O tempo não espera: o Windows 10 Timeline pode ser útil para o criminalista

Ao investigar incidentes e ataques de vírus para reconstruir eventos que ocorrem no computador do usuário, o forense geralmente usa diferentes tipos de cronogramas. Como regra, a linha do tempo é um grande arquivo ou tabela de texto, no qual, em ordem cronológica, são fornecidas informações sobre eventos que ocorreram no computador.

A mídia de processamento para a preparação da linha do tempo (por exemplo, usando o Plaso) é um processo demorado. Portanto, a análise forense de computadores ficou muito feliz ao saber que na próxima atualização do Windows 10 havia uma nova funcionalidade - o Windows 10 Timeline.

“Quando descobri o novo recurso do Windows, pensei:“ Ótimo! Agora você não precisa perder tempo gerando cronogramas ". No entanto, como se viu, minha alegria foi prematura ”, disse Igor Mikhailov, especialista no Laboratório de Computação Forense do Grupo-IB. Especialmente para os leitores da Habr, Igor conta como a Linha do tempo do Windows 10 - um novo tipo de artefato do Windows 10 - tem a ver com os tipos tradicionais de linha do tempo e com as informações que ela contém.

Postado por Igor Mikhailov , Especialista, Laboratório do Grupo de Computação Forense-IB.

Como já mencionado, na atualização de abril de 2018 no Windows 10, uma nova funcionalidade apareceu, chamada "Modo de exibição de tarefas" (Linha do tempo do Windows 10 ou Linha do tempo abreviada). Permite visualizar a atividade de um usuário de computador e retornar rapidamente aos documentos e programas que foram abertos anteriormente, aos vídeos e fotos visualizados anteriormente, aos sites. Para abrir a Linha do tempo do Windows 10, clique no ícone a seguir:


Depois disso, as miniaturas de programas, documentos e sites abertos no dia atual ou algum tempo atrás ficarão disponíveis:


Os pesquisadores observaram dois recursos da nova funcionalidade:

1. a abertura de alguns aplicativos não aparece na Linha do tempo
2. alguns dados da Linha do tempo (dados anteriores) são transferidos para o Microsoft Cloud

Portanto, as informações que podem ser obtidas usando a análise da Linha do tempo do Windows 10 diferem dos tipos comuns de linhas do tempo, que contêm informações mais completas sobre os eventos que ocorrem no computador analisado.

A Linha do tempo do Windows 10 não deve ser confundida com as linhas de tempo criadas por utilitários forenses . Por exemplo, as linhas de tempo criadas pelo Autopsy, Belkasoft Evidence Center, AXIOM, contêm significativamente mais registros sobre as várias ações do usuário do computador em estudo em comparação com a Linha do tempo do Windows 10.

Para ativar a Linha do tempo do Windows 10, o usuário do computador precisa ir para a seção "Configurações" do sistema operacional, selecione a categoria "Privacidade" e a subcategoria "Registro de atividades" e marque as caixas ao lado:

• permitir que o Windows colete minhas ações neste computador
• Permitir que o Windows sincronize minhas ações deste computador para a nuvem

Locais de artefato forense da Linha do tempo do Windows 10

No diretório Users \% profile name% \ AppData \ Local \ ConnectedDevicesPlatform \ , há um arquivo com a extensão .cpd , que contém informações sobre o horário da última sincronização da Linha do tempo do Windows 10 com a nuvem ( CNCNotificationUriLastSynced ) e sobre o ID do usuário (na ilustração, 0b5569b899437c21 ).


As informações sobre a atividade do usuário na Linha do tempo do Windows 10 são armazenadas no arquivo ActivitiesCache.db no caminho: \ Users \% nome do perfil% \ AppData \ Local \ ConnectedDevicesPlatform \ L.% nome do perfil% \ .

Arquivo ActivitiesCache.db

O arquivo ActivitiesCache.db é um banco de dados SQLite (versão 3). Como em qualquer banco de dados SQLite, é caracterizado pela presença de dois arquivos auxiliares, ActivitiesCache.db-shm e ActivitiesCache.db-wal .


Informações adicionais sobre registros excluídos podem estar contidas em espaço de tabela não utilizado, freelists e arquivos wal.

Anatomia da linha do tempo do Windows 10

ActivitiesCache.db contém as seguintes tabelas: Activity , Activity_PackageId , ActivityAssetCache , ActivityOperation , AppSettings , ManualSequence , Metadados . De maior interesse para o pesquisador são as tabelas Activity_PackageId e Activity ).


A tabela Activity_PackageId contém entradas para aplicativos que incluem caminhos para arquivos executáveis ​​(por exemplo ... c: \ programdata \ firefly studios \ tronghold kingdoms \ 2.0.32.1 \ strongholdkingdoms.exe ... ), nomes de arquivos executáveis ​​e também o tempo de expiração para essas entradas. Os valores na coluna Hora de Expiração são armazenados no formato Hora da Época.

As entradas na tabela Activity_PackageId são armazenadas por 30 dias e podem conter informações sobre arquivos executáveis ​​ou documentos que já estão ausentes no disco rígido sob investigação.


Na Tabela de atividades contém os seguintes campos: ID, AppId, PackageIdHash, AppActivityId , ActivityType, ActivityStatus, ParentActivityId, Crachá, Grupo, MatchId, LastModifiedTime, ExpirationTime, Carga, a prioridade, IsLocalOnly, PlatformDeviceId, CreatedInCloud, StartTime, EndTime, LastModifiedOnClient, GroupAppActivityId, ClipboardPayload , EnterpriseId, OriginalLastModifiedOnClient, ETag.

Ele contém até cinco campos de carimbo de data / hora: LastModifiedTime, ExpirationTime, StartTime, EndTime, LastModifiedOnClient (este campo pode estar vazio - será preenchido se o arquivo em questão nesta entrada de tabela tiver sido modificado por um usuário do computador).

Você também pode encontrar caminhos para arquivos executáveis ​​nesta tabela: ... "F: \\ NirSoft \\ x64 \\ USBDeview.exe ...
Gary Hunter (pr3cur50r) no artigo “Linha do tempo do Windows 10 - Revisão inicial de artefatos forenses” indica que os valores do carimbo de data e hora não são alterados para os arquivos excluídos. Para documentos modificados, os valores do carimbo de data e hora não são alterados imediatamente, mas dentro de 24 horas.

Estude a linha do tempo do Windows 10

A maneira mais fácil de visualizar os dados contidos no arquivo ActivitiesCache.db é usar o visualizador de banco de dados SQLite. Por exemplo, o utilitário DB Browser for SQLite gratuito.


Movendo-se pelas tabelas na guia Procurar Dados, você pode visualizar o conteúdo e registrar informações que seriam interessantes durante um estudo específico.

O segundo utilitário que recomendamos é o WxTCmd (analisador de banco de dados da linha de tempo do Windows 10). Este utilitário é executado na linha de comando.


Como resultado de seu trabalho, um arquivo csv é criado contendo os resultados da análise do arquivo ActivitiesCache.db .


O terceiro utilitário que recomendamos é o AXIOM da Magnet Forensics.

Para que o programa analise esse artefato, você deve solicitar ao programa que faça isso na seção "Selecionar artefatos a serem incluídos no caso".


Os resultados da análise de arquivo podem ser visualizados no Magnet AXIOM Examiner.


O quarto utilitário que recomendamos para analisar esses arquivos é o Belkasoft Evidence Center da Belkasoft .

Após adicionar uma fonte de dados (disco rígido, unidade lógica, diretório ou arquivo) na janela Adicionar fonte de dados , na seção Arquivos do sistema , selecione Linha do tempo do Windows .



Depois que a extração de dados for concluída, a categoria Linha do tempo do Windows aparecerá na guia Visão geral , na qual os resultados da extração de dados do arquivo ActivitiesCache.db serão exibidos.

Linha do tempo do Windows 10 no Computer Forensics: colocando-o em prática

Os dados contidos na Linha do tempo do Windows 10 podem ser usados ​​para investigar incidentes ou vazamentos de dados.

Como exemplo, mostraremos alguns dados do arquivo ActivitiesCache.db de um computador que foi atacado por hackers:



Como você pode ver na captura de tela, os atacantes baixaram as vítimas do TeamViewer, um arquivo do compartilhamento de arquivos sendpace.com, Mimikatz, no computador. Uma análise dos eventos armazenados na Linha do tempo do Windows 10 mostra que os invasores abriram os logs do Teamviewer do Bloco de notas (arquivo notepad.exe ) (arquivo TeamViewer14_Logfile.log ) usando o Bloco de notas. Talvez para excluir ou modificar as informações neste arquivo.

Aqui está outro exemplo. Aparentemente, arquivos muito incomuns foram lançados no computador. Provavelmente alguém estava tentando coletar informações sobre o usuário do computador.



Portanto, uma nova categoria de artefatos que apareceu no Windows 10, a Linha do tempo do Windows 10, simplifica o trabalho do pesquisador ao reconstruir eventos que ocorreram no computador em estudo nos últimos 30 dias. Além disso, a Linha do tempo do Windows 10 pode fornecer informações adicionais sobre os arquivos executados no computador em estudo, incluindo os excluídos. Isso é especialmente importante ao investigar incidentes ou vazamentos de dados.