Win8操作系统取证特性分析

Posted 信息时代的犯罪侦查

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Win8操作系统取证特性分析相关的知识,希望对你有一定的参考价值。

 案例

随笔

知识

声音

其他


编者按

严格来讲,win8与win10算得上兄弟,其他的都是叔伯辈。计算机取证调查人员将在实际工作中越来越多的遇到安装Win8操作系统的检材。本文主要从新功能特性和传统内容取证角度对Win8操作系统给计算机取证带来的新变化进行了分析介绍,最后对Win8操作系统的安全机制进行了简要分析。

这是一篇较早前的文章了,当时忘了发了,哎:(


    0引言

Windows操作系统作为一种使用广泛的操作系统,一直是计算机取证研究的热点,本文主要针对Windows 8操作系统的计算机取证特性和安全机制进行了分析和探讨。


1 新功能特性取证分析


    1.1 全新Metro用户操作界面

    在Windows 8中,Metro用户界面提供了区块化的开始界面,其中的磁贴对应着操作系统中“programs”文件夹下安装的应用。磁贴不仅是应用的桌面图标,还动态反映各应用的运行状态,如新的电子邮件,天气预报变化等。


    从Windows Vista开始,微软引入了应用程序数据(AppData)文件夹结构用来区分操作系统文件和用户数据文件,AppData文件夹保存在“Documents and Settings\%UserName%\Local Settings\Applicafion Data”位置。在AppData文件夹中,可以找到网络临时文件、网络访问历史记录等内容。Metro用户界面相关信息也记录在AppData文件夹中。Metro中大多数应用使用Windows Live账户登录互联网,每个应用都可以看作Windows沉浸式环境的一个窗口。在任一应用中,用户可以访问其他应用,形象地说,每一个应用都可以看作是一个微型的操作系统。正是由于沉浸式交互的概念,每个应用都拥有独立的网络特征,如网络缓存、Cookie和历史记录等。Metro应用的网络特征可以在如下的位置找到:

    Metro应用缓存:

%Root%\Users\%User%\AppData\Local\Packages\%MetroAppName%\AC\INetCache

    Metro应用Cookie:

%Root%\Users\%User%\AppData\Local\Packages\%MetroAppName%\AC\INetCookies

    Metro应用访问历史:

%Root%\Users\%User%\AppData\Local\Packages\%MetroAppNam

e%\AC\INetHistory

    1.2 沉浸式浏览器Internet Explorer 10

Windows 8中,根据用户界面的不同,IE 10分为两个版本:一个是Metro用户界面应用,一个是传统桌面应用。在以下位置可以找到两个版本IE 10的特征:

IE 10浏览历史记录(Metro用户界面应用模式下):

%Root\Users\%User%\AppData\Local\Microsoft\InternetExplorer\Recovery\Immersive\Active

IE 10浏览历史记录(传统桌面界面应用模式下):

%Root\Users\%User%\AppData\Local\Microsoft\InternetExplorer\Recovery\Active

用户收藏网站的磁贴:

%Root\Users\%User%\AppData\Local\Microsoft\Windows\RoamingTiles

1.3 通讯类应用

Windows 8中,多种应用是互相关联的。如电子邮件可以关联到Facebook,Facebook可以关联到相册,相册可以关联到Microsoft账户,多个应用的关联允许用户在不同的PC登录时获得同样的Metro用户界面和浏览器设置。Windows 8中,用户与他人互动的应用,如电子邮件、聊天客户端、社交类网站等都是通讯类的应用。通讯类应用拥有其自己的Web缓存,保存在下列目录中:

通讯类应用Web缓存:

%Root\Users\%User%\AppData\Local\Packages\microsoft.windowscommunicatisapps_8wekyb3d8bbwe\AC\INetCache

通讯类应用Cookies:

%Root\Users\%User%\AppData\Local\Packages\microsoft.windowscommunicatisapps_8wekyb3d8bbwe\AC\INetCookies

与操作系统同步的联系人列表,如Twitter、Facebook和Hotmail等记录在下列位置:

当联系人列表与Windows 8同步时,Windows 8将会为特定的联系人分配用户磁贴。通讯类应用将社交网络和社交信息统一整合,包括用户的联系人信息、头像信息等。与联系人关联的用户磁贴可以在下列位置找到:

1.4 便笺和日记本

日记本是主要针对安装手写设备的计算机进行文档编辑的程序,文档存储为jnt格式。与传统文档相比较,它使用户如同在纸质的日记本上写字一样,能够保存用户的亲笔笔迹,并能呈现出粗细浓淡的压感。对取证工作而言,日记本文档不仅保存有数据信息,而且其笔迹可以为破获案件提供更多的线索,例如通过笔迹鉴定确认计算机的所有者。Windows 8在用户操作上支持触摸技术,这样不仅可以直接在显示器上实现触摸控制。而且在便签和日记本文档编辑中能够通过触摸完成输入。因此,对这类计算机取证还应考虑其特有问题,如获取嫌疑人指纹,分析触摸笔迹等。


2 传统内容取证分析


2.1 注册表取证分析

    注册表是Windows操作系统中一个重要的数据库,存储系统和应用的设置信息,是用户活动数据的重要来源,是计算机取证的重要内容。Windows 8注册表逻辑结构,依然保留了HKEY_CLASS_ ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_ MACHINE、HKEY_USERS和HKEY_CURRENT_ CONFIG等5个根键,都是存储于Hive二进制配置文件中。

    1)SAM(Security Accounts Manager安全账号管理器)

    Windows 8中,SAM文件使用Hash格式存储本地用户和微软登录账户的用户密码。SAM注册表键值中记录了每个账户的用户名及对应的RID、网络用户名和个性化磁贴。在下列位置中可以找到相关键值:

网络用户名:

SystemRoot%\Windows\System32\Config\SAM\Domain\Account\ Users\Internet User Name

个性化磁贴:

SystemRoot%\Windows\System32\Config\SAM\Domain\Account\ Users\User Tile

    2)软件(SOFTWAKE)注册表键

    软件注册表键包含了操作系统的有关信息,如版本、安装时间、所有者、最后登陆用户、用户组信息等。在安装应用时,注册表将记录Metro应用信息、安装该应用的用户信息。在下列位置可以找到相关的信息:

    系统中安装的Metro应用:

Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\

Applications

安装Metro应用的用户账户:

Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\

%SID%

    3)NTUSER.DAT用户配置文件

    NTUSER.DAT文件记录Windows特定用户的相关信息,如该用户打开了哪些文件,使用了哪些应用,浏览了哪些网站等。在Windows 8中,NTUSER.DAT文件中新增了名为“TYPEDURLsTIME”的注册表项记录浏览器中键入URL网址的时间。该注册表项以二进制方式,从1601年1月1日00:00:00 GMT开始,以100纳秒为时间间隔进行记录,相应的信息可以在如下位置找到:

%SystemRoot%\Users\%User%UNTUSER.DAT\Software\

Microsoft\Microsoft\InternetExplorer\TypedURLsTime

    4)虚拟文件夹和虚拟注册表

    在Windows 8中,作为用户账户控制(UAC)功能的一个主要组成部分,虚拟文件夹是限制受限用户行为的一个实现途径,一般情况下,受限用户不能直接对以下受保护的关键文件夹进行写操作:

    C:\Windows    C:\Program Files    C:\Program Data

当受限用户对于上述位置进行写入操作时,都会被转移到一个指定的虚拟文件夹中,这个文件夹位于X:\Users\%username%\AppData\

Local\VirtualStore。同样,作为用户账户控制(UAC)的一个功能,虚拟注册表的目的与虚拟文件夹类似,虚拟注册表主要也用于对于受限用户在系统关键位置的注册表操作进行保护。

在Windows 8 中,非管理员用户对于注册表的写入行为将被重定向到HKEY_CURRENT_USER\Software\Classes\VirtualStore\

MACHINE\SOFTWARE\,这些虚拟注册表并不存储在相应的NTUSER.DAT 中,而是在名为UsrClass.dat的文件中,这个文件位于X:\Users\%username%\AppData\Local\Microsoi\Windows\目录下。    所以,在进行Windows 8 注册表的取证调查时,除了调查相应的NTUSER.DAT 文件之外,还要找到受限用户的UsrClass.dat 文件。

2.2 回收站取证分析

回收站取证是计算机取证的重要部分,早期的Windows如Windows 95或XP 采用在回收站中创建一个数据文件Info2(或Info),用于存放所有的被删除文件的信息。Windows 8系统则放弃了Info2 文件,采取为每个被删除文件创建一个单独的记录文件。在Windows 8中,回收站在资源管理器中是可见的,一般在逻辑卷的根目录下,文件名为$Recycle.bin,一般在“文件夹选项中”设置系统文件可见即可查看。Windows 8下的回收站主要具有以下特点:

1)使用取证软件打开逻辑卷,展开$Recycle.bin,能够看到以用户SID 命名的子文件夹,该文件目录下保存了指定用户删除到回收站中的文件;2)不再具有INFO2 文件;3)当文件被删除到回收站时,将产生两个文件,$I和$R文件,这两种文件分别以$I******和$R******为名称,文件名包含随机字符,扩展名为原文件扩展名。4)$I文件中,包含了被删除文件的原始路径和删除时间信息。   

2.3 Bitlocker加密取证分析

    Windows 8支持BitLocker和BitLocker To Go,可以基于AES算法将本地硬盘或移动存储设备进行加密,更加有效地防范数据泄密。Windows 8中的Bitlocker 加密卷与Windows Vista和Windows 7中的Bitlocker加密卷的VBR头部略有差别,在现场调查时,调查人员可以通过对疑似加密卷头部的分析,快速确认加密卷所属的操作系统版本,以便采用正确的方式进行处理。

    BitLocker针对系统盘加密主要有两种工作模式:TPM(Trusted Platform Module)模式和U盘模式(为实现高等级的安全可以同时启用这两种模式)。采用TPM模式时,需要通过系统内置的TPM芯片并配合启动PIN进行加密和解密,当硬盘连接到其它计算机上将无法读取数据。采用U盘模式时,用于解密的密钥将保存于U盘上。不管采用何种模式,如果对系统盘启用了BitLocker,则必须提供密钥才能启动Windows。针对其它分区实现BitLocker时,可采用密码解锁或智能卡解锁。BitLocker To Go可用于将移动存储设备上的整个分区进行加密,并设置密码和恢复密钥文件。每次读写该设备均需输入密码,恢复密钥文件可在密码遗忘时使用,以设置新的解锁密码。


3 系统安全机制分析



4 结语


Windows 8给用户提供了更稳定的系统性能和更安全的操作环境,但同时也对计算机取证工作带来新的问题。较之Windows 7来说,Windows 8虽然没有在操作系统的底层结构做大的调整,但是更加注重互联网漫游账户和云存储等社交媒体和网络应用的使用。以上是对Windows 8操作系统计算机取证特性和安全机制的简要分析,由于篇幅有限,部分特性和功能未能提及,而且目前主流的取证分析软件已经提供了对Windows 8的综合取证分析,希望本文能为计算机取证调查人员在进行Windows 8取证调查时提供一些理论的参考。

    




以上是关于Win8操作系统取证特性分析的主要内容,如果未能解决你的问题,请参考以下文章

取证分析Wannacry样本取证特征与清除

详解Windows注册表分析取证

铁三Linux取证

取证分析Linux信息搜集

CTF取证总结(内存取证,磁盘取证)以及例题复现

UNIX/Linux系统取证之信息采集案例