Со времени выхода Windows Vista многие технические аспекты работы Windows (системный реестр, запись событий в журналы и другие) несколько изменились. Вот почему руководства для компьютерных криминалистов, описанные, к примеру, для Windows XP, сейчас не работают на более поздних релизах Windows. Что же говорить про «десятку», на которую разработчики постоянно выпускают Update packs.
Еще по теме: Дистрибутивы для криминалистического анализа
Особенности форензики в Windows 10
Вот наглядное сравнение изменений:
Итак, по сравнению со всеми остальными версиями ОС в «десятке» появились дополнительные источники данных, которые эксперт компьютерной криминалистики может использовать для сбора артефактов:
- Edge Browser — браузер, пришедший на смену IE;
- Cortana — голосовой движок, призванный стать новым HMI по логике Microsoft;
- OneDrive — облачное хранилище, в том числе часто используемое для небольших бэкапов личных файлов и как сторидж приложений для мобильных устройств на базе Android;
- Native Applications (Skype, Photo App, Webcam App) — приложения, «из коробки» доступные сразу после установки системы;
- Notification — системные оповещения из трея, где очень часто можно обнаружить сведения о программах, запущенных в режиме ожидания, антивирусном ПО, остановке брандмауэра и прочем;
- Prefetch files — так сказать, кешированные файлы для быстрого запуска, эта фича присуща не только «десятке», но ее тоже отчасти можно привлечь для получения дополнительных крупиц информации.
Стоит добавить, что после выхода Windows 7 в продажу Microsoft составила чек-лист основных артефактов и их источников, которые могут использоваться различными экспертами, занимающимися разбором инцидентов. Список получил название Windows Jump Lists и ты можешь посмотреть его для Windows 7 и для Windows 10.
Полезные материалы об особенностях форензики в Windows 10:
- Презентация Windows 10 Forensics, кратко описывающая некоторые особенности сбора артефактов на 10-й версии «окон»
- Книга Rhys P. J. Evans с названием Windows 10 Forensic Analysis
- Небольшая, но содержательная брошюра Windows 10 Forensics (Center for Digital Investigation)
Общий чек-лист проверки
Для поиска и сбора криминалистических доказательств необходимо проверять следующие основные пункты на нашей системе:
- оперативную память (системные и пользовательские процессы, внедренные DLL, посторонние службы и запущенный вредоносный код);
- жесткий диск (удаленные портации, размеченные области диска, стертые файлы, слепки теневых копий, «остатки» от корзины, ярлычки LNK и Notification, установленный софт, скачанные файлы и так далее);
- сетевой стек (поднятые коннекты, открытые порты, «неизвестные» сервисы на портах, паразитный трафик с нашей машины);
- системный реестр (инсталлированный и удаленный софт, временные ярлыки, ассоциации файлов и прочее);
- системные журналы (запись таких событий, как логон, эскалация прав, доступ к директориям, изменение групповой политики, создание/удаление учетки, сбой и перезагрузка);
- файлы подкачки и гибернации (часть данных в этих файлах успешно сохраняется в неизменном виде);
- данные приложений (Skype, OneDrive, Xbox), почта и браузеры (история посещений, закладки, скачанные файлы, быть может, пассы).
После того как мы ознакомились с особенностями форезники в Windows 10 можно переходить к созданию образа жесткого диска и снятию дампа оперативной памяти Windows 10.