
Come depositare una copia forense in cancelleria
20 Febbraio 2022
Compiti e competenze DPO
13 Giugno 2022Nell’ambito della disk forensics, l’analisi forense di registri di Windows rappresenta uno degli ambiti principali.
Considerato che la maggior parte dei sistemi in commercio sono equipaggiati con il sistema operativo Microsoft Windows, la diretta conseguenza è che anche nell’analisi forense incontriamo spesso questi sistemi.
Indice degli argomenti
A cosa servono i registri di Windows?
I registri di Windows possono essere paragonati a un mix tra file di informazioni, file di configurazione e file di log.
Al loro interno troviamo informazioni di vario tipo, come ad esempio:
- informazioni sul sistema e sugli account
- uso di dispositivi USB esterni
- utilizzo di file e cartelle
- ultimi file aperti
- programmi installati e programmi eseguiti
Il registro ha una struttura ad albero in cui sono presenti chiavi, sottochiavi e valori ed è organizzato in cinque sezioni dette hives:
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_CONFIG
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE
- HKEY_USER
Le chiavi riportano informazioni di vario tipo sotto il profilo del dettaglio dei dati e del timestamp.
Come eseguire l’analisi forense di registri di Windows
L’analisi forense di un registro di Windows richiede preliminarmente la disponibilità dei file di registro.
Tali file possono essere acquisiti singolarmente oppure estratti da una copia forense.
L’analisi del file e successivamente della specifica porzione di riferimento dipende dal dato che ci interessa esaminare.
Facciamo alcuni esempi.
Analisi forense di registri per informazioni di sistema e account
La versione del sistema operativo è disponibile nella chiave
Software\Microsoft\Windows NT\CurrentVersion
Il nome del sistema esaminato è disponibile nella chiave
System\CurrentControlSet\Control\ComputerName\ComputerName
La timezone è disponibile nella chiave
System\CurrentControlSet\Control\TimeZoneInformation
Analisi forense del registro per uso di dispostivi di memoria USB
L’elenco dei dispositivi collegati è disponibile nelle chiavi
System\CurrentControlSet\Enum\USBSTOR
System\CurrentControlSet\Enum\USB
La data di utilizzo dei dispositivi di memoria USB è disponibile nella chiave
System\CurrentControlSet\Enum\USBSTOR\Disk&Ven_[...]\USBSerial#\Properties
Per esempio possiamo risalire a gli ultimi file aperti da un programma, a gli ultimi file eseguiti oppure i file che vengono automaticamente caricati all’avvio e molto altro ancora, di seguito alcune delle chiavi usate per tali esigenze:
Analisi forense di registri per uso di file e cartelle
L’elenco degli ultimi file aperti è disponibile nella chiave
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Le ultime ricerche nella barra degli indirizzi di Windows Explorer è disponibile nella chiave
Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
Software di analisi forense di registri di Windows
L’analisi forense dei registri di Windows può essere realizzata con diversi software tra cui RegRipper, AccessData Registry Viewer, Autopsy.