Када спроводимо истрагу или ревизију на рачунару, један од важних аспеката је знати да ли су повезани неовлашћени уређаји или који су се уређаји користили, као што су оловке, штампачи или други уређаји. Да бисмо открили ове уређаје у оперативном систему Виндовс, користићемо Виндовс регистар који складишти ове податке и омогућиће нам да утврдимо који уређаји су повезани, информације о томе ко, шта, где и како је активност извршена на рачунару који прегледавамо или такође ако имамо слику диска какву смо видели у Анализе имаге имаге витх ФТК Имагер туториал.
У овом водичу ћемо видети где и како пронаћи историју повезаних уређаја помоћу Виндовс регистра. Сваки пут када повежемо уређај путем УСБ -а или другог конектора, овај догађај се складишти у Виндовс регистру, стога оставља траг и кроз њега ћемо се фокусирати на тражење уређаја за складиштење у регистру.
Регистар у Виндовс систему мало се разликује од једне до друге верзије, али ако истражимо суштину, исти је са скоро свим верзијама Виндовс -а и другим оперативним системима. За овај водич користимо Виндовс 7, опћенито су кораци слични за било коју верзију.
Први корак ће бити отворите РегедитТо можемо учинити из Виндовс менија са опцијом Покрени или у оквиру за претрагу који пишемо редегит.
Затим притиснемо Добро и отвориће се Виндовс Регистри Едитор, где ћемо видети да су кључеви регистра фасцикле у стаблу кључева, они садрже поред вредности које су подаци, сваки кључ може садржати поткључеве.
Садржај кључеваХКЕИ_ЦЛАССЕС_РООТОвај кључ садржи информације о регистрованим апликацијама, као што су асоцијације датотека, да би се утврдило са којом апликацијом се ово проширење подразумевано користи * .хтмл подразумевано Фирефок, * .ткт подразумевано Вордпад, ту можемо да променимо софтвер помоћу којег се отвара или подразумевано ради за свако проширење датотеке.
ХКЕИ_УСЕРССадржи информације које одговарају профилу корисника који су пријављени или активни на рачунару, систем је такође корисник (подразумевано), иако ради аутоматски, оставља и трагове.
ХКЕИ_ЛОЦАЛ_МАЦХИНЕСадржи информације о хардверу инсталираном на рачунару, већина информација је ускладиштена у РАМ меморији и чува само неке трагове у регистру, стога су информације у овом кључу променљиве и обнављају се сваки пут при поновном покретању рачунара.
ХКЕИ_ЦУРРЕНТ_УСЕРОвај кључ чува информације и поставке корисника који се пријавио, односно тренутног корисника.
До пронаћи траг УСБ уређаја за складиштење, морамо да претражимо унутар регистра у следећем кључу:
ХК_ЛОЦАЛ_МАЦХИНЕ \ Систем \ ЦонтролСет001 \ Енум \ УСБДва поткључа ЦонтролСет001, ЦонтролСет002 то је копија која се прави када рачунар постигне успешно покретање, овај контролни скуп је оно што омогућава да се утврди које је последње покретање без проблема или последња позната добра конфигурација. У овом кључу ћемо пронаћи доказе о било ком УСБ меморијском уређају који је повезан са овим системом. На пример, унутар УСБ кључа налазимо неколико поткључева уређаја и можемо видети да један од њих одговара мобилном телефону Моторола КСТ1040 који је у неком тренутку повезан путем УСБ -а.
ЕНЛАРГЕ
Анализирајући други поткључ, видимо да је скенер Лекмарк Кс1100 серије повезан, овај уређај је вишенаменски штампач, али регистар показује да је коришћена услуга усбсцан, а не усбпринт.
ЕНЛАРГЕ
Са УСБ кључем видећемо историју уређаја који више нису повезани. Да бисмо видели или снимили повезане уређаје, морамо погледати поткључ:
ХК_ЛОЦАЛ_МАЦХИНЕ \ Систем \ ЦонтролСет001 \ Енум \ УСБСТОР
ЕНЛАРГЕ
У овом случају можемо видети Кингстон пендриве који је повезан са рачунаром. Ако се уређај уклони, поткључ ће остати регистрован у УСБСТОР -у све док се рачунар не искључи, али ће запис остати у УСБ кључу.
Потражите уређаје који су монтирани на систем.
Ако корисник користи било који хардверски уређај који мора бити монтиран, као што је спољни ДВД плејер, спољни чврсти диск, флеш меморија, регистар ће оставити траг монтираног уређаја. Ове информације се чувају у поткључу:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Систем \ МоунтедДевицесУ наставку можемо видети списак свих уређаја који су монтирани или су монтирани на рачунару, Ц: Д: и Ф: погоне. Ако двапут кликнемо на погон Д, видећемо да је то ЦД РОМ повезан са ВиртуалБок -а, а ако исто учинимо и са погоном Ф видећемо да је то Кингстон пендриве који је у неко време био повезан.
Ако не можемо да одредимо који је то уређај, можемо повезати уређаје кључа МоунтДевицес гледајући кључ у бинарном облику, а затим тај јединствени ИД који га тражимо у другим поткалинама. Један алат који можемо да користимо је УСБВиевер, који је једноставан и преносив алат који нуди могућност прегледа информација о УСБ уређајима који су тренутно и претходно били повезани са рачунаром.
ЕНЛАРГЕ
Виндовс регистар омогућава чување историје догађаја о томе шта се догодило у Виндовс систему користећи различите технике и процедуре, можемо реконструисати чињенице и утврдити елементе који су коришћени.
