علیرضا تقی خانی
علیرضا تقی خانی
خواندن ۳ دقیقه·۲ سال پیش

با عینک فارنزیک به ویندوز نگاه کنیم..!

بعد از نوشته هایی در خصوص مرکز عملیات امنیت و طرح بلوغ که در اینجا قابل مشاهده هست(https://vrgl.ir/zK5XZ)، در این سری از نوشته ها، به سراغ Windows Forensic یا جرم یابی ویندوز خواهیم رفت. در سلسله نوشته ها به مباحث مختلفی پرداخته خواهد شد که در اینجا به چند مورد آن اشاره خواهیم کرد:

  • آشنایی با بخش های مهم سرورهای ویندوزی جهت فارنزیک
  • تهیه نسخه از شواهد و مدارک
  • بررسی ساختار ریجستری ویندوز
  • فارنزیک فعالیت کاربران و تجهیزات ذخیره سازی مثل USB
  • فارنزیک فعالیت اینترنتی کاربران که بواسطه مرورگر صورت میگیرد
  • و ...
Windows Forensic
Windows Forensic

تعریف فارنزیک

از علم فارنزیک برای جمع‌آوری ادله و بررسی شواهد استفاده می‌شود. همان‌طور که در دنیای واقعی شاهد وقوع جرایم هستیم؛ در دنیای دیجیتال نیز وقوع جرم امر رایجی است. با این حال پیگیری و جمع‌آوری ادله و جرم‌شناسی در بستر آنلاین و در فضای مجازی بسیار سخت‌تر است؛ زیرا در دنیای دیجیتال، افراد مجرم در میان کدها و اطلاعات مجازی پنهان شده‌اند.  برای مثال بسیاری از مجرمان از ابزارهای آنتی فارنزیک (Anti-Forensic) استفاده می‌کنند و فرآیند تحلیل داده‌ها و شناسایی نشانه‌های وقوع جرم را با مشکل مواجه می‌سازند.
علم فارنزیک
علم فارنزیک


بخش های مهم ویندوز

قبل از شروع هرچیز، ابتدا باید در خصوص معماری سیستم عامل ویندوز و بخش های مهم آن اطلاعات کافی داشت. این بخش ها کمک میکند تا داده های حساس و مهم را از قسمت های مختلف ویندوز جمع آوری، سپس با تحلیل آنها، پازل های یک جرم دیجیتال را شناسایی کرد.

در سرورهای ویندوزی، اطلاعات در مکان های مختلفی ذخیره می شوند. لذا باید اشراف کامل به مسیرهای ذخیره سازی اطلاعات داشته و سپس با ابزارهای رایج در این حوزه، اقدام به استخراج داده کرد. در ادامه بخشی از قسمت های مهم یک سرور ویندوزی ذکر می شود.


Registry

رجیستری ویندوز پایگاه داده یا Database عظیمی از اطلاعات است. این اطلاعات شامل تنظیمات، گزینه‌ها و مقادیر سخت‌افزارها و نرم‌افزارهای نصب شده روی سیستم عامل ویندوز است.

ریجستری شامل دو بخش مهم برای فارنزیک می باشد:

HKLM: این کلید اطلاعات کامپیوتر محلی شامل سخت‌افزارهای شناسایی شده، پیکربندی‌های سیستم‌عامل و... را در خود نگه می‌دارد

اطلاعات HKLM در مسیر زیر ذخیره می شوند:

C:\Windows\System32\Config\


HKCU: این کلید مرکزی وظیفه حفظ اطلاعات و تنظیمات کاربر فعلی (کاربری که هم‌اکنون از ویندوز استفاده می‌کند) را دارد

اطلاعات HKCU در مسیرهای زیر ذخیره می شوند:

%userptofiles%\ntuser.dat
%userptofiles%\AppData\Local\Microsoft\Windows\userclass.dat
Windows Registry
Windows Registry


LNK

لینک فایل ها با پسوند lnk که در واقع Shortcutها می باشند. تمامی فایل هایی که یکبار اجرا شوند، به طور خودکار توسط سیستم عامل برای آنها لینک فایل ایجاد شده و این اطلاعات حساس و مهم در متادیتا آن ذخیره می شود. درصورتیکه فایلی پاک شود، همچنان فایل لینک آن وجود خواهد داشت. مسیر این فایل ها از طریق زیر قابل مشاهده می باشد.

%userptofiles%\AppData\Roaming\Microsoft\Windows\Recent\
LNK File
LNK File


Jumplist

اطلاعات Jumplist شامل تاریخچه فایل های اجرایی برروی سیستم عامل می باشد. دو نوع Jumplist وجود دارد:

1- Custom:توسط توسعه دهندگان ایجاد می شود

2-Automatic:توسط سیستم عامل ایجاد می شود

اطلاعات Jumplist مانند LNK فایل، نیز در مسیر زیر ذخیره می شود.

%userptofiles%\AppData\Roaming\Microsoft\Windows\Recent\

Prefetch

سیستم عامل ویندوز جهت افزایش کارآیی، برنامه های پر استفاده را در حافظه موقت سیستم بارگذاری میکند تا سرعت اجرای آنها افزایش پیدا کند. از این بخش میتوان در خصوص تعداد دفعات و زمان اجرای یک برنامه، مطلع شد. اطلاعات Prefetch در مسیر زیر ذخیره می شود.

C:\Windows\Prefetch\

AmCache

با استفاده از AmCache میتوان فایل های GI که کاربر آنها را اجرا کرده است به همراه هش آنها را مشخص کرد. اطلاعات آنها در مسیر زیر ذخیره می شود:

C:\Windows\appcompat\Programs\
Windows Forensic
Windows Forensic


در این سری از نوشته ها، درخصوص فارنزیک و بخش های مهم سرورهای ویندوزی صحبت شد. در ادامه این موارد، در قسمت بعد، در خصوص Custom Image از فضای دیسک صحبت خواهیم کرد.


سیستم عاملویندوز فارنزیکفارنزیکwindows forensicForensic
شاید از این پست‌ها خوشتان بیاید