На главную страницу
 
 Главная 
 Новости 
 Статьи RSS
 Программное обеспечение 
 Форум 
 Опросы 
 Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

О сетевой безопасности
Аутентификация, Контроль доступа и Шифрование
Безопасность Windows 2003
Вирусы и трояны
Безопасность ОС Windows
Брандамауэры и VPN
Безопасность Веб Серверов
Безопасность контента (FTP и электронная почта)
Windows и Сети
Безопасность Windows 2008

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 40820528
10727
Hosts 2873369
1079
Visitors 3044821
1331

26
Контроль интернет трафика
Тотальный контроль над сетью

Главная / Статьи / Аутентификация, Контроль доступа и Шифрование / Извлечение USB артефактов в Windows 7


SurfCop

Извлечение USB артефактов в Windows 7

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Введение

Несмотря на то что портативные USB устройства стали неотъемлемым атрибутом повседневной жизни обычного пользователя, они остаются одним из источников угроз для безопасности сетей. Это стало наиболее очевидно в 2008 году, когда вирус Conficker стремительно распространился по интернету и заразил миллионы домашних и корпоративных компьютеров, даже умудрившись пробраться в засекреченные и обычные сети министерства обороны США. Именно в этот момент люди стали всерьёз задумываться о тех проблемах, которые может повлечь за собой возможность пользователей свободно подключать USB устройства к защищенным сетям. Будучи весьма эффективным средством передачи самораспространяющегося вредоносного кода, эти устройства к тому же могут использоваться для удаления конфиденциальной, частной или секретной информации из сети без соответствующей авторизации. Именно по этой причине судебная экспертиза с акцентом на артефактах USB накопителей стала одной из наиболее актуальных тем последних лет.

Важные артефакты

Говоря о системе в контексте судебной экспертизы, мы обращаемся к тем элементам, которые остаются после определенной активности, так называемым артефактам. Когда вы посещаете веб-сайт с помощью Internet Explorer, в истории браузера остается артефакт, свидетельствующий о том, что вы посещали данный сайт. Когда вы входите в систему, в системном журнале безопасности остается запись – еще один артефакт. При анализе системы на предмет взлома или хищения данных именно эти артефакты являются ключами, которые помогают разобраться в том, что же на самом деле произошло. Практически все действия пользователя в системе оставляют после себя разного рода артефакты. Это касается и USB накопителей. Но встает вопрос о том, какие артефакты важны, и где их найти.

Важность тех или иных артефактов наличия USB накопителя будет в основном зависеть от обстоятельств вашего расследования. Возможно, вам нужно посмотреть перечень всех USB накопителей, подключавшихся к зараженной машине, чтобы выяснить, куда вредоносной код мог попасть после этого. Возможно, вы подозреваете пользователя в несанкционированном копировании данных, и вам нужно определить время, в которое личные накопители таких пользователей подключались к системе. Независимо от цели вашего расследования есть несколько ключевых мест в системе Windows, в которых такая информация может быть найдена.

Извлечение USB артефактов вручную

Основным способом обнаружения артефактов USB накопителей является переход в место хранения данной информации вручную. В этой статье мы рассмотрим такие места в Windows 7.

Проще всего найти информацию, содержащую список всех USB накопителей, которые подключались к системе. Эту информацию можно в готовом виде найти в системном реестре Windows в: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. В этом разделе вы найдете ключ каждого накопителя, который подключался к вашей системе, а также информацию о его производителе (Vendor), номере продукта (Product Number), номере версии (Version Number), и серийном номере (Serial Number), если применимо.

Рисунок 1: Список нескольких USB накопителей, которые подключались к компьютеру Windows 7 Рисунок 1: Список нескольких USB накопителей, которые подключались к компьютеру Windows 7

После получения списка всех накопителей вам нужно выявить их принадлежность к пользователям. Это вполне возможно, но для этого потребуется выполнить дополнительные шаги. В реестре сначала нужно перейти в HKLM\SYSTEM\MountedDevices. В этой области вы можете выполнить поиск серийного номера подозрительного устройства. Когда номер найден, он поможет вам определить GUID, связанного с этим устройством.

Когда GUID устройства у вас под рукой, нужно сконцентрироваться на личных профилях пользователей машины. В папке каждого пользовательского профиля (C:\Users) имеется файл NTUSER.DAT. К этому файлу предоставляется доступ для HKEY_CURRENT_USER всякий раз при входе его владельца в систему. В результате, этот файл можно открыть в редакторе системного реестра с правами администратора. Чтобы связать пользователя с определенным устройством, нужно перейти в следующий каталог в NTUSER.DAT разделе: Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. Здесь вы можете найти GUID нужного устройства. Если он найден, значит, пользователь был в системе, когда устройство было к ней подключено. Следует помнить, что этот поиск необходимо выполнять для каждого пользователя системы для установления такой взаимосвязи.

Рисунок 2: Поиск GUID устройства USB в NTUSER.DAT файле Рисунок 2: Поиск GUID устройства USB в NTUSER.DAT файле

Одним из наиболее важных аспектов судебного расследования являются временные рамки, в течение которых совершалось расследуемое событие. Поэтому очень важно знать, когда подозрительное USB устройство было подключено или отключено от системы.

Определение времени, когда накопитель был впервые подключен к системе, является вполне простой задачей при условии, что у вас есть серийный номер этого устройства (получение этой информации описано выше). При наличии этой информации найдите файл C:\Windows\inf\setupapi.dev.log и в нем найдите серийный номер этого устройства, в результате вы найдете время, когда устройство было подключено впервые.

Рисунок 3: Поиск времени первого подключения USB устройства в файле setupapi.dev.log Рисунок 3: Поиск времени первого подключения USB устройства в файле setupapi.dev.log

С другой стороны, не менее важно определить время последнего подключения устройства к системе. Для получения этой информации нужно снова обратиться к реестру в HKLM/System/CurrentControlSet\Enum\USB\VID_12345&PID_12345, заменив '12345' идентификационными номерами производителя и продукта USB устройства (полученными ранее). Здесь вы можете экспортировать раздел реестра в текстовый файл, чтобы посмотреть время последней записи в устройство. Для этого нажимаете Файл (File), выбираете Экспорт в regedit, раздел при этом должен быть выделен.

Рисунок 4: Определение времени последнего подключения USB устройства Рисунок 4: Определение времени последнего подключения USB устройства

Автоматизация извлечения артефактов

Помните, как в средней школе учитель учил вас делению в столбик, и к моменту, когда вы начинали понимать этот способ деления, учитель показывал вам сокращенное деление, и вам было интересно, почему не наоборот? Здесь схожая ситуация. Очень важно знать, как получать такую информацию вручную, но есть инструменты, позволяющие автоматизировать этот процесс.

Лично мне доводилось работать с двумя инструментами: USBDeview и Windows USB Storage (USBSTOR) Parser. Первый инструмент, USBDeview, представляет собой инструмент с графическим пользовательским интерфейсом, позволяющий извлекать и отображать всю информацию, ручное извлечение которой мы обсуждали выше. Эту утилиту можно загрузить бесплатно здесь. Второй инструмент обладает подобным функционалом и может использоваться с Windows и Linux. Его можно загрузить отсюда.

Рисунок 5: Использование USBDeview для просмотра артефактов USB накопителя Рисунок 5: Использование USBDeview для просмотра артефактов USB накопителя

Заключение

Если в вашей среде использование USB устройств не запрещено полностью, то рано или поздно вы столкнетесь с ситуацией, в которой проблемы с безопасностью могут быть связаны с портативным USB накопителем. В этой ситуации информация из данной статьи поможет вам найти нужные фрагменты головоломки, чтобы надлежащим образом отреагировать на инцидент.





Рейтинг:  
4.3 (голосов 35)  
 1   2   3   4   5    

Автор: Крис Сандерс(Chris Sanders)
  Крис Сандерс -старший консультант по сетевым технологиям в Practical Packet Analysis. Его персональный сайт находящийся по адресу: www.chrissanders.org содержит много статей и руководств по сетевому администрированию, сетевой безопасности, анализу пакетов, и много другой полезной информации.
Эта статья переведена и опубликована с разрешения www.windowsecurity.com

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.


Forefront TMG



Печать пластиковых карт - это часть процесса производства и изготовления пластиковых карт Производство пакетов с логотипом