windows vista forensik - dfn-cert

We secure your business. (tm)

Windows Vista Forensics

- ein Überblick -

15. DFN-CERT Workshop 13./14.2.2008Hamburg

Alexander GeschonneckDirector Security & Risk ConsutlingHiSolutions AG

© 2008, HiSolutions AG | Windows Vista Forensics 2We secure your business. (tm)

Agenda

Neue PfadeTransactional File SystemTransactional RegistryVolume Shadow ServiceÄnderungen bei den ZeitstempelnÄnderungen an der RegistryÄnderungen an den Event LogsÄnderungen beim PapierkorbSuperFetchBitlocker

We secure your business. (tm)

UnternehmensprofilInformation Security & Risk Consulting

Sicherer und wirtschaftlicherIT-Betrieb


Eigenschaften des NTFS Dateisystems

New Technologies File System (NTFS)Standard Dateisystem im Arbeitsstations- und Serverumfeld von Microsoft

SystemenVon Microsoft werden kaum Details über das Layout veröffentlichtNeue Betriebssystemgenerationen brachten auch neue NTFS Versionen

NTFS 1.X - Windows NT 3.51NTFS 2.X - Windows NT 4.0NTFS 3.0 - Windows 2000 (NT 5.0)NTFS 3.1 - Windows XP (NT 5.1)NTFS 3.1 - Windows Server 2003 (NT 5.2)NTFS 5.x - Windows Vista (NT 6.0)

Grundlage des Konzeptes: Alles wird in Dateien gespeichert

NTFS 5: Erweiterungen im Dateisystem selbst, viele Änderungen beziehen sichhauptsächlich auf die Art und Weise, wie Windows Vista mit den gespeicherten Objektenwährend des Lebenszyklus der Dateien umgeht.

Für den Ermittler ist es wichtig, alle Änderungen am Dateisystem zu kennen, damit er anden neuen Stellen nach entsprechenden Beweisspuren suchen kann.


Änderungen an den Benutzerprofilen

Die größte Änderung ist der neue Speicherort für die Vista-BenutzerprofileUnter Windows 2000, XP und 2003 gab es in der deutschen Version

standardmäßig das Verzeichnis „%Systemroot%\Documente und Einstellungen“.Unter Windows Vista gibt es immer – egal in welcher Sprachinstallation – das

Verzeichnis „%Systemroot%\Users“

Virtuelle Verzeichnisse werden angelegt, wenn derBenutzer nicht über die ausreichenden Rechte verfügtC:\Users\<Benutzername>\AppData\Local\VirtualStore\


Neue Pfade in Vista

\$Recycle.Bin\SID\Recycled oder \Recycler\SID

\Users\<Benutzername>\AppData\Local\Microsoft\Windows\Explorer

thumbs.db

\Users\<Benutzername>\AppData\Roaming\Microsoft\Windows\Cookies\Low

\Documents and Settings\<Benutzername>\Cookies*

\Users\<Benutzername>\AppData\Documents and Settings\<Benutzername>\ApplicationData*

\Users\<Benutzername>\AppData\Local\Microsoft\Windows\Temporary Internet Files

\Documents and Settings\Local Settings\<Benutzername> \ Temporary Internet Files

\Users\<Benutzername>\AppData\Local\Microsoft\Windows\History

\Documents and Settings\<Benutzername> \LocalSettings\History

\Users\<Benutzername>\AppData\Roaming\Microsoft\Windows\Start Menu

\Documents and Settings\ \<Benutzername> \Start Menu*

\Users\<Benutzername>\AppData\Roaming\Microsoft\Windows\Recent

\Documents and Settings\ <Benutzername> \Recent*

\Users\<Benutzername>\AppData\Local\Documents and Settings\<Benutzername>\LocalSettings*

\Users\<Benutzername>\Documents and Settings\<Benutzername>\Users\Documents and Settings*

Windows VistaWindows XP

* Vista NTFS Reparse Point


NTFS Reparse Points

NTFS Reparse Points zeigen an, dass eine Datei oder ein Verzeichnis nichtinnerhalb des Dateisystems liegt, sondern von einem eigenen Dateisystemtreiberbehandelt wird und von einer anderen Quelle stammt.

Unter Vista sind zwei Arten von NTFS Reparse Points implementiert: Junctionsund Symbolic Links

Junctions werden seit Windows 2000 verwendet um Verzeichnisse in andere (Root-)Verzeichnisse einzuhängen (Die Beschränkung auf Root-Verzeichnisse ist mit Vista aufgehoben)

Symbolische Links können sowohl auf Dateien und Verzeichnisse des eigenen Volumes zeigen,als auch auf Objekte in anderen Volumes oder im Netz

Die aus Vista-Vorgängerversionen bekannten Hard Links gibt es ebenfalls noch.(Verlinkung von bis zu 1023 Dateinamen auf eine Datei möglich - nicht aufVerzeichnisse).


C:\Documents and Settings ist ein symbolischer Link

Der NTFS Reparse Point verlinkt C:\Documents and Settings nach C:\Users.


Reparse Points im Benutzerverzeichnis von Vista

<Benutzername>\Anwendungsdaten <Benutzername>\AppData\Roaming

<Benutzername>\Cookies <Benutzername>\AppData\Roaming\Microsoft\Windws\Cookies

<Benutzername>\Lokale Einstellungen <Benutzername>\AppData\Local

<Benutzername>\Eigene Dateien <Benutzername>\Documents

<Benutzername>\Netwerkumgebung <Benutzername>\AppData\Roaming\Microsof\Windows\Network Shortcuts

<Benutzername>\Druckumgebung <Benutzername>\AppData\Roaming\Microsof\Windows\Printer Shortcuts

<Benutzername>\Recent <Benutzername>\AppData\Roaming\Microsof\Windows\Recent

<Benutzername>\SendTo <Benutzername>\AppData\Roaming\Microsof\Windows\SendTo

<Benutzername>\Startmenü <Benutzername>\AppData\Roaming\Microsoft\Windows\Start Menu

<Benutzername>\Vorlagen <Benutzername>\AppData\Roaming\Microsof\Windows\Templates

<Benutzername>\Documents\Eigene Musik <Benutzername>\Music

<Benutzername>\Documents\Eigene Bilder <Benutzername>\Pictures

<Benutzername>\Documents\Eigene Videos <Benutzername>\Videos


Hintergrund: MAC Zeitstempel

Repräsentieren eine der wichtigsten Quellen um Indizien bei derSystemnutzung zu belegen

Dateisysteme verwenden in der Regel mindestens 3 Zeitstempel (NTFS hat 4)Gehören zu der Gruppe der fragilen Daten – Vorsicht bei Live Response!Die Analyse der MAC-Times bringt Erkenntnisse über den letztmaligen Zugriff

(Aufruf oder auch Ansicht), den letzten Zeitpunkt der Änderung von Dateiattributender Dateien in einem Dateisystem sowie deren Erstellungszeitpunkt

Viele Zeitstempel sind aber auch einfach manipulierbar (bis auf MFT LastModified)


Hintergrund: Bisherige MAC-Time Analyse Windows

Modification -Time – letzte ModifikationZeitstempel wird aktualisiert, wenn sich der Inhalt der Datei verändertBeim Kopieren oder Verschieben nicht verändertBei Veränderung des Dateinamens oder der Dateiattribute nicht verändert

Access-Time – letzter ZugriffZeitstempel wird aktualisiert, wenn Metadaten oder Dateiinhalte angezeigt werden

- Anzeige von Dateieigenschaften- Öffnen von Dateien

Creation -Time – ErstellungZeitstempel wird bei neuer Erstellung oder Kopie einer Datei aktualisiertBeim Verschieben wird dieser Zeitstempel nicht aktualisiert

MFT modified – MFT modifiziertZusätzlicher Zeitstempel im NTFS DateisystemAktualisiert, wenn sich eines der Attribute der Einträge in der MFT ändert

- Applikation öffnet Datei- Umbenennung oder Verschiebung innerhalb des selben Datenträgers- Bei Verschiebung auf einen anderen Datenträger nicht aktualisiert

Nicht für die Standardwerkzeuge (Explorer) sichtbarManipulationen der anderen Zeitstempel stellenweise erkennbar


Kein Last Access Zeitstempel unter Vista

Das Schreiben des Last Access Timestamps ist bei Windows Vista in einerStandardinstallation deaktiviert!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate

Ermittlungen, die auf der Analyse des Last Access Timestamp basieren, sindnun mit einem Schlag nicht mehr möglich!


Volumenschattenkopien (Volume Shadow Copy Service)

Volumenschattenkopien (Volumesnapshots) sind seit Vista nun standardmäßigaktiviert (seit Windows 2003 benutzbar)

Volumesnapshot Provider-Treiber überwacht Volumenvorgänge und erstelltSicherungskopien von Sektoren

Die ursprünglichen Daten werden in einer Datei gespeichert, die dem Snapshot im Verzeichnis„%Systemroot\System Volume Information“ des Volumes zugeordnet ist

Bis zu 64 Schattenkopien können zu einem beliebigen Zeitpunkt auf einemVolume aufbewahrt werden, vorausgesetzt der Speicherbereich fürSchattenkopien verfügt über genug Speicherplatz.

Wenn die maximale Speicherplatzbeschränkung erreicht ist, werden ältereSchattenkopien gelöscht, um Platz für die neuen zu schaffen.

Volumesnapshots können sowohl in einer VMWare-Umgebung (Liveview)betrachtet werden, als auch direkt über die binären Shadow-Dateien eines Imageim Verzeichnis „%Systemroot\System Volume Information“ untersucht werden

C:\VSSAdmin list ShadowStorage

C:\vhdmount /m [Pfad zur .vhd Datei] X:


http://www.microsoft.com/technet/technetmag/issues/2007/09/Backup/default.aspx?loc=de


VSS in der Live Analyse


Hintergrund: NTFS Master File Table (MFT)

Master File Table (MFT): Herz der NTFS-DateistrukturSystemdatei $MFT

Datenbank mit Informationen aller Dateien und Verzeichnisse des DateisystemsFür jede Datei und jedes Verzeichnis des Dateisystems existiert mindestens einDatenbankeintrag (1.024 Byte, 42 Byte Header)Startadresse der MFT im BootsektorNach Formatierung fester Speicherplatz

- Wird bei Bedarf erweitert -> Fragmentierung der MFTerster Eintrag in der MFT ist $MFTNicht mit Windows Bordmitteln sichtbar

Fundort nicht vollständig gelöschter Dateien


Transaktionen unter NTFS 5

Mit Windows Vista wurde NTFS um Transaktionsfähigkeiten erweitertDateioperationen können nun atomar ausgeführt werden (Transactional NTFS;

kurz: TxF)Dateioperationen können zu Transaktionen zusammengefasst werdenVeränderungen am Dateisystem werden erst durchführt, wenn die vollständige Transaktion

durchgeführt werden konnteTxF basiert auf den Funktionen des Common Log File System (CLFS)Transaktionen werden in der Datei „$Extend\$RmMetadata\$USNJRNL“ und deren ADS (NTFS

Stream) gespeichertDarin sind unter anderem Dateinamen, Zeitstempel und MFT Einträge zu finden



Die Bearbeitung der Registry erfolgt jetzt auch transaktionsbasiert (TxR)Transaktionsänderungen werden unter „%Systemroot%\System32\Config\Txr“ protokolliert


Papierkorb unter Vista

„Recycler“ bzw. „Recycled“ wurde in „$Recycle.bin“ umbenanntWird nicht erst beim ersten Löschen einer Datei erstellt, sondern bei

UserreinrichtungINFO2 Datei wurde durch die zwei System-Dateien ersetzt

$R<Zufallswert>.ext: die ursprüngliche Datei$I<Zufallswert>.ext: Pfad der ursprünglichen Datei und Löschzeitpunkt


Eventlog unter Vista

Neues Eventlog-Format: XML Format (.evtx)Eventlog-Dateien werden unter „%SYSTMROOT%\system32\winevt\Logs\“

gespeichertSystem, Application und Security gibt es nochAber insgesamt gibt es fast 30 Eventlog DateienBisher nur Betrachtung mit Vista Event Viewer möglich

Perl Skript von Andreas Schuster wandelt evtx in xml Dateien


Firewall Regeln in der Registry

Logging unter C:\Windows\system32\LogFiles\Firewall\pfirewall.log


Prefetch Dateien

XP, Windows 2003 und Vista führen Boot Prefetching durchCache Manager überwacht Page Faults in

- den ersten 2 Minuten des Bootvorgangs- oder 1 Minuten nach dem Start aller Dienste- oder 30 Sekunden nach Start der Benutzer-Shell

XP und Vista zusätzlich noch Application PrefetchingCache Manager überwacht die ersten 10 Sekunden nach dem Start eines Prozesses

Ergebnisse werden in .pf Dateien unter %WINDIR%\Prefetch gespeichertDateiname: <Applikationsname>-<hexadezimaler Hashwert des Pfades>.pfKonfiguration: KEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Control\Session

Manager\MemoryManagement\PrefetchParametersPrefetch Dateien ermöglichen Antworten auf die Fragen:

Welche Datei wurde ausgeführt (bei Duplikaten)?Wie oft wurde sie ausgeführt?Wann wurde sie zuletzt ausgeführt?

Die Existenz einer Prefetch-Datei zeigt, dass die Anwendung gestartet wurdeDer Creation Timestamp der Prefetch-Datei, zeigt den ersten Start der DateiDer Modification Timestamp der Prefetch Datei, zeigt den letzten Start der Datei


Prefetch Dateien


Thumbnail Dateien unter Vista

Bisher eine thumb.db pro Verzeichnis (Zwischenspeicher der „Miniaturansicht“)Vista: Zentrale Speicherung der thumbnail Dateien unter

„C:\Users\<Benutzername>\AppData\Local\Microsoft\Windows\Explorer“


ADS nun mit Bordmitteln sichtbar


RAM auslesen nicht mehr möglich

Auslesen des RAM eines laufenden kompromittierten Systems mit Windows-ddwar bisher eine gängige Methode

Unter Windows 2000 und XP war dies einfach möglichDer Zugriff auf die \\.\PhysicalMemory Pipe ist unter Vista und Windows2003

aus dem Userland nicht mehr möglich (Security Feature!)Sicherstellungsmethoden des kompletten physikalischen RAM via Windows-dd

u.ä. funktionieren nicht mehrSpezialtools wie KnTTools und KnTlist (www.gmgsystemsinc.com/knttools/)

helfen hier aber weiter

http://www.gmgsystemsinc.com/knttools/


Registry unter Vista

Die unter „%SYSTEMROOT%\System32\config\“ gespeicherten Hives sind erweitertworden (neue Hives ):

C:\Boot\BCDC:\Windows\System32\config\RegBack\SECURITYC:\Windows\System32\config\RegBack\SOFTWAREC:\Windows\System32\config\RegBack\DEFAULTC:\Windows\System32\config\RegBack\SAMC:\Windows\System32\config\RegBack\COMPONENTSC:\Windows\System32\config\RegBack\SYSTEMC:\Windows\System32\config\BCD-TemplateC:\Windows\System32\config\COMPONENTSC:\Windows\System32\config\DEFAULTC:\Windows\System32\config\SAMC:\Windows\System32\config\SECURITYC:\Windows\System32\config\SOFTWAREC:\Windows\System32\config\SYSTEMC:\Users\ntusers.dat

Sicherungsdateien der Registry werden jetzt nicht mehr im Verzeichnis „Repair“ gespeichertsondern unter „Regback“


Registry unter Vista

Konzept der virtuellen RegistryZugriffe ohne ausreichende Berechtigung auf Local_Maschine_Hive werden nach

HKEY_USERS\<User SID>_Classes\VirtualStore\Machine umgeleitet

befindet sich im Hive usrclass.dat


Fazit

Das Reverse Engineering hat kein Ende!In Vista sind viele bekannte Fundorte digitaler Spuren verändert wordenDie wesentlichste Änderung für die Spurensuche ist der Wegfall des Last

Access TimestampsForensische Analyse von VSS und TxF bietet viele Möglichkeiten (hoffentlich

wiegen diese Funktionen den fehlenden Last Access Timestamp wieder auf)Die Hersteller von Forensik-Werkzeugen stehen noch am Anfang, müssen aber

mit zunehmender Verbreitung von Vista nachziehen


Kontakt

Fon: +49 30 533289-0Fax: +49 30 533289-99www.hisolutions.com

Alexander GeschonneckLeitender [email protected]

computer-forensik.orggeschonneck.com/security/forensics/

InformationSecurity

HiSolutions AGBouchéstraße 12D-12435 Berlin

Anschrift

mailto:[email protected]


Visitenkarte HiSolutions AG

Innovationspreis Berlin/BrandenburgFast50 GermanyFast500 Europe

Awards

Firmensitz

55Mitarbeiter

IT-Service ManagementInformation Security

Felder

Wir schützen und optimieren dieInformationsverarbeitung unsererKunden mit Organisations- undTechnologiekompetenz

Mission

Der sichere und effiziente Umgang mitInformationen macht unsere Kundenerfolgreicher

Vision

1994Gründung

Berlin


LeistungsfelderGestaltung zuverlässiger, sicherer und wirtschaftlicher IT-Services undIntegration der dafür benötigten Prozesse und Lösungen.


Referenzen (Auszug)


Wir wenden Standards nicht nur an, wir prägen sie mitU.a. Mitautor von:

http://www.bsi.de/literat/studien/ITinf/index.htm

http://www.kbst.bund.de

http://www.bitkom.org