بعد از نوشته هایی در خصوص مرکز عملیات امنیت و طرح بلوغ که در اینجا قابل مشاهده هست(https://vrgl.ir/zK5XZ)، در این سری از نوشته ها، به سراغ Windows Forensic یا جرم یابی ویندوز خواهیم رفت. در سلسله نوشته ها به مباحث مختلفی پرداخته خواهد شد که در اینجا به چند مورد آن اشاره خواهیم کرد:
از علم فارنزیک برای جمعآوری ادله و بررسی شواهد استفاده میشود. همانطور که در دنیای واقعی شاهد وقوع جرایم هستیم؛ در دنیای دیجیتال نیز وقوع جرم امر رایجی است. با این حال پیگیری و جمعآوری ادله و جرمشناسی در بستر آنلاین و در فضای مجازی بسیار سختتر است؛ زیرا در دنیای دیجیتال، افراد مجرم در میان کدها و اطلاعات مجازی پنهان شدهاند. برای مثال بسیاری از مجرمان از ابزارهای آنتی فارنزیک (Anti-Forensic) استفاده میکنند و فرآیند تحلیل دادهها و شناسایی نشانههای وقوع جرم را با مشکل مواجه میسازند.
قبل از شروع هرچیز، ابتدا باید در خصوص معماری سیستم عامل ویندوز و بخش های مهم آن اطلاعات کافی داشت. این بخش ها کمک میکند تا داده های حساس و مهم را از قسمت های مختلف ویندوز جمع آوری، سپس با تحلیل آنها، پازل های یک جرم دیجیتال را شناسایی کرد.
در سرورهای ویندوزی، اطلاعات در مکان های مختلفی ذخیره می شوند. لذا باید اشراف کامل به مسیرهای ذخیره سازی اطلاعات داشته و سپس با ابزارهای رایج در این حوزه، اقدام به استخراج داده کرد. در ادامه بخشی از قسمت های مهم یک سرور ویندوزی ذکر می شود.
رجیستری ویندوز پایگاه داده یا Database عظیمی از اطلاعات است. این اطلاعات شامل تنظیمات، گزینهها و مقادیر سختافزارها و نرمافزارهای نصب شده روی سیستم عامل ویندوز است.
ریجستری شامل دو بخش مهم برای فارنزیک می باشد:
HKLM: این کلید اطلاعات کامپیوتر محلی شامل سختافزارهای شناسایی شده، پیکربندیهای سیستمعامل و... را در خود نگه میدارد
اطلاعات HKLM در مسیر زیر ذخیره می شوند:
C:\Windows\System32\Config\
HKCU: این کلید مرکزی وظیفه حفظ اطلاعات و تنظیمات کاربر فعلی (کاربری که هماکنون از ویندوز استفاده میکند) را دارد
اطلاعات HKCU در مسیرهای زیر ذخیره می شوند:
%userptofiles%\ntuser.dat
%userptofiles%\AppData\Local\Microsoft\Windows\userclass.dat
لینک فایل ها با پسوند lnk که در واقع Shortcutها می باشند. تمامی فایل هایی که یکبار اجرا شوند، به طور خودکار توسط سیستم عامل برای آنها لینک فایل ایجاد شده و این اطلاعات حساس و مهم در متادیتا آن ذخیره می شود. درصورتیکه فایلی پاک شود، همچنان فایل لینک آن وجود خواهد داشت. مسیر این فایل ها از طریق زیر قابل مشاهده می باشد.
%userptofiles%\AppData\Roaming\Microsoft\Windows\Recent\
اطلاعات Jumplist شامل تاریخچه فایل های اجرایی برروی سیستم عامل می باشد. دو نوع Jumplist وجود دارد:
1- Custom:توسط توسعه دهندگان ایجاد می شود
2-Automatic:توسط سیستم عامل ایجاد می شود
اطلاعات Jumplist مانند LNK فایل، نیز در مسیر زیر ذخیره می شود.
%userptofiles%\AppData\Roaming\Microsoft\Windows\Recent\
سیستم عامل ویندوز جهت افزایش کارآیی، برنامه های پر استفاده را در حافظه موقت سیستم بارگذاری میکند تا سرعت اجرای آنها افزایش پیدا کند. از این بخش میتوان در خصوص تعداد دفعات و زمان اجرای یک برنامه، مطلع شد. اطلاعات Prefetch در مسیر زیر ذخیره می شود.
C:\Windows\Prefetch\
با استفاده از AmCache میتوان فایل های GI که کاربر آنها را اجرا کرده است به همراه هش آنها را مشخص کرد. اطلاعات آنها در مسیر زیر ذخیره می شود:
C:\Windows\appcompat\Programs\
در این سری از نوشته ها، درخصوص فارنزیک و بخش های مهم سرورهای ویندوزی صحبت شد. در ادامه این موارد، در قسمت بعد، در خصوص Custom Image از فضای دیسک صحبت خواهیم کرد.