В этой статье рассмотрим программы для просмотра истории подключения флешек.
Еще по теме: Хакерская флешка Rubber Ducky своими руками
Программы для анализа истории подключения флешек
MiTeC Windows Registry Recovery (WRR)
Раз уж мы начали с системного реестра, давай продолжим эту тему. Ты уже понял, что основными источниками данных служат ветки SYSTEM и SOFTWARE, HKCU (если надо подтвердить действия проверяемого пользователя). Выгрузим их через консоль в формате сырых кустов (не REG-файла!):
|
1 2 3 |
reg save HKLM\Software\ "G:\Penetratordir\Software.DAT" /y /c reg save HKLM\System\ "G:\Penetratordir\System.DAT" /y /c reg save HKCU "G:\Penetratordir\HKCU.DAT" /y /c |
Все эти файлы можно проанализировать в WRR, но нас будет интересовать только System.DAT, содержащий информацию по железу компьютера, — загрузим его. Откроем вкладку Hardware, там выберем конфигурацию (текущую или последнюю успешную), обязательно устанавливаем флажок Device Map, запускаем поиск и ждем‑с. Верим, что утилита справится… В общем, спустя некоторое довольно продолжительное время получаем результат — разбивку не только по флешкам, но и иным устройствам: клавиатурам, приводам, принтерам и другим девайсам.
Вывод выглядит красиво, однако опять же не показывает времени — только подтверждение, что устройство когда‑то подключалось.
У MiTeC есть утилита USB History в составе MiTeC System Information Component Suite, которая предоставляет базовую информацию о подключенных USB-устройствах, в том числе имя, серийный номер, тип и дату. Из информации — только то, что ты видишь на скрине, выгрузка доступна исключительно в формате, поддерживаемом данной программой, даже скопировать ничего нельзя.
WRR работает как‑то замороченно и медленно, а USB History годится разве что для получения списка устройств и времени (зато быстро). Давай поищем прошку получше.
NirSoft USBDeview
Пожалуй, это наиболее известная программа для вывода списка подключаемых устройств и управления ими. При запуске она оперативно формирует вывод, демонстрируя очень много столбцов с разнообразной информацией.
Особенно приятно наличие дополнительных полей, которых мы раньше не видели: был ли носитель безопасно извлечен, буква диска и дата последнего подключения. При двойном щелчке мышью открывается окно со всеми подробностями о выбранном устройстве.
Все данные можно скопировать или сохранить в любом удобном формате, включая CSV. Из приятных бонусных функций — возможность установить запрет на подключение любых устройств из списка. Можно сразу перейти к ключу реестра в Enum\USB, откуда программа взяла данные.
Программа — почти мечта форензика. Если бы приходилось иметь дело только с live-системами, а пользователи не терли бы инфу об устройствах, то USBDeview — выбор номер один. Однако ты уже понял, что мы на этом не останавливаемся, ведь нет предела совершенству. Как насчет офлайн‑систем, образов дисков и определения файлов на флешке, к которым обращался юзверь? Сможем ли мы получить независимое от DLP-системы подтверждение, что наш работник — вредитель?
USB Forensic Tracker
Таиланд не перестает удивлять. Среди возможностей данной программы родом из экзотической страны — монтирование криминалистических образов дисков (посредством встроенного Arsenal Image Mounter), а также теневых копий. Приложение способно анализировать файлы не только Windows, но и MAC (/private/var/log/system*|kernel*) и Linux (/var/log/syslog, привет, usbrip!). Пройдемся по списку анализируемых артефактов для винды — кроме тех, что мы уже упоминали.
Уточнения в реестре.
GUID и серийники носителей:
|
1 2 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM |
Этот раздел может называться и так:
|
1 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB |
Также:
|
1 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList |
А вот здесь можно найти последние сопоставления букв и меток диска:
|
1 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache |
В логах винды (C:\Windows\System32\winevt\Logs) рекомендуется посмотреть следующие файлы:
- Microsoft-Windows-Storage-ClassPnP/Operational.evtx;
- Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx (EventID 1000, подключение MTP-устройства);
- Microsoft-Windows-Partition%4Diagnostic.evtx;
- Microsoft-Windows-Ntfs%4Operational.evtx.
Помимо этого, утилита смотрит теневые копии — что особенно полезно против любителей затирки следов — и папку Windows.old (там могут храниться файлы setupapi и логи, помнишь?).
Давай запустим эту пушку на live-системе, слева для этого есть специальная зеленая кнопка.
Информация выводится с разбивкой по источникам. По сравнению с USBDeview здесь нет прямого указания времени первого или последнего подключения, только первая дата по реестру и множество дат подключений, которые по каждому источнику приходится смотреть отдельно. Что приятно, в каждой строке дано указание, откуда именно программа взяла артефакты.
Можно скопировать информацию напрямую из интерфейса или выгрузить в Excel. Радует факт, что выгрузка почти полностью повторяет интерфейс программы.
Наиболее интересна вкладка Accessed files — помнишь, что я тебе говорил про ярлыки в Recent? Благодаря этой вкладке можно подтвердить работу с файлами на флешке или в системе.
Утилита использует значительное количество источников, в том числе и из других ОС. Огорчает, что не выполняется корреляция полученных сведений (построение единого таймлайна со всеми данными), а только выгрузка вида «источник — смотри что я в нем нашел». Из других минусов — к программе надо приноравливаться. Например, для анализа офлайн‑файлов нужны реальные копии файлов, а не твой JSON-триаж с самыми сочными артефактами или отдельными кустами реестра. Теневые копии анализируются только по одной за раз для каждого диска. Несмотря на это, программа выглядит как одно из лучших решений в своем классе. Пожалуй, она поможет нашему герою уйти с работы, не слишком задержавшись.
USB Detective
На вход версии Community Edition можно подать логический диск (но не текущий системный) или собранные артефакты. Давай разбираться.
Мы ранее показали, как выгрузить кусты SYSTEM, SOFTWARE и HKCU (он же NTUSER.DAT), где находится setupapi, — для базового анализа этого будет достаточно. Для бесплатной версии нам еще понадобится Amcache Hive, который содержит информацию о запускаемых приложениях в системе. Он расположен по пути %SystemRoot%\AppCompat\Programs\Amcache.hve (в live-системе ты его так не откроешь, но методом можно воспользоваться при анализе с загрузочной флешки или образа диска).
Из‑за проведения валидирующих проверок между входными данными программа работает с умеренной скоростью, но медленнее, чем USB Forensic Tracker.
На стенде бесплатная версия нашла 242 подключенных ранее устройства. Для сравнения — USB History нашел около 100 устройств, USB Deview — свыше полутысячи событий. Проверим, что обнаружила эта софтина.
Мы видим, что работа программы строится на основе серийников и дат первого или последнего подключения. При двойном щелчке мышью на соответствующей строке можно открыть список источников, откуда были подтянуты эти сведения. Цветом выделены «сомнения» программы относительно отметок времени.
Дополнительно отображается привязка к VSN, что, безусловно, плюс (раньше мы такое видели только в USB Forensic Tracker в разделах обращений к файлам, реестру и пользователю).
В контекстном меню, которое появляется по нажатию правой клавиши мыши, можно открыть список других подключений выбранного устройства, что тоже удобно.
На этом функции бесплатной версии исчерпываются — давай проверим, насколько лучше работает платная или образовательная версия. В целом, заготовив скрипт для сбора указанных артефактов (или используя тулзы вроде KAPE), можно будет сосредоточиться на их дальнейшем анализе. С точки зрения практики регулярно использовать, конечно, несколько неудобно.
Для платной версии нам дополнительно понадобится файл UsrClass.dat, EventLog, LNK files и Jump Lists. Первый файл отвечает за параметры профиля пользователя и находится по такому пути:
|
1 |
C:\Users<имя>\AppData\Local\Microsoft\Windows |
Еще можно изучить подразделы ветки HKEY_USERS в системном реестре. Логи ищи в каталоге C:\Windows\System32\winevt\Logs. LNK files — это те же ярлыки в Recent. Jump Lists — списки недавно открытых файлов — ищи в следующих скрытых папках:
|
1 |
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations |
|
1 |
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations |
По сравнению с Community Edition для той же системы, просканированной в live-режиме, имеем на 40 событий больше, время анализа увеличилось до 11 минут. Что по ништякам?
Появилась возможность посмотреть список файлов, открытых на подключаемом устройстве, список источников. Программа сама находит и анализирует бэкапы реестра (папка RegBack), также анализирует системный лог. Сразу можно выгрузить таймлайн по отдельному устройству в формате Excel или построить полные отчеты (генерятся достаточно долго).
При такой конфигурации отчетов на выхлопе мы получим три отчетных файла:
- Report. По сути, выгрузка того, что ты видел на экране;
- Verbose Report. Содержит GUID источников, а также все временные отметки из всех источников;
- Timeline. Представляет собой таймлайн событий из источников.
Помимо событий подключения, безопасного отключения или просто отключения устройства, в журналы попадут ивенты, связанные с созданием и открытием директорий, а также созданием, изменением и открытием файлов на устройствах.
Главный недостаток программы в том, что сканирование live-системы и топовых артефактов (логи, ярлыки) доступно только в платных версиях, а для бесплатных приходится заморачиваться с выгрузкой системных артефактов. Немного жалко, что нет возможности сохранить сессию в программе, чтобы каждый раз не указывать заново артефакты и ждать завершения анализа. Программа позволяет получить максимум валидированной информации, минусы — продолжительное время анализа и цена pro-версий.
Забавно, что популярная утилита для очистки следов USB-устройств — USB Oblivion удаляет гораздо больше источников, большинство из которых даже не обрабатывал USB Detective:
файлы: C:\Windows\setupact.log и setuperr.log;
журналы: Microsoft-Windows-DeviceSetupManager/Operational и Admin, Microsoft-Windows-Kernel-PnP/Configuration, Microsoft-Windows-Kernel-ShimEngine/Operational, также журнал приложений, безопасности и событий оборудования.
Удаление ключей реестра:
GUID устройств:
|
1 2 |
HKLM\system\controlset00X\control\class\* HKLM\system\controlset00X\enum\storage\volume\ |
Здесь записаны отдельные устройства:
|
1 |
HKLM\system\controlset00X\hardware profiles\0001\system\currentcontrolset\enum\* |
Особенно обрати внимание на подпапки usbstor\, usb\ и WPDBUSENUMROOT\.
|
1 2 |
HKEY_LOCAL_MACHINE\system\controlset001\control\devicecontainers\ HKEY_LOCAL_MACHINE\system\controlset001\control\usbflags\` |
Устройства с прокешированием ReadyBoost:
|
1 |
HKLM\system\controlset00X\services\rdyboost\attachstate |
Shellbags — остаточные истории просмотра директорий:
|
1 2 |
HKLM\software\classes\local settings\software\microsoft\windows\shell\bags HKLM\SOFTWARE\Microsoft\WBEM\WDM\DREDGE`; |
Пользовательские шелл‑баги:
|
1 |
HKEY_USERS\software\classes\wow6432node\local settings\software\microsoft\windows\shell\bagmru |
Помимо bagmru учти раздел bags.
Записи о запуске приложения и пути исполняемого файла:
|
1 2 3 |
HKEY_USERS\software\classes\local settings\software\microsoft\windows\shell\muicache\* HKEY_USERS\software\classes\local settings\software\microsoft\windows\shell\bagmru HKEY_USERS\software\classes\local settings\software\microsoft\ |
Центр синхронизации:
|
1 |
windows\currentversion\syncmgr\handlerinstances |
Часто используемые приложения:
|
1 2 3 |
HKEY_USERS\software\microsoft\windows\currentversion\explorer\userassist HKEY_USERS\software\microsoft\windows\shell\bagmru HKEY_USERS\software\microsoft\windows\shell\bags\ |
Автозапуск с устройств:
|
1 |
HKEY_USERS\software\microsoft\windows\currentversion\explorer\autoplayhandlers\knowndevices |
Домашнее задание: угадай, от каких прог тебя спасет USB Oblivion, а от каких — нет? Подсказка: у нас есть бэкапы и прошлые версии.
Давай чисто для себя сравним результативность наших инструментов до и после применения USB Oblivion, замер выполним в максимальном количестве обнаруженных подключений. Рабочая лошадка — какой‑то древний ноут с 32-разрядной Windows 7 и 3 Гбайт оперативной памяти. Что? У сотрудников и XP иногда стоит с ламповым «Сапером» — только реальные условия, а не сказки с установленными на все устройства патчами.
Результаты получились забавные: при работе на этой же машине WRR зависает намертво при построении карты устройств, а USB Detective требует себе .NET 4.6.1+, который на эту legacy-систему устанавливаться не хочет. Наш безопасник был бы не в лучшей ситуации, поэтому пришлось анализировать выгруженные кусты реестра и setupapi-логи до и после «зачистки».
В USB Oblivion можно использовать обычную очистку и с рекомендованными параметрами. Для чистоты эксперимента первая зачистка была произведена без рекомендаций, вторая — уже с ними.
- WRR — не справился с задачей, USB History обнаружил следов подключений: 43 (до) / 0 (после базовой очистки) / 0 (после очистки в максимальном режиме), что предсказуемо.
- USBDeview: 173/139/139. В результате пропало большинство уникальных серийников (строки с явными флешками, типа JetFlash Transcend 4GB USB Device и конкретным серийным номером), однако осталось много информации о названиях устройств. Временные отметки у оставшихся тоже сохранялись. Между обычным и рекомендованным режимом очистки никаких различий.
- USB Forensic Tracker: 40/25/25. После очистки все источники из реестра, кроме Registry-MountPoints2 и Registry-VolumeInfoCache, оказались пустыми. Не потерт лог с историей MTP-устройств Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx. Остались VSN в обращаемых файлах, однако без подробностей относительно конкретных устройств. Точки восстановления не анализировались.
- USB Detective Community Edition: 43/9 (полная очистка). Потерялись идентификаторы устройств, вся информация о буквах дисков, VSN, открытых файлах, пользователе. Оставшиеся в списке MTP-устройства — телефоны.
Занятно, что названия устройств были взяты из ветки ControlSetXXX\Enum\USB\, которую, казалось бы, Oblivion чистил. Странно.
По результатам очистки мы избавились от основных артефактов, однако опытный криминалист обязательно еще заглянет в папку Windows.old, бэкап реестра, логи кастомных приложений, антивируса и так далее — право слово, легче форматнуть винт!
Заключение
Для повседневного использования максимальной простотой, быстротой и поддержкой разных источников отличается USB Forensic Tracker. Если ты хочешь получать агрегированные данные с вычисленными корреляциями между источниками и готов заморочиться, как настоящий форензик, тогда рекомендуем USB Detective (а если ты богат — то лучше приобрести коммерческую лицензию). Для простых расследований, завязанных на подтверждение самого факта подключения устройств обычными юзерами, которые даже не знают, что система все пишет, можно обойтись и USBDeview.
Учти, что в Windows 10 есть ряд веселых механизмов, которые также могут содержать следы подключения устройств. Это база EventTranscript.db (C:\ProgramData\Microsoft\Diagnosis\EventTranscript), которая собирает диагностическую информацию и телеметрию, — по умолчанию она выключена, но случаи разные бывают.
Начиная с Windows 8 определенная телеметрия пишется в файл C:\Windows\System32\SRU\SRUDB.dat (он же SRUM, System Resource Usage Monitor). Там можно найти инфу о запуске программ с внешних устройств.
Еще есть опция Windows 10 Timeline, работающая хорошо, когда винде разрешен сбор истории активности пользователя. База ActivitiesCache.db обычно хранится в папке \Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\ — там можно найти сведения об открытии файлов и запуске программ, в том числе со съемных носителей.
Что ж, теперь можно с уверенностью сказать: у тебя достаточно знаний, чтобы быстро провести анализ и выявлять нарушения на корпоративных компах. В статье мы рассмотрели не только готовые инструменты на практике, но и подкрепили их теорией об источниках артефактов. Удачи на полях форензики!