Un settore consolidato della analisi forense è la Windows Forense, ovvero lo studio dei dati acquisiti ai fini investigativi da sistemi Microsoft Windows.
La larga diffusione dei sistemi Microsoft ha fatto sì che appunto ci sia un ramo dell’analisi forense dedicata a questo.
Tutti sappiamo e ci siamo sentiti dire che il registro di Windows è una miniera di informazioni, un repository di tutte le informazioni presenti in Windows. Una parte quindi importante nella analisi delle prove acquisite.
La modalità di acquisizione ci permette di indagare su alcune o tutte le chiavi presenti nel registro.
Il registry ha una struttura ad albero costituita da chiavi, sottochiavi e valori, che trae origine da cinque sezioni (hives):
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE
- HKEY_USER
- HKEY_CURRENT_CONFIG
Le chiavi riportano informazioni di qualsiasi tipo, sia temporale che di dettaglio dati. Per esempio possiamo risalire a gli ultimi file aperti da un programma, a gli ultimi file eseguiti oppure i file che vengono automaticamente caricati all’avvio e molto altro ancora, di seguito alcune delle chiavi usate per tali esigenze:
La chiave:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Riporta informazioni circa i file e cartelle aperte a partire dal menù “Recenti” del menù “Start”.
La chiave:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDIMRU
Riporta informazioni circa i file aperti o salvati attraverso una finestra di dialogo Windows
La chiave:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastvisitedPidIMRU
Riporta informazioni circa i file eseguibili usati da un’applicazione per aprire i file visti nella chiave precedente.
Questa è solo una delle tante fasi di analisi forense applicata sul registro, ovviamente il tutto viene facilitato da software ad hoc come RegRipper, Autopsy ed altri. #PillolediAnalisiForense