Microsoft-Windows-Kernel-ShimEngine/Operational, так­же жур­нал при­ложе­ний, безопас­ности и событий обо­рудо­вания.

Уда­ление клю­чей реес­тра:

GUID устрой­ств:

HKLM\system\controlset00X\control\class\*
HKLM\system\controlset00X\enum\storage\volume\

Здесь записа­ны отдель­ные устрой­ства:

HKLM\system\controlset00X\hardware profiles\0001\system\currentcontrolset\enum\*

Осо­бен­но обра­ти вни­мание на под­папки usbstor\, usb\ и WPDBUSENUMROOT\.

HKEY_LOCAL_MACHINE\system\controlset001\control\devicecontainers\
HKEY_LOCAL_MACHINE\system\controlset001\control\usbflags\`

Ус­трой­ства с про­кеши­рова­нием ReadyBoost:

HKLM\system\controlset00X\services\rdyboost\attachstate

Shellbags — оста­точ­ные исто­рии прос­мотра дирек­торий:

HKLM\software\classes\local settings\software\microsoft\windows\shell\bags
HKLM\SOFTWARE\Microsoft\WBEM\WDM\DREDGE`;

Поль­зователь­ские шелл‑баги:

HKEY_USERS<user_SID>\software\classes\wow6432node\local settings\software\microsoft\windows\shell\bagmru

По­мимо bagmru, учти раз­дел bags.

За­писи о запус­ке при­ложе­ния и пути исполня­емо­го фай­ла:

HKEY_USERS<user_SID>\software\classes\local settings\software\microsoft\windows\shell\muicache\*
HKEY_USERS<user_SID>\software\classes\local settings\software\microsoft\windows\shell\bagmru
HKEY_USERS<user_SID>\software\classes\local settings\software\microsoft\

Центр син­хро­низа­ции:

windows\currentversion\syncmgr\handlerinstances

Час­то исполь­зуемые при­ложе­ния:

HKEY_USERS<user_SID>\software\microsoft\windows\currentversion\explorer\userassist
HKEY_USERS<user_SID>\software\microsoft\windows\shell\bagmru
HKEY_USERS<user_SID>\software\microsoft\windows\shell\bags\

Ав­тозапуск с устрой­ств:

HKEY_USERS<user_SID>\software\microsoft\windows\currentversion\explorer\autoplayhandlers\knowndevices

До­маш­нее задание: уга­дай, от каких прог тебя спа­сет USB Oblivion, а от каких — нет? Под­сказ­ка: у нас есть бэкапы и прош­лые вер­сии.

Да­вай чис­то для себя срав­ним резуль­татив­ность наших инс­тру­мен­тов до и пос­ле при­мене­ния USB Oblivion, замер выпол­ним в мак­сималь­ном количес­тве обна­ружен­ных под­клю­чений. Рабочая лошад­ка — какой‑то древ­ний ноут с 32-раз­рядной Windows 7 и 3 Гбайт опе­ратив­ной памяти. Что? У сот­рудни­ков и XP иног­да сто­ит с лам­повым «Сапером» — толь­ко реаль­ные усло­вия, а не сказ­ки с уста­нов­ленны­ми на все устрой­ства пат­чами.

Ре­зуль­таты получи­лись забав­ные: при работе на этой же машине WRR зависа­ет намер­тво при пос­тро­ении кар­ты устрой­ств, а USB Detective тре­бует себе .NET 4.6.1+, который на эту legacy-сис­тему уста­нав­ливать­ся не хочет. Наш безопас­ник был бы не в луч­шей ситу­ации, поэто­му приш­лось ана­лизи­ровать выг­ружен­ные кус­ты реес­тра и setupapi-логи до и пос­ле «зачис­тки».

В USB Oblivion мож­но исполь­зовать обыч­ную очис­тку и с рекомен­дован­ными парамет­рами. Для чис­тоты экспе­римен­та пер­вая зачис­тка была про­изве­дена без рекомен­даций, вто­рая — уже с ними.

  • WRR — не спра­вил­ся с задачей, USB History обна­ружил сле­дов под­клю­чений: 43 (до) / 0 (пос­ле базовой очис­тки) / 0 (пос­ле очис­тки в мак­сималь­ном режиме), что пред­ска­зуемо.
  • USBDeview: 173/139/139. В резуль­тате про­пало боль­шинс­тво уни­каль­ных серий­ников (стро­ки с явны­ми флеш­ками, типа JetFlash Transcend 4GB USB Device и кон­крет­ным серий­ным номером), одна­ко оста­лось мно­го информа­ции о наз­вани­ях устрой­ств. Вре­мен­ные отметки у оставших­ся тоже сох­ранялись. Меж­ду обыч­ным и рекомен­дован­ным режимом очис­тки никаких раз­личий.
  • USB Forensic Tracker: 40/25/25. Пос­ле очис­тки все источни­ки из реес­тра, кро­ме Registry-MountPoints2 и Registry-VolumeInfoCache, ока­зались пус­тыми. Не потерт лог с исто­рией MTP-устрой­ств Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx. Оста­лись VSN в обра­щаемых фай­лах, одна­ко без под­робнос­тей отно­ситель­но кон­крет­ных устрой­ств. Точ­ки вос­ста­нов­ления не ана­лизи­рова­лись.
  • USB Detective Community Edition: 43/9 (пол­ная очис­тка). Потеря­лись иден­тифика­торы устрой­ств, вся информа­ция о бук­вах дис­ков, VSN, откры­тых фай­лах, поль­зовате­ле. Оставши­еся в спис­ке MTP-устрой­ства — телефо­ны.

За­нят­но, что наз­вания устрой­ств были взя­ты из вет­ки ControlSetXXX\Enum\USB\, которую, казалось бы, Oblivion чис­тил. Стран­но.

По резуль­татам очис­тки мы изба­вились от основных арте­фак­тов, одна­ко опыт­ный кри­мина­лист обя­затель­но еще заг­лянет в пап­ку Windows.old, бэкап реес­тра, логи кас­томных при­ложе­ний, анти­виру­са и так далее — пра­во сло­во, лег­че фор­матнуть винт!

 

Итоговый результат чемпионата

Для пов­седнев­ного исполь­зования мак­сималь­ной прос­тотой, быс­тро­той и под­дер­жкой раз­ных источни­ков отли­чает­ся USB Forensic Tracker. Если ты хочешь получать агре­гиро­ван­ные дан­ные с вычис­ленны­ми кор­реляци­ями меж­ду источни­ками и готов заморо­чить­ся, как нас­тоящий форен­зик, тог­да рекомен­дуем USB Detective (а если ты богат — то луч­ше при­обрести ком­мерчес­кую лицен­зию). Для прос­тых рас­сле­дова­ний, завязан­ных на под­твержде­ние самого фак­та под­клю­чения устрой­ств обыч­ными юзе­рами, которые даже не зна­ют, что сис­тема все пишет, мож­но обой­тись и USBDeview.

Уч­ти, что в Windows 10 есть ряд веселых механиз­мов, которые так­же могут содер­жать сле­ды под­клю­чения устрой­ств. Это база EventTranscript.db (C:\ProgramData\Microsoft\Diagnosis\EventTranscript), которая собира­ет диаг­ности­чес­кую информа­цию и телемет­рию, — по умол­чанию она вык­лючена, но слу­чаи раз­ные быва­ют.

На­чиная с Windows 8 опре­делен­ная телемет­рия пишет­ся в файл C:\Windows\System32\SRU\SRUDB.dat (он же SRUM, System Resource Usage Monitor). Там мож­но най­ти ин­фу о запус­ке прог­рамм с внеш­них устрой­ств.

Еще есть опция Windows 10 Timeline, работа­ющая хорошо, ког­да вин­де раз­решен сбор исто­рии активнос­ти поль­зовате­ля. База ActivitiesCache.db обыч­но хра­нит­ся в пап­ке \Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\ — там мож­но най­ти све­дения об откры­тии фай­лов и запус­ке прог­рамм, в том чис­ле со съем­ных носите­лей.

Что ж, теперь мож­но с уве­рен­ностью ска­зать: у тебя дос­таточ­но зна­ний, что­бы быс­тро про­вес­ти ана­лиз и выяв­лять наруше­ния на кор­поратив­ных ком­пах. В статье мы не толь­ко рас­смот­рели готовые инс­тру­мен­ты на прак­тике, но и под­кре­пили их теорией об источни­ках арте­фак­тов. Уда­чи на полях форен­зики!

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии