Windows-Forensik Teil 1 | Registry-Forensik | TryHackMe

Wir haben den Prozess der Computerforensik im Rahmen der Untersuchung eines Windows-Betriebssystems behandelt. Wir haben erklärt, was Artefakte sind und wie man sie sammelt. Darüber hinaus haben wir einige Tools erwähnt, die zur Datenerfassung und -analyse verwendet werden. Wir haben auch ein praktisches Szenario behandelt, um den Prozess der Analyse eines Images einer geklonten Festplatte zu demonstrieren und wo man verwandte Artefakte in der Registrierung findet. Dies war Teil von TryHackMe Windows Forenscis 1 SOC-Level-1-Track.

Notizen zur Computerforensik abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Beschreibung der Herausforderung

Einführung in die Windows-Registrierungsforensik

Video-Highlights

Computerforensik ist ein wesentlicher Bereich der Cybersicherheit, in dem es darum geht, Beweise für Aktivitäten zu sammeln, die auf Computern durchgeführt werden. Sie ist Teil des umfassenderen Bereichs der digitalen Forensik, der sich mit der forensischen Analyse aller Arten digitaler Geräte befasst, einschließlich der Wiederherstellung, Untersuchung und Analyse von Daten, die auf digitalen Geräten gefunden wurden. Die Anwendungsgebiete der digitalen und Computerforensik sind vielfältig und reichen vom Rechtsbereich, wo sie zur Unterstützung oder Widerlegung einer Hypothese in einem Zivil- oder Strafverfahren verwendet wird, bis zum privaten Bereich, wo sie bei internen Unternehmensuntersuchungen und der Analyse von Vorfällen und Eindringversuchen hilft.

Ein perfektes Beispiel für die Lösung eines Kriminalfalls durch digitale Forensik ist die BTK-Serienmörder Fall. Dieser Fall war seit mehr als einem Jahrzehnt ungelöst, als der Mörder begann, die Polizei durch Briefe zu verspotten. Der Fall nahm eine entscheidende Wendung, als er eine Diskette an einen lokalen Nachrichtensender schickte, die später von der Polizei als Beweismittel mitgenommen wurde. Die Polizei konnte ein gelöschtes Word-Dokument auf der Diskette wiederherstellen und ihn anhand der Metadaten und einiger anderer Beweise ausfindig machen und verhaften.

Microsoft Windows ist derzeit das mit Abstand am häufigsten verwendete Desktop-Betriebssystem. Privatanwender und Unternehmen bevorzugen es und es hält derzeit etwa 801.000.000 des Desktop-Marktanteils. Das bedeutet, dass es für jemanden, der sich für digitale Forensik interessiert, wichtig ist zu wissen, wie man eine forensische Analyse unter Microsoft Windows durchführt. In diesem Modul lernen wir die verschiedenen Möglichkeiten kennen, wie wir forensische Daten aus der Windows-Registrierung sammeln und anhand dieser Daten Rückschlüsse auf die auf einem Windows-System ausgeführten Aktivitäten ziehen können.

Bei forensischen Analysen wird Ihnen häufig das Wort „Artefakt“ begegnen. Forensische Artefakte sind wichtige Informationen, die menschliches Handeln beweisen. Bei der Untersuchung eines Tatorts werden beispielsweise Fingerabdrücke, ein abgebrochener Knopf eines Hemdes oder Mantels und die zur Begehung des Verbrechens verwendeten Werkzeuge als forensische Artefakte betrachtet. All diese Artefakte werden kombiniert, um die Geschichte der Begehung des Verbrechens nachzuvollziehen.

In der Computerforensik können forensische Artefakte kleine Spuren von Aktivitäten sein, die auf dem Computersystem zurückbleiben. Auf einem Windows-System können die Aktionen einer Person mithilfe der Computerforensik ziemlich genau zurückverfolgt werden, da ein Windows-System für eine bestimmte Aktivität verschiedene Artefakte erstellt. Diese Artefakte befinden sich häufig an Orten, an die sich „normale“ Benutzer normalerweise nicht wagen. Für unsere Zwecke können diese Artefakte analysiert werden, um einen Aktivitätsnachweis für eine Untersuchung bereitzustellen.

Die Windows-Registrierung ist eine Sammlung von Datenbanken, die die Konfigurationsdaten des Systems enthalten. Diese Konfigurationsdaten können sich auf die Hardware, die Software oder die Benutzerinformationen beziehen. Sie enthalten auch Daten über die zuletzt verwendeten Dateien, verwendeten Programme oder an das System angeschlossenen Geräte. Wie Sie verstehen, sind diese Daten aus forensischer Sicht von Nutzen. In diesem Raum lernen wir, wie man diese Daten liest, um die erforderlichen Informationen über das System zu ermitteln.

Die Windows-Registrierung besteht aus Schlüsseln und Werten. Wenn Sie das Dienstprogramm regedit.exe öffnen, um die Registrierung anzuzeigen, sind die angezeigten Ordner Registrierungsschlüssel. Registrierungswerte sind die in diesen Registrierungsschlüsseln gespeicherten Daten. Ein Registrierungsstruktur ist eine Gruppe von Schlüsseln, Unterschlüsseln und Werten, die in einer einzigen Datei auf der Festplatte gespeichert sind.

Struktur des Registers:

Die Registrierung auf jedem Windows-System enthält die folgenden fünf Stammschlüssel:

1. HKEY_CURRENT_USER
2. HKEY_USERS
3. HKEY_LOCAL_MACHINE
4. HKEY_CLASSES_ROOT
5. HKEY_CURRENT_CONFIG

Hier ist, wie Microsoft jeden dieser Stammschlüssel definiert. Weitere Einzelheiten und Informationen zu den folgenden Windows-Registrierungsschlüsseln finden Sie unter Microsoft-Dokumentation.

Wenn Sie auf ein Live-System zugreifen, können Sie mit regedit.exe auf die Registrierung zugreifen und erhalten alle Standard-Root-Schlüssel, die wir in der vorherigen Aufgabe kennengelernt haben. Wenn Sie jedoch nur auf ein Disk-Image zugreifen können, müssen Sie wissen, wo sich die Registrierungsstrukturen auf der Festplatte befinden. Die meisten dieser Strukturen befinden sich im C:\Windows\System32\Config Verzeichnis und sind:

1. STANDARD (befestigt auf HKEY_USERS\DEFAULT)
2. SAM (befestigt auf HKEY_LOCAL_MACHINE\SAM)
3. SICHERHEIT (befestigt auf HKEY_LOCAL_MACHINE\Sicherheit)
4. SOFTWARE (befestigt auf HKEY_LOCAL_MACHINE\Software)
5. SYSTEM (befestigt auf HKEY_LOCAL_MACHINE\System)

Hives mit Benutzerinformationen:

Neben diesen Hives finden Sie im Benutzerprofilverzeichnis noch zwei weitere Hives mit Benutzerinformationen. Unter Windows 7 und höher befindet sich das Profilverzeichnis eines Benutzers in C:\Benutzer\ \ wo sich die Bienenstöcke befinden:

1. NTUSER.DAT (wird auf HKEY_CURRENT_USER gemountet, wenn sich ein Benutzer anmeldet)
2. USRCLASS.DAT (eingebunden unter HKEY_CURRENT_USER\Software\CLASSES)

Der Hive USRCLASS.DAT befindet sich im Verzeichnis C:\Benutzer\ \AppData\Local\Microsoft\Windows.

Einige andere sehr wichtige Quellen für forensische Daten sind die Transaktionsprotokolle und Backups der Registrierung. Die Transaktionsprotokolle können als Journal des Änderungsprotokolls der Registrierungsstruktur betrachtet werden. Windows verwendet häufig Transaktionsprotokolle, wenn Daten in Registrierungsstrukturen geschrieben werden. Dies bedeutet, dass die Transaktionsprotokolle häufig die neuesten Änderungen in der Registrierung enthalten können, die nicht in die Registrierungsstrukturen selbst gelangt sind. Das Transaktionsprotokoll für jede Struktur wird als .LOG-Datei im selben Verzeichnis wie die Struktur selbst gespeichert. Es hat denselben Namen wie die Registrierungsstruktur, aber die Erweiterung ist .LOG. Beispielsweise befindet sich das Transaktionsprotokoll für die SAM-Struktur in C:\Windows\System32\Config im Dateinamen SAM.LOG. Manchmal können auch mehrere Transaktionsprotokolle vorhanden sein. In diesem Fall haben sie die Erweiterung .LOG1, .LOG2 usw. Es ist ratsam, bei der Durchführung einer Registry-Forensik auch die Transaktionsprotokolle zu prüfen.

Registry-Backups sind das Gegenteil von Transaktionsprotokollen. Dabei handelt es sich um Backups der Registry-Hives im C:\Windows\System32\Config Verzeichnis. Diese Hives werden in das C:\Windows\System32\Config\RegBack Verzeichnis alle zehn Tage. Dies ist möglicherweise eine hervorragende Stelle zum Nachschauen, wenn Sie den Verdacht haben, dass einige Registrierungsschlüssel kürzlich gelöscht/geändert wurden.

Raumantworten

Video-Komplettlösung