Al investigar incidentes y ataques de virus para reconstruir eventos que ocurren en la computadora de un usuario, los forenses a menudo usan diferentes tipos de líneas de tiempo. Como regla general, la línea de tiempo es un archivo o tabla de texto enorme, en el que, en orden cronológico, se proporciona información sobre los eventos que ocurrieron en la computadora.
El procesamiento de medios para la preparación de la línea de tiempo (por ejemplo, usando Plaso) es un proceso lento. Por lo tanto, los forenses de computadoras se alegraron mucho al saber que en la próxima actualización de Windows 10 había una nueva funcionalidad: Windows 10 Timeline.
"Cuando me enteré de la nueva característica de Windows, pensé:" ¡Genial! Ahora no tiene que perder el tiempo generando líneas de tiempo ". Sin embargo, resultó que mi alegría fue prematura ”, dijo Igor Mikhailov, especialista en el Laboratorio de Informática Forense Group-IB. Especialmente para los lectores de Habr, Igor cuenta cómo la Línea de tiempo de Windows 10, un nuevo tipo de artefactos de Windows 10, tiene que ver con los tipos tradicionales de línea de tiempo y qué información contiene.
Publicado por
Igor Mikhailov , Especialista, Laboratorio de Informática Grupo Forense-IB.
Como ya se mencionó, en la actualización de abril de 2018 en Windows 10, apareció una nueva funcionalidad, llamada "Vista de tareas" (Windows 10 Timeline, o Timeline para abreviar). Le permite ver la actividad de un usuario de la computadora y regresar rápidamente a documentos y programas que se abrieron previamente, a videos e imágenes que se vieron anteriormente, a sitios web. Para abrir la línea de tiempo de Windows 10, haga clic en el siguiente icono:
Después de eso, las miniaturas de programas, documentos y sitios que se abrieron en el día actual o hace algún tiempo estarán disponibles:
Los investigadores notaron dos características de la nueva funcionalidad:
- la apertura de algunas aplicaciones no aparece en la línea de tiempo
- Algunos datos de la línea de tiempo (datos anteriores) se transfieren a Microsoft Cloud
Por lo tanto, la información que se puede obtener mediante el análisis de la línea de tiempo de Windows 10 difiere de los tipos habituales de líneas de tiempo, que contienen información más completa sobre los eventos que ocurrieron en la computadora analizada.
La línea de tiempo de Windows 10 no debe confundirse con las líneas de tiempo creadas por
las utilidades forenses . Por ejemplo, las líneas de tiempo creadas por Autopsy, Belkasoft Evidence Center, AXIOM, contienen significativamente más registros sobre las diversas acciones del usuario de la computadora en estudio en comparación con Windows 10 Timeline.
Para activar la línea de tiempo de Windows 10, el usuario de una computadora debe ir a la sección "Configuración" del sistema operativo, seleccionar la categoría "Privacidad" y la subcategoría "Registro de actividad", y luego marcar las casillas opuestas:
- permitir que Windows recopile mis acciones de esta computadora
- Permitir que Windows sincronice mis acciones de esta computadora a la nube
Ubicaciones de artefactos forenses de la línea de tiempo de Windows 10
En el
directorio Users \% profile name% \ AppData \ Local \ ConnectedDevicesPlatform \ , hay un archivo con la extensión
.cpd , que contiene información sobre la hora de la última sincronización de la línea de tiempo de Windows 10 con la nube (
CNCNotificationUriLastSynced ) y sobre el ID de usuario (en la ilustración es
0b5569b899437c21 ).
La información sobre la actividad del usuario en la línea de tiempo de Windows 10 se almacena en el archivo
ActivitiesCache.db a lo largo de la ruta:
\ Users \% profile name% \ AppData \ Local \ ConnectedDevicesPlatform \ L.% profile name% \ .
Archivo ActivitiesCache.db
El archivo
ActivitiesCache.db es una base de datos SQLite (versión 3). Como con cualquier base de datos SQLite, se caracteriza por la presencia de dos archivos auxiliares,
ActivitiesCache.db-shm y
ActivitiesCache.db-wal .
La información adicional sobre los registros eliminados puede estar contenida en el espacio de tablas no utilizado, en las listas gratuitas y en los archivos wal.
Anatomía de la línea de tiempo de Windows 10
ActivitiesCache.db contiene las siguientes tablas:
Activity ,
Activity_PackageId ,
ActivityAssetCache ,
ActivityOperation ,
AppSettings ,
ManualSequence ,
Metadata . De mayor interés para el investigador son las tablas
Activity_PackageId y
Activity ).
La tabla
Activity_PackageId contiene entradas para aplicaciones que incluyen rutas para archivos ejecutables (por ejemplo
... c: \ programdata \ firefly studios \ s tronghold kingdoms \ 2.0.32.1 \ strongholdkingdoms.exe ... ), nombres de archivos ejecutables y también el tiempo de caducidad para estas entradas Los valores en la columna de
tiempo de caducidad se almacenan en el formato de hora de época.
Las entradas en la tabla
Activity_PackageId se almacenan durante 30 días y pueden contener información sobre archivos ejecutables o documentos que ya faltan en el disco duro bajo investigación.
En la mesa
de actividades contiene los siguientes campos: ID, APPID, PackageIdHash, AppActivityId , ActivityType, ActivityStatus, ParentActivityId, Tag, Grupo, MatchId, lastModifiedTime, ExpirationTime, Carga útil, prioridad, IsLocalOnly, PlatformDeviceId, CreatedInCloud, StartTime, EndTime, LastModifiedOnClient, GroupAppActivityId, ClipboardPayload , EnterpriseId, OriginalLastModifiedOnClient, ETag.
Contiene hasta cinco campos de fecha y hora: LastModifiedTime, ExpirationTime, StartTime, EndTime, LastModifiedOnClient (este campo puede estar vacío; se llena si el archivo en cuestión en esta entrada de la tabla ha sido modificado por un usuario de la computadora).
También puede encontrar rutas a archivos ejecutables en esta tabla:
... "F: \\ NirSoft \\ x64 \\ USBDeview.exe ...Gary Hunter (pr3cur50r) en el artículo "Línea de tiempo de Windows 10 - Revisión inicial de artefactos forenses" indica que los valores de marca de tiempo no se cambian para los archivos eliminados. Para documentos modificados, los valores de la marca de tiempo no cambian inmediatamente, sino dentro de las 24 horas.
Estudie la línea de tiempo de Windows 10
La forma más fácil de ver los datos contenidos en el archivo
ActivitiesCache.db es usar el visor de la base de datos SQLite. Por ejemplo, la utilidad gratuita DB Browser para SQLite.
Desplazándose por las tablas en la pestaña Examinar datos, puede ver su contenido y registrar información que sería interesante durante un estudio específico.
La segunda utilidad que recomendamos es WxTCmd (analizador de base de datos de Windows 10 Timeline). Esta utilidad se ejecuta desde la línea de comando.
Como resultado de su trabajo, se crea un archivo csv que contiene los resultados del análisis del archivo
ActivitiesCache.db .
Vista de este archivo abierto en Excel La tercera utilidad que recomendamos es
AXIOM de Magnet Forensics.
Para que el programa analice este artefacto, debe indicarle al programa que haga esto en la sección "Seleccionar artefactos para incluir en el caso".
Los resultados del análisis de archivos se pueden ver en Magnet AXIOM Examiner.
Resultados de extraer datos de ActivitiesCache.db por AXIOM La cuarta utilidad que recomendamos para analizar dichos archivos es
Belkasoft's Belkasoft Evidence Center .
Después de agregar una fuente de datos (disco duro, unidad lógica, directorio o archivo) en la ventana
Agregar fuente de datos , en la sección
Archivos del
sistema , seleccione
Línea de tiempo de Windows .
Una vez completada la extracción de datos, la categoría
Línea de tiempo de Windows aparecerá en la pestaña
Descripción general , en la que se mostrarán los resultados de la extracción de datos del archivo
ActivitiesCache.db .
Aspecto de la recuperación de datos Cronología de Windows 10 en informática forense: ponerlo en práctica
Los datos contenidos en la línea de tiempo de Windows 10 se pueden usar para investigar incidentes o fugas de datos.
Como ejemplo, mostraremos un dato del archivo
ActivitiesCache.db de una computadora que ha sido atacada por hackers:
Como puede ver en la captura de pantalla, los atacantes descargaron a las víctimas de TeamViewer, un archivo del programa que comparte uploadpace.com, Mimikatz en la computadora. Un análisis de los eventos guardados en la línea de tiempo de Windows 10 muestra que los atacantes abrieron los registros de Teamviewer de Notepad (archivo
notepad.exe ) (archivo
TeamViewer14_Logfile.log ) usando Notepad. Quizás para eliminar o modificar la información en este archivo.
Aquí hay otro ejemplo. Aparentemente, se lanzaron archivos muy inusuales en la computadora. Probablemente alguien estaba tratando de recopilar información sobre el usuario de la computadora.
Por lo tanto, una nueva categoría de artefactos que apareció en Windows 10, a saber, la Línea de tiempo de Windows 10, simplifica el trabajo del investigador al reconstruir eventos que ocurrieron en la computadora en estudio en los últimos 30 días. Además, Windows 10 Timeline puede proporcionar información adicional sobre los archivos que se ejecutaron en la computadora en estudio, incluidos los eliminados. Esto es especialmente importante cuando se investigan incidentes o fugas de datos.