Lorsqu'ils enquêtent sur des incidents et des attaques de virus pour reconstruire les événements qui se produisent sur l'ordinateur d'un utilisateur, la criminalistique utilise souvent différents types de chronologies. En règle générale, la chronologie est un énorme fichier texte ou tableau, dans lequel, par ordre chronologique, des informations sont fournies sur les événements qui se sont produits sur l'ordinateur.
Le traitement des supports pour la préparation de la chronologie (par exemple, en utilisant Plaso) est un processus long. Par conséquent, l'informatique judiciaire était très heureuse d'apprendre que dans la prochaine mise à jour de Windows 10, il y avait une nouvelle fonctionnalité - Windows 10 Timeline.
«Lorsque j'ai découvert la nouvelle fonctionnalité Windows pour la première fois, je me suis dit:« Génial! Maintenant, vous n'avez plus à perdre de temps à générer des délais. " Cependant, il s'est avéré que ma joie était prématurée », a déclaré Igor Mikhailov, spécialiste du Laboratoire de criminalistique informatique Group-IB. En particulier pour les lecteurs Habr, Igor explique comment la chronologie de Windows 10 - un nouveau type d'artefacts Windows 10 - a à voir avec les types de chronologie traditionnels et les informations qu'elle contient.
Publié par
Igor Mikhailov , spécialiste, Laboratoire de criminalistique informatique Group-IB.
Comme déjà mentionné, dans la mise à jour d'avril 2018 dans Windows 10, une nouvelle fonctionnalité est apparue, appelée «Affichage des tâches» (Chronologie de Windows 10, ou Chronologie pour faire court). Il vous permet de visualiser l'activité d'un utilisateur d'ordinateur et de revenir rapidement aux documents et programmes précédemment ouverts, aux vidéos et images précédemment visionnées, aux sites Web. Pour ouvrir la chronologie de Windows 10, cliquez sur l'icône suivante:
Après cela, les miniatures des programmes, documents et sites ouverts le jour en cours ou il y a quelque temps seront disponibles:
Les chercheurs ont noté deux caractéristiques de la nouvelle fonctionnalité:
- l'ouverture de certaines applications n'apparaît pas dans la chronologie
- certaines données de Timeline (données antérieures) sont transférées vers Microsoft Cloud
Ainsi, les informations pouvant être obtenues à l'aide de l'analyse de la chronologie de Windows 10 diffèrent des types habituels de chronologies, qui contiennent des informations plus complètes sur les événements qui se produisent sur l'ordinateur analysé.
La chronologie de Windows 10 ne doit pas être confondue avec les chronologies créées par
les utilitaires médico-légaux . Par exemple, les chronologies créées par Autopsy, Belkasoft Evidence Center, AXIOM, contiennent beaucoup plus d'enregistrements sur les différentes actions de l'utilisateur de l'ordinateur à l'étude par rapport à Windows 10 Timeline.
Pour activer la chronologie de Windows 10, un utilisateur d'ordinateur doit se rendre dans la section "Paramètres" du système d'exploitation, sélectionner la catégorie "Confidentialité" et la sous-catégorie "Journal d'activité", puis cocher les cases ci-contre:
- autoriser Windows à collecter mes actions depuis cet ordinateur
- Autoriser Windows à synchroniser mes actions depuis cet ordinateur vers le cloud
Emplacements des artefacts judiciaires de la chronologie de Windows 10
Dans le
répertoire Users \% profile name% \ AppData \ Local \ ConnectedDevicesPlatform \ , il y a un fichier avec l'extension
.cpd , qui contient des informations sur l'heure de la dernière synchronisation de la chronologie Windows 10 avec le cloud (
CNCNotificationUriLastSynced ) et sur l'ID utilisateur (dans l'illustration, il s'agit du
0b5569b899437c21 ).
Les informations sur l'activité des utilisateurs dans la chronologie de Windows 10 sont stockées dans le fichier
ActivitiesCache.db le long du chemin:
\ Users \% nom de profil% \ AppData \ Local \ ConnectedDevicesPlatform \ L.% nom de profil% \ .
Fichier ActivitiesCache.db
Le fichier
ActivitiesCache.db est une base de données SQLite (version 3). Comme pour toute base de données SQLite, elle se caractérise par la présence de deux fichiers auxiliaires,
ActivitiesCache.db-shm et
ActivitiesCache.db-wal .
Des informations supplémentaires sur les enregistrements supprimés peuvent être contenues dans l'espace table inutilisé, les listes libres et les fichiers wal.
Anatomie de la chronologie de Windows 10
ActivitiesCache.db contient les tableaux suivants:
Activity ,
Activity_PackageId ,
ActivityAssetCache ,
ActivityOperation ,
AppSettings ,
ManualSequence ,
Metadata . Le plus grand intérêt pour le chercheur sont les tables
Activity_PackageId et
Activity ).
La table
Activity_PackageId contient des entrées pour les applications qui incluent des chemins d'accès aux fichiers exécutables (par exemple
... c: \ programdata \ firefly studios \ s tronghold royaumes \ 2.0.32.1 \ strongholdkingdoms.exe ... ), les noms des fichiers exécutables, ainsi que le délai d'expiration pour ces entrées. Les valeurs de la colonne
Heure d'expiration sont stockées au format Epoch Time.
Les entrées de la table
Activity_PackageId sont stockées pendant 30 jours et peuvent contenir des informations sur les fichiers exécutables ou les documents qui manquent déjà sur le disque dur sous enquête.
Dans le tableau d'
activité contient les champs suivants: Id, AppId, PackageIdHash, AppActivityId , ActivityType, ActivityStatus, ParentActivityId, Tag, groupe, MatchId, lastModifiedTime, expirationTime, Payload, priorité, IsLocalOnly, PlatformDeviceId, CreatedInCloud, STARTTIME, EndTime, LastModifiedOnClient, GroupAppActivityId, ClipboardPayload , EnterpriseId, OriginalLastModifiedOnClient, ETag.
Il contient jusqu'à cinq champs d'horodatage: LastModifiedTime, ExpirationTime, StartTime, EndTime, LastModifiedOnClient (ce champ peut être vide - il est rempli si le fichier en question dans cette entrée de table a été modifié par un utilisateur d'ordinateur).
Vous pouvez également trouver des chemins d'accès aux fichiers exécutables dans ce tableau:
... "F: \\ NirSoft \\ x64 \\ USBDeview.exe ...Gary Hunter (pr3cur50r) dans l'article «Chronologie de Windows 10 - Examen initial des artefacts judiciaires» indique que les valeurs d'horodatage ne sont pas modifiées pour les fichiers supprimés. Pour les documents modifiés, les valeurs d'horodatage ne changent pas immédiatement, mais dans les 24 heures.
Étudier la chronologie de Windows 10
La façon la plus simple d'afficher les données contenues dans le fichier
ActivitiesCache.db est d'utiliser le visualiseur de base de données SQLite. Par exemple, l'utilitaire DB Browser gratuit pour SQLite.
En parcourant les tableaux de l'onglet Parcourir les données, vous pouvez afficher leur contenu et enregistrer des informations qui pourraient être intéressantes au cours d'une étude spécifique.
Le deuxième utilitaire que nous recommandons est WxTCmd (analyseur de base de données de chronologie Windows 10). Cet utilitaire est exécuté à partir de la ligne de commande.
À la suite de son travail, un fichier csv est créé contenant les résultats de l'analyse du fichier
ActivitiesCache.db .
Affichage de ce fichier ouvert dans Excel Le troisième utilitaire que nous recommandons est l'
AXIOM de Magnet Forensics.
Pour que le programme analyse cet artefact, vous devez indiquer au programme de le faire dans la section "Sélectionner les artefacts à inclure dans le cas".
Les résultats de l'analyse des fichiers peuvent être consultés dans Magnet AXIOM Examiner.
Résultats de l'extraction des données d'ActivitiesCache.db par AXIOM Le quatrième utilitaire que nous recommandons pour analyser de tels fichiers est
Belkasoft's Belkasoft Evidence Center .
Après avoir ajouté une source de données (disque dur, lecteur logique, répertoire ou fichier) dans la fenêtre
Ajouter une source de données , dans la section
Fichiers système , sélectionnez
Chronologie Windows .
Une fois l'extraction des données terminée, la catégorie
Chronologie Windows apparaît dans l'onglet
Présentation , dans laquelle les résultats de l'extraction des données du fichier
ActivitiesCache.db seront affichés.
À quoi ressemble la récupération des données Chronologie de Windows 10 en informatique légale: mise en pratique
Les données contenues dans la chronologie de Windows 10 peuvent être utilisées pour enquêter sur les incidents ou les fuites de données.
À titre d'exemple, nous allons montrer un morceau de données du fichier
ActivitiesCache.db d'un ordinateur qui a été attaqué par des pirates:
Comme vous pouvez le voir sur la capture d'écran, les attaquants ont téléchargé les victimes TeamViewer, un fichier du partage de fichiers sendpace.com, Mimikatz sur l'ordinateur. Une analyse des événements stockés dans la chronologie de Windows 10 montre que les attaquants ont ouvert le journal du Bloc-notes (fichier notepad.exe) Teamviewer (fichier
TeamViewer14_Logfile.log ) à l'aide du Bloc-notes. Peut-être pour supprimer ou modifier les informations de ce fichier.
Voici un autre exemple. Apparemment, des fichiers très inhabituels ont été lancés sur l'ordinateur. Probablement, quelqu'un essayait de collecter des informations sur l'utilisateur de l'ordinateur.
Ainsi, une nouvelle catégorie d'artefacts apparue dans Windows 10, à savoir Windows 10 Timeline, simplifie le travail du chercheur lors de la reconstruction des événements qui se sont produits sur l'ordinateur étudié au cours des 30 derniers jours. En outre, la chronologie de Windows 10 peut fournir des informations supplémentaires sur les fichiers qui ont été exécutés sur l'ordinateur à l'étude, y compris ceux supprimés. Ceci est particulièrement important lors de l'enquête sur des incidents ou des fuites de données.