Quando realizamos investigações ou uma auditoria em um computador, um dos aspectos importantes é saber se dispositivos não autorizados foram conectados ou quais dispositivos foram usados, como pen drives, impressoras ou outros dispositivos. Para detectar esses dispositivos no Windows, usaremos o registro do Windows que armazena essas informações e nos permitirá determinar quais contêm os dispositivos conectados, informações sobre quem, o quê, onde e como a atividade foi realizada no computador que estamos auditando ou também se tivermos uma imagem de disco como as que vimos no tutorial Analisar imagem de disco com FTK Imager.
Neste tutorial, veremos onde e como encontrar o histórico de dispositivos conectados usando o registro do Windows. Cada vez que conectamos um dispositivo via USB ou outro conector, este evento é armazenado no registro do Windows, portanto deixa um rastro e através dele vamos nos concentrar na busca de dispositivos de armazenamento dentro do registro.
O registro em um sistema Windows varia um pouco de uma versão para outra, mas se investigarmos a essência é o mesmo com quase todas as versões do Windows e outros sistemas operacionais. Para este tutorial usamos o Windows 7, em geral os passos são semelhantes para qualquer versão.
O primeiro passo será abrir o RegeditPodemos fazê-lo a partir do menu do Windows com a opção Executar ou na caixa de pesquisa escrevemos redegit.
Então nós pressionamos OK e o Editor de Registro do Windows se abrirá, onde veremos que as chaves de registro são pastas em uma árvore de chaves, elas contêm além dos valores que são dados, cada chave pode conter subchaves.
Conteúdo de chavesHKEY_CLASSES_ROOTEsta chave contém informações sobre aplicativos registrados, como associações de arquivos, para determinar com qual aplicativo esta extensão é usada por padrão exemplo * .html por padrão Firefox, * .txt por padrão Wordpad, lá podemos alterar o software com o qual ele abre ou é executado por padrão para cada extensão de arquivo.
HKEY_USERSContém informações correspondentes ao perfil dos usuários que estão logados ou ativos no computador, o sistema também é um usuário (Padrão), embora funcione automaticamente, também deixa rastros.
HKEY_LOCAL_MACHINEContém informações sobre o hardware instalado no computador, a maior parte das informações fica armazenada na memória RAM e salva apenas alguns rastros no registro, portanto as informações nesta chave são voláteis e são reconstruídas sempre que o computador é reiniciado.
HKEY_CURRENT_USEREssa chave armazena informações e configurações do usuário que efetuou login, ou seja, o usuário atual.
Para encontrar vestígios de dispositivos de armazenamento USB, devemos pesquisar no registro a seguinte chave:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBAs duas subchaves ControlSet001, ControlSet002 é uma cópia que é feita quando o computador consegue uma inicialização bem-sucedida, este conjunto de controle é o que permite determinar qual foi a última inicialização sem problemas ou a última configuração válida. Nesta chave, encontraremos evidências de qualquer dispositivo de armazenamento USB que tenha sido conectado a este sistema. Por exemplo, dentro da chave USB encontramos várias subchaves de dispositivos e podemos ver que uma delas corresponde a um celular Motorola XT1040 que foi conectado em algum ponto via USB.
PROLONGAR
Analisando outra subchave, vemos que um scanner Lexmark X1100 Series foi conectado, este dispositivo é uma impressora multifuncional, mas o registro indica que o serviço usbscan foi usado e não o usbprint.
PROLONGAR
Com a chave USB, veremos um histórico de dispositivos que não estão mais conectados. Para ver ou capturar os dispositivos que estão conectados, devemos examinar a subchave:
HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR
PROLONGAR
Neste caso podemos ver um pendrive Kingston conectado ao computador, se o dispositivo for removido, a subchave permanecerá registrada no USBSTOR até que o computador seja desligado, mas um registro permanecerá na subchave USB.
Pesquise dispositivos que foram montados no sistema.
Se um usuário usar qualquer dispositivo de hardware que deve ser montado, como DVD player externo, disco rígido externo, memória flash, o registro deixará um rastro do dispositivo montado. Essas informações são armazenadas na subchave:
HKEY_LOCAL_MACHINE \ System \ MountedDevicesPodemos ver a seguir, uma lista de todos os dispositivos que foram montados ou estão montados no computador, as unidades C: D: e F :. Se clicarmos duas vezes no drive D, veremos que é um CD ROM conectado do VirtualBox e se fizermos o mesmo com o drive F veremos que é o pendrive kingston que foi conectado em algum momento.
Se não pudermos determinar qual dispositivo é, podemos relacionar os dispositivos da chave MountDevices olhando para a chave em binário e então aquele id único que procuramos nas outras subcaves. Uma ferramenta que podemos usar é o USBViewer, que é uma ferramenta simples e portátil que oferece a possibilidade de visualizar informações sobre os dispositivos USB que atualmente e anteriormente estão conectados ao computador.
PROLONGAR
O registro do Windows permite manter um histórico de eventos sobre o que aconteceu em um sistema Windows usando diferentes técnicas e procedimentos, podemos reconstruir os fatos e determinar os elementos que foram usados.
