الوقت لا ينتظر: من ويندوز 10 الجدول الزمني يمكن أن تكون مفيدة للجاني

عند التحقيق في الحوادث وهجمات الفيروسات لإعادة بناء الأحداث التي تحدث على كمبيوتر المستخدم ، غالبًا ما يستخدم الطب الشرعي أنواعًا مختلفة من الجداول الزمنية. كقاعدة عامة ، يكون الجدول الزمني ملفًا نصيًا أو جدولًا ضخمًا ، حيث يتم ، حسب الترتيب الزمني ، تقديم معلومات حول الأحداث التي وقعت على الكمبيوتر.

تعد معالجة الوسائط لإعداد الجدول الزمني (على سبيل المثال ، استخدام Plaso) عملية تستغرق وقتًا طويلاً. لذلك ، كان الطب الشرعي للكمبيوتر سعيدًا جدًا عندما علم أنه في التحديث التالي لنظام التشغيل Windows 10 ، كانت هناك وظيفة جديدة - Windows 10 Timeline.

"عندما اكتشفت لأول مرة ميزة Windows الجديدة ، فكرت ،" رائع! الآن ليس عليك إضاعة الوقت في إنشاء جداول زمنية. " وقال إيغور ميخائيلوف ، أخصائي في مجموعة مختبر الأدلة الجنائية للكمبيوتر-آي بي: "كما اتضح ، كان فرحي مبكراً". يوضح Igor ، خاصة بالنسبة لقراء Habr ، كيف يرتبط Windows 10 Timeline - وهو نوع جديد من القطع الأثرية لنظام Windows 10 - بالأنواع التقليدية من الجدول الزمني والمعلومات التي يحتوي عليها.

بقلم إيغور ميخائيلوف ، أخصائي ، مختبر مجموعة الأدلة الجنائية الحاسوبية.

كما سبق ذكره ، في تحديث أبريل 2018 في نظام التشغيل Windows 10 ، ظهرت وظيفة جديدة ، تسمى "عرض المهام" (Windows 10 Timeline ، أو Timeline لفترة قصيرة). يتيح لك عرض نشاط مستخدم الكمبيوتر والعودة بسرعة إلى المستندات والبرامج التي تم فتحها مسبقًا ، ومقاطع الفيديو والصور التي تم عرضها سابقًا ، إلى مواقع الويب. لفتح Windows 10 Timeline ، انقر على الأيقونة التالية:


بعد ذلك ، ستصبح الصور المصغرة للبرامج والمستندات والمواقع التي تم فتحها في اليوم الحالي أو منذ بعض الوقت متاحة:


لاحظ الباحثون سمتين للوظيفة الجديدة:

1. لا يظهر فتح بعض التطبيقات في الجدول الزمني
2. يتم نقل بعض البيانات من الجدول الزمني (البيانات السابقة) إلى Microsoft Cloud

وبالتالي ، تختلف المعلومات التي يمكن الحصول عليها باستخدام تحليل Windows 10 Timeline عن الأنواع المعتادة من الجداول الزمنية ، والتي تحتوي على مزيد من المعلومات الكاملة حول الأحداث التي تحدث على الكمبيوتر الذي تم تحليله.

يجب عدم الخلط بين الخط الزمني لـ Windows 10 والجداول الزمنية التي تم إنشاؤها بواسطة أدوات الطب الشرعي . على سبيل المثال ، تحتوي الجداول الزمنية التي أنشأتها Autopsy ، Belkasoft Evidence Center ، AXIOM ، على سجلات أكثر بكثير حول الإجراءات المختلفة لمستخدم الكمبيوتر قيد الدراسة مقارنة بنظام Windows 10 Timeline.

لتنشيط Windows 10 Timeline ، يحتاج مستخدم الكمبيوتر إلى الانتقال إلى قسم "الإعدادات" في نظام التشغيل ، وحدد فئة "الخصوصية" والفئة الفرعية "سجل النشاط" ، ثم حدد المربعات المقابلة:

• السماح لـ Windows بجمع أفعالي من هذا الكمبيوتر
• اسمح لـ Windows بمزامنة أفعالي من هذا الكمبيوتر إلى السحابة

ويندوز 10 الجدول الزمني المواقع الأثرية الطب الشرعي

في الدليل Users \٪ profile٪ \ AppData \ Local \ ConnectedDevicesPlatform \ ، يوجد ملف بالملحق .cpd ، والذي يحتوي على معلومات حول وقت مزامنة الخط الزمني الأخير لـ Windows 10 مع مجموعة النظراء ( CNCNotificationUriLastSynced ) وحول معرف المستخدم (في الرسم التوضيحي هو 0b5569b899437c21 ).


يتم تخزين المعلومات حول نشاط المستخدم في Windows 10 Timeline في ملف ActivitiesCache.db على طول المسار: \ Users \٪ profile name٪ \ AppData \ Local \ ConnectedDevicesPlatform \ L.٪ name name٪ \ .

ملف ActivityCache.db

الملف ActivitiesCache.db هو قاعدة بيانات SQLite (الإصدار 3). كما هو الحال مع أي قاعدة بيانات SQLite ، تتميز بوجود اثنين من الملفات المساعدة ، ActivitiesCache.db-shm و ActivitiesCache.db-wal .


قد يتم تضمين معلومات إضافية حول السجلات المحذوفة في مساحة الجدول غير المستخدمة والقوائم المستقلة والملفات.

تشريح ويندوز 10 الجدول الزمني

يحتوي ActivityCache.db على الجداول التالية: النشاط و Activity_PackageId و ActivityAssetCache و ActivityOperation و AppSettings و ManualSequence و Metadata . الأكثر أهمية للباحث هي الجداول Activity_PackageId والنشاط ).


يحتوي الجدول Activity_PackageId على إدخالات للتطبيقات التي تتضمن مسارات للملفات القابلة للتنفيذ (على سبيل المثال ... c: \ programdata \ firefly studios \ s tronghold kingdoms \ 2.0.32.1 \ strongholdkingdoms.exe ... ) وأسماء الملفات القابلة للتنفيذ وكذلك وقت انتهاء الصلاحية لهذه الإدخالات. يتم تخزين القيم في عمود وقت انتهاء الصلاحية بتنسيق Epoch Time.

يتم تخزين الإدخالات في جدول Activity_PackageId لمدة 30 يومًا وقد تحتوي على معلومات حول الملفات القابلة للتنفيذ أو المستندات المفقودة بالفعل على القرص الصلب قيد التحقيق.


في جدول آخر يحتوي على الحقول التالية: رقم، معرف التطبيق، PackageIdHash، AppActivityId ، ActivityType، ActivityStatus، ParentActivityId، علامة، مجموعة، MatchId، LastModifiedTime، ExpirationTime، الحمولة، الأولوية، IsLocalOnly، PlatformDeviceId، CreatedInCloud، STARTTIME، ENDTIME، LastModifiedOnClient، GroupAppActivityId، ClipboardPayload ، EnterpriseId، OriginalLastModifiedOnClient، ETag.

يحتوي على ما يصل إلى خمسة حقول الطابع الزمني: LastModifiedTime و ExpirationTime و StartTime و EndTime و LastModifiedOnClient (يمكن أن يكون هذا الحقل فارغًا - يتم ملؤه إذا تم تعديل الملف المعني في إدخال هذا الجدول بواسطة مستخدم كمبيوتر).

يمكنك أيضًا العثور على مسارات للملفات القابلة للتنفيذ في هذا الجدول: ... "F: \\ NirSoft \\ x64 \\ USBDeview.exe ...
يشير Gary Hunter (pr3cur50r) في مقالة "الخط الزمني لنظام التشغيل Windows 10 - المراجعة الأولية لمصنوعات الطب الشرعي" إلى أنه لا يتم تغيير قيم الطابع الزمني للملفات المحذوفة. بالنسبة للمستندات المعدلة ، لا تتغير قيم الطابع الزمني على الفور ، ولكن في غضون 24 ساعة.

دراسة ويندوز 10 الجدول الزمني

أسهل طريقة لعرض البيانات الموجودة في ملف ActivitiesCache.db هي استخدام عارض قاعدة بيانات SQLite. على سبيل المثال ، متصفح DB المجاني لأداة SQLite المساعدة.


بالانتقال إلى الجداول في علامة التبويب "استعراض البيانات" ، يمكنك عرض محتوياتها وتسجيل المعلومات التي ستكون مثيرة للاهتمام أثناء دراسة محددة.

الأداة المساعدة الثانية التي نوصي بها هي WxTCmd (محلل قاعدة بيانات Windows 10 Timeline). يتم تشغيل هذه الأداة المساعدة من سطر الأوامر.


نتيجة لعمله ، يتم إنشاء ملف CSV يحتوي على نتائج تحليل ملف ActivitiesCache.db .


الأداة الثالثة التي نوصي بها هي AXIOM من مغناطيس الطب الشرعي.

لكي يقوم البرنامج بتحليل هذه الأداة ، يجب أن تخبر البرنامج عن القيام بذلك في قسم "تحديد القطع الأثرية لتضمينها في حالة".


يمكن الاطلاع على نتائج تحليل الملف في برنامج Magnet AXIOM Examiner.


الأداة الرابعة التي نوصي بها لتحليل مثل هذه الملفات هي Belkasoft's Evidence Center .

بعد إضافة مصدر بيانات (القرص الثابت ، محرك الأقراص المنطقي ، الدليل أو الملف) في نافذة إضافة مصدر البيانات ، في قسم ملفات النظام ، حدد Windows Timeline .



بعد اكتمال استخراج البيانات ، ستظهر فئة Windows Timeline في علامة التبويب " نظرة عامة" ، حيث سيتم عرض نتائج استخراج البيانات من ملف ActivitiesCache.db .

ويندوز 10 الجدول الزمني في الطب الشرعي الكمبيوتر: وضعه موضع التنفيذ

يمكن استخدام البيانات الموجودة في Windows 10 Timeline للتحقيق في الحوادث أو تسرب البيانات.

على سبيل المثال ، سوف نعرض جزءًا من البيانات من ملف ActivitiesCache.db من جهاز كمبيوتر تعرض لهجوم من قراصنة الكمبيوتر:



كما ترون من لقطة الشاشة ، قام المهاجمون بتنزيل ضحايا برنامج TeamViewer ، وهو ملف من ملف مشاركة sendspace.com ، Mimikatz على الكمبيوتر. يوضح تحليل للأحداث المخزنة في الخط الزمني لنظام التشغيل Windows 10 أن المهاجمين فتحوا سجلات المفكرة (ملف notepad.exe ) TeamViewer (ملف TeamViewer14_Logfile.log ) باستخدام المفكرة. ربما من أجل حذف أو تعديل المعلومات في هذا الملف.

هنا مثال آخر. على ما يبدو ، تم إطلاق ملفات غير عادية للغاية على الكمبيوتر. ربما كان شخص ما يحاول جمع معلومات حول مستخدم الكمبيوتر.



وبالتالي ، تعمل فئة جديدة من الأعمال الفنية التي ظهرت في Windows 10 ، وهي Windows 10 Timeline ، على تبسيط عمل الباحث عند إعادة بناء الأحداث التي حدثت على الكمبيوتر قيد الدراسة في آخر 30 يومًا. أيضًا ، يمكن لـ Windows 10 Timeline توفير معلومات إضافية حول الملفات التي تم تشغيلها على الكمبيوتر قيد الدراسة ، بما في ذلك الملفات المحذوفة. هذا مهم بشكل خاص عند التحقيق في الحوادث أو تسرب البيانات.