Spåra enheter som har anslutits i Windows

Innehållsförteckning

När vi utför undersökningar eller en granskning på en dator är en av de viktiga aspekterna vet om obehöriga enheter har anslutits eller vilka enheter som har använts, till exempel pennanheter, skrivare eller andra enheter. För att upptäcka dessa enheter i Windows använder vi Windows -registret som lagrar denna information och låter oss avgöra vilken som innehåller enheter som var anslutna, information om vem, vad, var och hur aktiviteten utfördes på den dator som vi granskar eller också om vi har en diskavbildning som den vi såg i analysen Disk image with FTK Imager tutorial.

I denna handledning kommer vi att se var och hur man hittar historiken för anslutna enheter med hjälp av Windows -registret. Varje gång vi ansluter en enhet via USB eller en annan kontakt, lagras denna händelse i Windows -registret, därför lämnar den ett spår och vi kommer att fokusera på sökningen efter lagringsenheter i registret.

Registret i ett Windows -system varierar lite från en version till en annan, men om vi undersöker essensen är det samma med nästan alla versioner av Windows och andra operativsystem. För denna handledning använder vi Windows 7, i allmänhet är stegen liknande för alla versioner.

Det första steget blir öppna RegeditVi kan göra det från Windows -menyn med alternativet Kör eller i sökrutan skriver vi om.

Sedan trycker vi på Okej och Windows Registry Editor öppnas, där vi kommer att se registernycklarna är mappar i ett nyckelträd, de innehåller förutom värdena som är data, varje nyckel kan innehålla undernycklar.

Nycklar innehållHKEY_CLASSES_ROOTDenna nyckel innehåller information om registrerade applikationer, till exempel filassociationer, för att avgöra med vilken applikation detta tillägg används som standard exempel * .html som standard Firefox, * .txt som standard Wordpad, där kan vi ändra programvaran som det öppnar eller körs som standard för varje filtillägg.
HKEY_USERSDen innehåller information som motsvarar profilen för användare som är inloggade eller aktiva på datorn, systemet är också en användare (standard), även om det fungerar automatiskt, lämnar det också spår.
HKEY_LOCAL_MACHINEDen innehåller information om hårdvaran som är installerad i datorn, den mesta av informationen lagras i RAM -minnet och sparar bara några spår i registret, därför är informationen i den här nyckeln flyktig och byggs om varje gång datorn startas om.
HKEY_CURRENT_USERDenna nyckel lagrar information och inställningar för användaren som har loggat in, det vill säga den aktuella användaren.

Till hitta spår av USB -lagringsenhetermåste vi söka i registret med följande nyckel:

 HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USB
De två undernycklarna ControlSet001, ControlSet002 det är en kopia som görs när datorn uppnår en lyckad start, den här kontrolluppsättningen är det som gör det möjligt att avgöra vilken som var den senaste starten utan problem eller senast kända bra konfiguration. I den här nyckeln hittar vi tecken på alla USB -lagringsenheter som har anslutits till detta system.Till exempel hittar vi i USB -nyckeln flera undernycklar till enheter och vi kan se att en av dem motsvarar en Motorola XT1040 mobiltelefon som har anslutits någon gång via USB.

FÖRSTORA

Genom att analysera en annan undernyckel ser vi att en Lexmark X1100 Series -skanner har anslutits genom, den här enheten är en multifunktionsskrivare, men registret indikerar att usbscan -tjänsten användes och inte usbprint.

FÖRSTORA

Med USB -nyckeln ser vi en historik över enheter som inte längre är anslutna. För att se eller fånga de enheter som är anslutna måste vi titta på undernyckeln:

 HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR

FÖRSTORA

I det här fallet kan vi se en Kingston -pendrive ansluten till datorn. Om enheten tas bort förblir undernyckeln registrerad i USBSTOR tills datorn stängs av, men en post finns kvar i USB -undernyckeln.
Sök efter enheter som har monterats på systemet.

Om en användare använder någon hårdvaruenhet som måste monteras, t.ex. extern DVD -spelare, extern hårddisk, flashminne, lämnar registret ett spår av den monterade enheten. Denna information lagras i undernyckeln:

 HKEY_LOCAL_MACHINE \ System \ MountedDevices
Vi kan se nedan en lista över alla enheter som har monterats eller är monterade på datorn, C: D: och F: -enheterna. Om vi ​​dubbelklickar på enhet D, kommer vi att se att det är en CD -ROM ansluten från VirtualBox och om vi gör samma sak med enhet F kommer vi att se att det är kingston pendrive som var ansluten någon gång.

Om vi ​​inte kan avgöra vilken enhet det är, kan vi relatera enheterna i MountDevices -nyckeln och titta på nyckeln i binär och sedan det unika id som vi letar efter den i de andra delhålorna. Ett verktyg som vi kan använda är USBViewer, som är ett enkelt och bärbart verktyg som ger möjlighet att visa information om USB -enheterna som för närvarande och tidigare har anslutits till datorn.

FÖRSTORA

Windows -registret gör det möjligt att föra en historik över händelser om vad som hände i ett Windows -system med hjälp av olika tekniker och procedurer, vi kan rekonstruera fakta och bestämma de element som användes.

wave wave wave wave wave