USB: Идентификация подключавшихся устройств

Консультации, советы начинающим.

Модератор: pruss

USB: Идентификация подключавшихся устройств

Сообщение Igor Mikhaylov » 13 сен 2007, 14:28

Повторю еще раз то, что уже говорил на этом форуме: "Господин Harlan утверждает, что в своей книге "Windows Forensic Analysis" (http://www.syngress.com/catalog/?pid=4230 ) он тщательнейшим образом рассказывает о том, как определить:какие сменные носители подключались к ПЭВМ."

Модератор: после моих необдуманных действий отсутствует первое сообщение. Которое в общем соответствует теме ветки
Последний раз редактировалось Igor Mikhaylov 14 сен 2007, 18:05, всего редактировалось 1 раз.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6796
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 112 раз.
Поблагодарили: 147 раз.

Сообщение andre_m » 28 сен 2007, 23:11

Для WinXP я определяю так:

1. С помощью WRA (http://www.mitec.cz/) открываю файл реестра X:\Windows\System32\Config\SYSTEM (естественно переписанный файл с исследуемого HDD, находящийся по данному пути. На локальном компе придется пользоваться Regedit)
2. Определяю текущий ControlSet
2.1. Смотрю параметр Select в ветви реестра (даю полный путь) HKEY_LOCAL_MACHINE\SYSTEM\SELECT
(Например, он равен 1, значит текущий ControlSet001)
3. Смотрю ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
Здесь находятся все устройства-носители, подключаемые к USB
В ключах находящихся в данной ветви есть параметры
- FriendlyName (Например, он равен "Kingston DataTraveler 2.0 USB Device")
- ParentIdPrefix (Например, он равен 7&cb3a0ee&0).
4. Смотрю параметры в ветви реестра
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices (ветвей может быть несколько например у меня есть MountedDevices1)
Открываю параметры вида
\DosDevices\X: (где X - буквы логических дисков).
Выбираю те, которые в значении содержат строки STORAGE#RemovableMedia
После этой строки идет ParentIdPrefix (у меня, например, 7&cb3a0ee&0).
Очевидно, что накопитель с идентификатором "Kingston DataTraveler 2.0 USB Device" монтировался в системе на букву X)

Для полноты картины смотрим все имеющиеся ControlSet'ы, а также файлик \Windows\Repair. Есть еще копии куста реестра SYSTEM в каталоге "X:\System Volume Information\" их тожно можно открывать с помощью "WRA".

Бывает так, что флэшки монтируются на одну и ту же букву и в MountedDevices информация будет только о последней.

Кстати в WRA можно посмотреть даты изменения ветвей реестра, но как их интерпретировать я не знаю.
Примечание: чтобы изменять-удалять параметры в ветви ....USBSTOR нужно иметь права на полный доступ (по умолчанию есть только на чтение).
На параметры в MountedDevices права по умолчанию - "полный доступ".
Так что, пользователь может спокойно удалять нужную нам информацию.

На полноту исследования не претендую.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Marat » 28 сен 2007, 23:24

andre_m,
Кстати в WRA можно посмотреть даты изменения ветвей реестра, но как их интерпретировать я не знаю.

что понимается под словом -интерпретирование?
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение andre_m » 28 сен 2007, 23:30

Marat писал(а):andre_m,
что понимается под словом -интерпретирование?

Я имею в виду можно ли определить дату первого-последнего подключения устройства по данным датам (про первое подключение - можно посмотреть содержимое файла Windows\setupapi.log
(см. А.Б. Нехорошев и др. Практические основы СКТЭ)
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Igor Mikhaylov » 29 сен 2007, 02:12

andre_m писал(а):1. С помощью WRA (http://www.mitec.cz/)...


Зачем вводить новичков в заблуждение? WRA уже давненько коммерческой является (нет ее на сайте mitec.cz). Вместо нее можно использовать Windows Registry Recovery (http://www.mitec.cz/wrr.html)
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6796
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 112 раз.
Поблагодарили: 147 раз.

Re: Кримминалистическая идентификация устройств USB?

Сообщение Igor Mikhaylov » 29 сен 2007, 03:18

Валентин писал(а):Меня эта тема задела. Как можна? :?:

Изучение данного вопроса можно начать с книг:
1) А.Б.Нехорошев, М.Н.Шухнин, И.Ю.Юрин, А.Н.Яковлев Практические основы компьютерно-технической экспертизы. (с учетом замечаний изложенных тут http://computer-forensics-lab.org/forum ... sc&start=0)
2) Harlan Carvey Windows Forensic Analysis Including DVD Toolkit
( http://www.syngress.com/catalog/?pid=4230 )
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6796
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 112 раз.
Поблагодарили: 147 раз.

Сообщение andre_m » 29 сен 2007, 19:14

Дополнение к предыдущей писанине:
Оказывается мистер Харлан Карви до меня уже все давно исследовал (отдельное спасибо И. Михайлову) :wink:

1. Если мы смотрим ключ реестра
HKEY_LOCAL_MACHINE\System\ControlSetXXX\Enum\USBSTOR, то видим (пример):

Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_1.04
L 0BF19451711018DA&0

Так вот первая строка - идентификатор класса, а 0BF19451711018DA - уникальный идентификатор устройства. Для каждого подключаемого USB-устройства он будет разный. Даже если 2 устройства одинаковой класса и модели. При подключении PnP-менеджер либо считывает сюда серийный номер устройства, либо генерирует уникальный ID, если устройство не имеет зашитого серийного номера.
2. Чтобы определить время последнего подключения USB-устройства делаем следующее:
2.1. Ищем в ветви реестра

HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Control\DeviceClasses
подключи {53f56307-b6bf-11d0-94f2-00a0c91efb8b} и {53f5630db6bf-11d0-94f2-00a0c91efb8b}

2.2. Открываем первый и находим там подключ, начинающийся с нужного нам идентификатора класса устройства (пример):
"##?#USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_1.04#0BF19451711018DA&0....."
Видим, кстати, тут уникальный идентификатор устройства.
Дата последнего изменения данного подключа и будет датой последнего подключения устройства.
(не забываем про TimeZone)

2.3. Открываем второй и находим там нужный нам ParentIdPrefix устройства:
"##?#STORAGE#RemovableMedia#7&cb3a0ee&0&RM..."

Дата последнего изменения данного подключа и будет датой последнего подключения тома..
(не забываем про TimeZone)

3. Чтобы определить, а какой пользователь имел доступ к тому делаем следующее:
3.1. в подключе MountedDevices ищем параметры вида
\??\Volume{8f6082e2-dabd-11d9-b1ae-e72a1a2901ce}, в значении которых имеется нужный нам ParentIdPrefix.

3.2. открываем файлы "NTUSER.DAT" пользователей.
Там находим ключ
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
В нем ищем подключ {8f6082e2-dabd-11d9-b1ae-e72a1a2901ce}.
Соответственно, если находим, то чей NTUSER.DAT тот и имел доступ.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение lab222 » 07 ноя 2007, 15:39

С идентификацией разобрался, дак проблемма еще одна, каким образом можно узнать что происходило с флешкой после того как ее вставили в порт USB (отформатировали, скопировали информацию, запустили приложение, редактировали документ и т.д.)
Ну по поводу запуска приложения понятно где и что, а по остальным действиям не ясно.
Например при выборе типа запуска из автозагрузки носителя меняется ключ реестра MountPoints2\Autorun но каким образом и что еще интересного не ясно!!!!
lab222
 
Сообщения: 25
Зарегистрирован: 30 авг 2007, 12:35
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 07 ноя 2007, 18:00

смотри .lnk файлы. часть нужной информации можно вытянуть из них.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6796
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 112 раз.
Поблагодарили: 147 раз.


Вернуться в Помощь новичкам

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1