Historico de Dispositivos USB – Windows

“Se você é um examinador corporativa trabalhando um roubo de propriedade intelectual, ou um investigador policial em busca de imagens ilícitas, a maioria dos examinadores forenses investigaram a história dispositivo USB de um computador. Ao examinar USBs, é tão importante para identificar o usuário que conectou o dispositivo, uma vez que é o de analisar os dados que podem ter sido transferidos para ou a partir do sistema.

 cinco peças-chave de informações que precisam ser encontrado ao se investigar a história do dispositivo USB.Com os dados de cada uma dessas fontes, os investigadores podem entender melhor como os dispositivos USB têm sido usados ​​em um determinado sistema e, possivelmente, como um suspeito pode ter usado um dispositivo USB na prática de um crime ou incidente.

A maioria dos artefatos associados com histórico de dispositivos USB estão localizados no registro do Windows de um computador, e pode ser analisado por ferramentas como Evidence Internet Finder (IEF), RegRipper de Harlan Carvey, de AccessData Registry Viewer, ou manualmente com o regedit do Windows.

5 Artefatos-chave que precisam ser encontrados quando se investiga USB History dispositivo:

  1. O USBSTOR localizado na seção do sistema ( SYSTEM \ CurrentControlSet \ Enum \ USBSTOR ) USBSTOR contém detalhes sobre o fornecedor ea marca do dispositivo USB conectado, junto com o número de série do aparelho que pode ser usado para combinar com a letra da unidade montada, usuário, e as primeiras e últimas vezes relacionados do dispositivo.
  2. A chave MountedDevices ( SYSTEM \ MountedDevices )   permite aos investigadores para coincidir com o número de série de uma determinada letra de unidade ou volume que foi montado quando o dispositivo USB foi inserido. É possível que o investigador não vai ser capaz de identificar a letra da unidade se vários dispositivos USB foram adicionadas, já que a letra de unidade mapeada só mostra o número de série do dispositivo mais recentemente montado para cada letra atribuída.
  3. A chave MountPoints2 encontrado em ntuser.dat colméia de um usuário ( ntuser.dat \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 ) Esta informação irá revelar qual usuário estava conectado e ativo quando o dispositivo USB foi conectado. MountPoints2 lista todos os GUIDs de dispositivos que um determinado usuário conectado, então talvez você precise procurar em cada ramo NTuser.dat no sistema para identificar o usuário que conectou um dispositivo específico.
  4. A chave USB na seção do sistema ( SYSTEM \ CurrentControlSet \ Enum \ USB )   Essa chave fornece investigadores com fornecedor e identificação do produto para um determinado dispositivo, mas também oferece a última vez que o dispositivo USB foi conectado ao sistema. Usando a última hora de gravação para a chave do número de série do dispositivo, os investigadores podem identificar a última vez que foi ligado.
  5. O log setupapi ( ROOT \ Windows \ inf \ setupapi.dev.log   para Windows Vista / 7/8) (ROOT \ Windows \ setupapi.log  para Windows XP)   Procurar o número de série neste arquivo irá fornecer investigadores com informações sobre quando o dispositivo foi ligado em primeiro lugar para o sistema na hora local. Os examinadores devem ter cuidado, pois ao contrário das outras marcas de tempo mencionadas neste artigo, que são armazenados em UTC, o setupapi.log armazena seus dados em tempo local do sistema e deve ser convertido para UTC para combinar corretamente qualquer análise cronograma que está sendo executada pelo investigador.

Infelizmente investigar dispositivos USB nem sempre é fácil, pois há situações em que o USB não interagem com o sistema como descrito acima. Este é o lugar onde os dispositivos que utilizam o protocolo de transferência de mídia (ou MTP) são introduzidos.

Como investigar dispositivos MTP

Originalmente projetado para dispositivos de mídia portáteis, como MP3 players, dispositivos MTP (Media Transfer Protocol) não são tão comuns como os dispositivos USB e chaves, mas eles são bastante populares entre os dispositivos móveis, incluindo o Android, BlackBerry e Windows Phone. Diferentes drivers são usados ​​em um sistema Windows quando um dispositivo MTP está ligado, versus quando um dispositivo de armazenamento em massa USB tradicional é.

Uma diferença importante para os investigadores forenses olhar para a história do dispositivo MTP é que por causa de um dispositivo MTP não é um dispositivo de armazenamento em massa USB, ele não produz uma entrada na chave USBSTOR na seção do sistema, nem será a chave MountPoints2 no NTUSER. dat lista colméia uma letra de unidade para um dispositivo MTP porque o Windows não atribuir letras de unidade para dispositivos MTP. É importante reconhecer essas mudanças como investigadores dependem destes locais para enumerar os dispositivos USB conectados a um computador.

Nicole Ibrahim tem escrito e apresentado em dispositivos MTP extensivamente, e para quem procura informações adicionais devem verificar o seu blog ou apresentação SANS DFIR Summit .

Fazendo Análise USB mais fácil com Evidence Internet Finder (IEF)

Acima, discutimos uma série de maneiras de identificar manualmente os dispositivos USB conectados a um sistema, mas coletar todas as informações a partir de várias chaves de registro e registros podem ser extremamente demorado, e é por isso ferramentas forenses são a chave para ajudar a automatizar o processo de coleta.

Evidence Internet localizador pode agora recuperar a história do dispositivo USB, o que significa que os artefatos que precisam ser coletados para cada entrada USB pode ser encontrado automaticamente pelo software, organizado e apresentado ao investigador, poupando-lhes o tempo que leva para fazer o trabalho manual.

Aqui está um exemplo do que um artefato USB parece que depois de ter sido encontrado por uma pesquisa IEF:

  1. Dispositivo de número de série de USBSTOR
  2. Última letra de unidade atribuída a partir MountedDevices
  3. Conta de usuário associada do MountPoints2
  4. A última vez conectado a partir de USB
  5. Primeira vez conectado a partir setupapi.log

IEF irá analisar as seções do Registro e locais Setupapi.log mencionados acima, em seguida, apresentar o investigador com detalhes sobre todos os dispositivos USB e MTP conectados a um sistema. Usuário associado, letra de unidade montada, primeira e última vez conectado, assim como muitos outros detalhes são recuperados e organizados para o investigador para analisar e determinar o que é relevante para a sua investigação rapidamente.Examinadores ainda deve compreender os locais e detalhes em torno de um artefato especial se for analisar com sucesso o seu significado, mas a maior parte do trabalho de coleta manual é feito automaticamente para o investigador, para que possam concentrar-se na análise dos dados.”

Fonte: http://www.magnetforensics.com/how-to-analyze-usb-device-history-in-windows/

Anúncios
Esta entrada foi publicada em 13 de agosto de 2014 às 12:24 e está arquivada sob Sem categoria. Guarde o link permanente. Seguir quaisquer comentários aqui com o feed RSS para este post.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: