Lorsque nous réalisons des enquêtes ou un audit sur un ordinateur, l'un des aspects importants est savoir si des appareils non autorisés ont été connectés ou quels appareils ont été utilisés, tels que des clés USB, des imprimantes ou d'autres appareils. Pour détecter ces appareils sous Windows, nous utiliserons le registre Windows qui stocke ces informations et nous permettra de déterminer lesquels contiennent des appareils connectés, des informations sur qui, quoi, où et comment l'activité a été effectuée sur l'ordinateur que nous auditons. ou aussi si nous avons une image disque comme celles que nous avons vues dans le didacticiel Analyser l'image disque avec FTK Imager.
Dans ce tutoriel, nous verrons où et comment trouver l'historique des appareils connectés à l'aide du registre Windows. Chaque fois que nous connectons un appareil via USB ou un autre connecteur, cet événement est stocké dans le registre Windows, il laisse donc une trace et à travers nous allons nous concentrer sur la recherche de périphériques de stockage dans le registre.
Le registre dans un système Windows varie un peu d'une version à l'autre, mais si nous examinons l'essence, il en va de même avec presque toutes les versions de Windows et des autres systèmes d'exploitation. Pour ce tutoriel, nous utilisons Windows 7, en général les étapes sont similaires pour n'importe quelle version.
La première étape sera ouvrir RegeditNous pouvons le faire à partir du menu Windows avec l'option Exécuter ou dans le champ de recherche, nous écrivons redegit.
Ensuite, nous appuyons d'accord et l'éditeur de registre Windows s'ouvrira, où nous verrons que les clés de registre sont des dossiers dans une arborescence de clés, elles contiennent en plus des valeurs qui sont des données, chaque clé peut contenir des sous-clés.
Contenu des clésHKEY_CLASSES_ROOTCette clé contient des informations sur les applications enregistrées, telles que les associations de fichiers, pour déterminer avec quelle application cette extension est utilisée par défaut exemple * .html par défaut Firefox, * .txt par défaut Wordpad, là on peut changer le logiciel avec lequel elle s'ouvre ou s'exécute par défaut pour chaque extension de fichier.
HKEY_USERSIl contient des informations correspondant au profil des utilisateurs qui sont connectés ou actifs sur l'ordinateur, le système est également un utilisateur (Par défaut), bien qu'il fonctionne automatiquement, il laisse également des traces.
HKEY_LOCAL_MACHINEIl contient des informations sur le matériel installé dans l'ordinateur, la plupart des informations sont stockées dans la mémoire RAM et n'enregistrent que quelques traces dans le registre. Par conséquent, les informations de cette clé sont volatiles et sont reconstruites à chaque redémarrage de l'ordinateur.
HKEY_CURRENT_USERCette clé stocke les informations et les paramètres de l'utilisateur qui s'est connecté, c'est-à-dire l'utilisateur actuel.
À trouver une trace de périphériques de stockage USB, nous devons rechercher dans le registre dans la clé suivante :
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBLes deux sous-clés EnsembleContrôle001, EnsembleContrôle002 c'est une copie qui est faite lorsque l'ordinateur réalise un démarrage réussi, ce jeu de contrôle est ce qui permet de déterminer quel était le dernier démarrage sans problème ou la dernière bonne configuration connue. Dans cette clé, nous trouverons des preuves de tout périphérique de stockage USB qui a été connecté à ce système. Par exemple, dans la clé USB, nous trouvons plusieurs sous-clés de périphériques et nous pouvons voir que l'un d'eux correspond à un téléphone mobile Motorola XT1040 qui a été connecté à un moment donné via USB.
AGRANDIR
En analysant une autre sous-clé, nous voyons qu'un scanner Lexmark X1100 Series a été connecté, cet appareil est une imprimante multifonction, mais le registre indique que le service usbscan a été utilisé et non usbprint.
AGRANDIR
Avec la clé USB, nous verrons un historique des appareils qui ne sont plus connectés. Pour voir ou capturer les appareils qui sont connectés, alors nous devons regarder la sous-clé :
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
AGRANDIR
Dans ce cas, nous pouvons voir une clé USB Kingston connectée à l'ordinateur, si l'appareil est supprimé, la sous-clé restera enregistrée dans USBSTOR jusqu'à ce que l'ordinateur soit éteint, mais un enregistrement restera dans la sous-clé USB.
Recherchez les périphériques qui ont été montés sur le système.
Si un utilisateur utilise un périphérique matériel qui doit être monté, tel qu'un lecteur DVD externe, un disque dur externe, une mémoire flash, le registre laissera une trace du périphérique monté. Ces informations sont stockées dans la sous-clé :
HKEY_LOCAL_MACHINE \ System \ MountedDevicesNous pouvons voir ci-dessous, une liste de tous les périphériques qui ont été montés ou sont montés sur l'ordinateur, les lecteurs C:D: et F:. Si nous double-cliquons sur le lecteur D, nous verrons qu'il s'agit d'un CD ROM connecté depuis VirtualBox et si nous faisons de même avec le lecteur F, nous verrons que c'est la clé kingston qui a été connectée à un moment donné.
Si nous ne pouvons pas déterminer de quel périphérique il s'agit, nous pouvons mettre en relation les périphériques de la clé MountDevices en regardant la clé en binaire, puis cet identifiant unique nous le recherchons dans les autres sous-caves. Un outil que nous pouvons utiliser est USBViewer, qui est un outil simple et portable qui offre la possibilité de visualiser des informations sur les périphériques USB actuellement et précédemment connectés à l'ordinateur.
AGRANDIR
Le registre Windows permet de conserver un historique des événements sur ce qui s'est passé dans un système Windows en utilisant différentes techniques et procédures, nous pouvons reconstituer les faits et déterminer les éléments qui ont été utilisés.
