Il registry di Windows costituisce una miniera di informazioni per
un analista forense.
In esso è possibile trovare tracce di
ogni sorta e correlare i valori contenuti con i risultati delle
analisi e delle ricerche sul sistema. In aggiunta, esiste una
caratteristica propria del registro di NT, 2000 e XP, della quale
è presente poca documentazione in internet ma che si rivela di assoluta
importanza ai fini dell’indagine: la data di ultima modifica.
Ogni chiave nel registry di Windows ha associato un valore ‘LastWrite’ simile alla data di ultima modifica di un file, contenente il timestamp relativo al più recente aggiornamento della chiave.
E’ facile capire la massima utilità di tale caratteristica, anche se è bene tener presente che il dato è attribuibile unicamente alla chiave, non ai valori in essa contenuti. Modificando un valore interno, viene infatti aggiornato il campo LastWrite della chiave, anche se altri possibili valori della stessa sono rimasti immutati.
Nonostante ciò, l’efficacia di un parametro temporale associato ad un oggetto del registry è evidente e capace di portare a risultati in proporzione alle modalità di utilizzo che l’analista saprà adottare.
Gli usi sono molteplici e differenti in merito agli obbiettivi dell’indagine. Possiamo rilevare il momento in cui sono stati modificati svariati parametri di sistema (auditing e timezone, per fare un esempio), quando un utente ha avuto accesso ad una stazione con l’auditing disabilitato, quando un programma è stato installato sul sistema ecc….
Un sistema proficuo di utilizzare il valore LastWrite di una chiave consiste nel combinarlo con i MAC time degli altri oggetti contenuti nel filesystem, relativamente alla tipologia d’indagine in corso.
Tecnicamente è possibile rilevare il parametro attraverso una funzione (RegQueryInfoKey) della API del Registry di Windows.
Il parametro lpftLastWriteTime della funzione è il puntatore alla struttura FILETIME che riceve la data in cui è stata modificata la chiave o un valore in essa contenuto.
Informazioni approfondite sono presenti sul sito MSDN della Microsoft.
Chi sviluppa in Perl può avvalersi del modulo Win32::TyeRegistry o utilizzare o dello script keytime.pl elaborato da Harlan Carvey.
keytime.exe è un semplice programmino a linea di comando che permette di vedere la data di ultima modifica di una determinata chiave.
Un tool gratuito molto utile è invece DumpReg della SystemTools. Il programma esegue un dump del registry (locale o remoto) che è possibile esportare in CSV per la successiva elaborazione in fogli di calcolo. Permette di filtrare il risultato per periodo di modifica delle chiavi.
Per avere le stesse funzionalità su file di registro offline bisogna però riferirsi a programmi quali EnCase, Registry Viewer di Access Data e, a breve, X-Wais Forensics.
| Per
informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito. La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale. |
