USB forensic battle. Выбираем инструмент для анализа подключений носителей - «Новости»

Так­же для про­вер­ки качес­тва работы ути­лит пос­ле уда­ления приз­наков под­клю­чения устрой­ств мы исполь­зовали USB Oblivion.

Для оцен­ки инс­тру­мен­тов мы смот­рим на удобс­тво тул­зы, наг­лядность резуль­татов и их пол­ноту, наличие или отсутс­твие допол­нитель­ных све­дений. Основная задача — подоб­рать опти­маль­ную прог­рамму, отли­чающуюся пол­нотой пре­дос­тавля­емых све­дений и удобс­твом в исполь­зовании.

Regedit

Нач­нем с клас­сики. Основная часть информа­ции о девай­сах, вклю­чая иден­тифика­торы под­клю­чаемых устрой­ств, хра­нит­ся в сис­темном реес­тре. С исполь­зовани­ем штат­ной ути­литы regedit по пути HKLMSYSTEMCurrentControlSetEnumUSBSTOR или USB ты можешь най­ти все иден­тифика­торы устрой­ств. Напом­ним, что общий иден­тифика­тор флеш­ки обыч­но пред­став­ляет­ся в виде VID_0011&PID_7788<уникальный серийник> (под­робнос­ти читай в нашей статье про под­мену это­го иден­тифика­тора). Учти, что некото­рые арте­фак­ты могут обна­ружить­ся не толь­ко в текущем кон­фиге, но и в аль­тер­натив­ных (controlset00X).

Не­кото­рые устрой­ства (обыч­но само­иден­тифици­рующиеся, такие как CD/DVD или жес­ткие дис­ки) про­писы­вают­ся в USBSTOR. Так мы можем толь­ко понять, что какие‑то устрой­ства с такими‑то серий­никами под­клю­чались к хос­ту. Одна­ко ни вре­мени под­клю­чения, ни дру­гой под­робной информа­ции сис­темный реестр нам не пре­дос­тавит.

Для прод­винутых мож­но пос­мотреть вот этот раз­дел:

Там мож­но опре­делить бук­ву, наз­начен­ную сис­темой под­клю­чен­ному устрой­ству.

По­мимо это­го, наз­вания парамет­ров содер­жат GUID девай­са:

Бла­года­ря ему ты можешь най­ти учет­ную запись поль­зовате­ля, под которой под­клю­чалось это устрой­ство — см. раз­дел HKEY_CURRENT_USER (если подоз­рева­ешь текуще­го юзе­ра; если это не он — то в про­филях поль­зовате­лей ищи фай­лы C:Users<имя>ntuser.dat):

Или ана­лизи­руй в реес­тре вот эту вет­ку:

В целом прос­то ищи получен­ный GUID. Где нашел­ся — там и под­клю­чал­ся.

По­лез­ная информа­ция может встре­тить­ся и в кус­те SOFTWARE. Так, сле­дующий раз­дел, помимо серий­ников, содер­жит параметр FriendlyName, что поз­воля­ет тебе искать фра­зы типа «Смар­тфон Оле­га»:

Вот еще инте­рес­ный раз­дел:

Здесь хра­нит­ся информа­ция об устрой­ствах и свя­зан­ных с ними иден­тифика­торах фай­ловых сис­тем (VSN, Volume Serial Number; одна­ко дис­ки SSD сюда не попада­ют). Иден­тифика­торы меня­ются пос­ле каж­дого фор­матиро­вания — то есть ты можешь отсле­дить исто­рию фор­матиро­ваний носите­ля. Учти, что дан­ный параметр (пос­ледние циф­ры пос­ле "_" в стро­ке под­разде­ла) пред­став­лен в десятич­ном виде, и его нуж­но кон­верти­ровать в HEX. Нап­ример, изу­чив сле­дующий параметр:

мы узна­ем, что устрой­ство с име­нем VICTIMFAT име­ло VSN 0A5E82F1.

Это при­годит­ся, если при изъ­ятии отформа­тиро­ван­ной юзе­ром флеш­ки он ска­жет, что никог­да ничего на носитель не копиро­вал, да и вооб­ще с ним не работал. В реес­тре же сох­ранена пол­ная исто­рия в фор­мате "серий­ник-VSN".

Ес­ли ты пред­почита­ешь копать­ся в реес­тре вруч­ную, то можешь выпол­нить экспорт реес­тра, а затем открыть его в ути­лите типа Registry Explorer. Там в раз­деле соз­дания раз­делов с серий­никами отоб­ража­ется дата их соз­дания — то бишь дата под­клю­чения устрой­ства. С пос­ледней, одна­ко, час­то встре­чают­ся осеч­ки из‑за анти­вирус­ных про­верок, выг­рузки кус­тов реес­тра или вследс­твие ба­гов опе­раци­онной сис­темы.

В ито­ге ана­лиз реес­тра может в луч­шем слу­чае дать тебе информа­цию о фак­те под­клю­чения устрой­ства, но кто его под­клю­чал, ког­да и как — об этом исто­рия умал­чива­ет.

Файловая система

Здесь клас­сичес­ким арте­фак­том явля­ется файл setupapi.dev.log, обыч­но рас­положен­ный в пап­ке C:Windowsinf. В нем мож­но отыс­кать дату и вре­мя пер­вого под­клю­чения носите­ля. Одна­ко учти, что этот файл не бес­конечен и ста­рые под­клю­чения могут быть затер­ты.

В ста­рых вер­сиях вин­ды файл называл­ся setupapi.log, а рядом с ним могут валять­ся прош­лые вер­сии с име­нами setupapi.dev.yyyymmdd_hhmmss.log, куда тоже желатель­но заг­лянуть.

В качес­тве мини‑под­ска­зок в фай­ловой сис­теме пос­мотри ярлы­ки в недав­них фай­лах. Для это­го нуж­но нажать Win-R и ввес­ти shell:recent или заг­лянуть вот в эту пап­ку:

Та­кие же под­сказ­ки есть для устрой­ств и прин­теров (Win-R, затем control printers). Если тре­бует­ся коп­нуть очень глу­боко, заходи в при­ложе­ния (офис, бра­узе­ры, пле­еры, муль­тимеди­апри­ложе­ния) и в спис­ках пос­ледних фай­лов ищи пути к дис­кам, которых явно нет на иссле­дуемом компь­юте­ре. Не забывай, что, если в сис­теме хорошо ведут­ся логи (в том чис­ле жур­налы анти­вирус­ных прог­рамм), в них могут хра­нить­ся све­дения о под­клю­чении устрой­ств или хотя бы об уста­нов­ке драй­вера для устрой­ства. Смот­ри события 2003 и 2102 в жур­нале Microsoft-Windows-DriverFrameworks-UserMode/Operational. В целом тебе могут помочь ко­ды событий 1003, 2004, 2005, 2010, 2100, 2101, 2102, 2105, 2106.

Промежуточный вывод

Ес­ли у тебя мно­го вре­мени и есть желание, в реес­тре мож­но копошить­ся доволь­но дол­го. Мы показа­ли тебе ско­рее теорию, чем прак­тику. Оче­вид­но, что пос­мотреть таким обра­зом даты под­клю­чения устрой­ства не получит­ся, а нас это не устра­ивает. Безопас­ник хочет домой, к любимо­му котику и плат­ным под­пискам стри­мин­говых сер­висов, пом­нишь?