deftcon 2014 - mattia epifani & claudia meda - windows 8 forensics
DESCRIPTION
TRANSCRIPT
WINDOWS 8 FORENSICS
MATTIA EPIFANI (E CLAUDIA MEDA)
DEFTCON
MILANO, 11 APRILE 2014
WINDOWS 8 FORENSICS
COSA VEDREMO
Le «App» in Windows 8
User Assist
Search Charm History
Account locale vs. Account Microsoft
Prefetch File
History File (Internet Explorer)
Thumbnails
APPLICAZIONI
Due tipi di applicazioni
Metro AppApplicazioni Desktop
I classici Programmi
Approvate e certificate da Microsoft
App integrate
App scaricabili dal Microsoft Store
140.000 App
APP INTEGRATE
APP SCARICABILI
METRO APP
Le informazioni relative a ciascuna App sono memorizzate all’interno di 3
nuovi percorsi nel file system
%Root%\Program Files\WindowsApps
%Root%\Users\%User%\AppData\Local\Packages\%App%
%Root%\Users\%User%\AppData\Local\Microsoft\Windows\Application Shortcuts
CARTELLA \PROGRAM FILES\WINDOWSAPPS
Il file LNK rimanda alla
cartella che contiene:
Eseguibile della App
Librerie
File di supporto
Icone
CARTELLA \APPDATA\LOCAL\PACKAGES\%APP%
Per ciascuna Metro App
File di configurazione (es. username,
parametri dell’applicazione, ecc.)
Informazioni sull’applicazione (es.
file scambiati, messaggi, allegati, indirizzi
email, profili visitati, ecc.)
CARTELLA
\APPDATA\LOCAL\MICROSOFT\WINDOWS\APPLICATION SHORTCUTS
Per ciascuna Metro App esiste una
cartella contenente un file LNK
Dall’analisi delle Application
Shortcuts è possibile recuperare la
struttura del Metro Start
(componente App) dello
specifico utente
USERASSIST
Lo User Assist è una chiave già presente all’interno delle precedenti versioni
di Windows
Utile per determinare la frequenza di utilizzo di un’applicazione (per
ciascun utente) e la data di ultima esecuzione dell’applicazione
Per le Metro App le informazioni della chiave UserAssist sono conservate nel
registro UsrClass.dat all’interno della chiave
\LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData
ESEMPIO: ANALISI DELLE COMMUNICATIONS APP
Le configurazione dell’utente sono conservate nella cartella del profilo
AppData\Local\Packages\Microsoft.windowscommunicatisapps_8wekyb3d8bbwe
L'applicazione Contatti può incorporare diversi account (es. Microsoft Live, Facebook, ecc.)
L'applicazione Mail può incorporare diverse caselle di posta elettronica (es. Gmail, Hotmail, ecc.)
Contatti Mail
ESEMPIO: ANALISI DELLE COMMUNICATIONS APP
Cartella
\LocalState\Indexed\LiveComm
InternetUID: identifica
univocamente un utente Microsoft
Una sotto cartella per i dati
dell’applicazione Mail e e una per i
dati dell’applicazione Contatti
ESEMPIO: ANALISI DELLE COMMUNICATIONS APP
Cartella \Mail\
Singoli file .eml
Header in chiaro
Testo in Base64
Problemi in fase di indexing?
ESEMPIO: ANALISI DELLE COMMUNICATIONS APP
Cartella \People\
Cartella AddressBook:contiene i singoli file .eml con info in chiaro come nome, cognome, email, profilo Facebook, ecc.
Cartella Me: informazioni sugli account dell’utente
Cartella AC\INetCache: cache della navigazione attraverso l’applicazione (es. Facebook)
ESEMPIO: ANALISI DELLA APPLICAZIONE SKYPE
Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella
di configurazione del programma
\AppData\Local\Packages\Microsoft.SkypeApp_kzf8qxf38zg5cn\LocalState\%skypeusername%
Le informazioni relative ai file scambiati sono conservate anche nel registro
UsrClass.dat di ciascun utente
\LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppDa
ta\Microsoft.SkypeApp_kzf8qxf38zg5c\PersistedStorageItemTable\ManagedByApp
ESEMPIO: ANALISI DELLA APPLICAZIONE SKYPE
Viene creato un \{GUID} per ciascun file scambiato (inviato/ricevuto)
Per ogni {GUID} esistono cinque valori:
LastUpdateTime: timestamp di
ricezione/invio del file
Flags: valore REG_DWORD
(0x00000005 – Invio / 0x00000000 Ricezione)
FilePath: percorso di salvataggio del file
Link: altre informazioni sul file
SEARCH CHARM HISTORY
Strumento che permette di cercare all'interno del sistema applicazioni, file e impostazioni
Nuovo chiave nel registro NTUSER.DAT
Software\Microsoft\Windows\CurrentVersion\Explorer\SearchHistory\Microsoft.Windows.FileSearchApp
Windows 8 and 8.1: Search Charm History http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html
Search history on Windows 8 and 8.1http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html
SEARCH CHARM HISTORY
ACCOUNT LOCALE VS ACCOUNT MICROSOFT
Esistono due tipologie di account in Windows 8:
Account Locale – classico account presente nei SO precedenti
Account Microsoft – nuova tipologia
ACCOUNT LOCALE VS ACCOUNT MICROSOFT
Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti
Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori
InternetUserName: email utilizzata da utente per registrazione account Microsoft
InternetUID: associa utente (email) a Microsoft Windows Live (si trova in ogni app
che richiede inserimento email da parte dell'utente – es. Skype)
InternetSID: identificativo dell'utente online
GivenName: nome utente associato ad account Microsoft
Surname: cognome utente associato ad account Microsoft
SAMPARSE.PL - REGRIPPER PLUGIN
Estrae informazioni relative all’account Microsoft dell'utente:
Account Type
Internet User Name
Internet UID
Given Name
Surname
Internet Provider GUID
Internet SID
PREFETCH FILE
Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di Windows 128)
Utili fino ad ora in Windows per determinare
Programmi eseguiti (eventualmente anche disinstallati)
Nome dell’applicazione
Numero di esecuzioni
Data e ora di prima esecuzione
Data e ora di ultima esecuzione
http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html
http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
PREFETCH FILE
File signature
1 byte Versione del Sistema Operativo
0x11 XP
0x17 W7
0x18 W8
4 byte signature (SCCA)
4 byte Nome applicazione
PREFETCH FILE
Last Access Time
Timestamp relativo all'ultimo utilizzo dell'applicazione.
Windows 8 memorizza gli ultimi 8 timestamp
mar, 19 novembre 201317.16.11 UTC
mar, 19 novembre 201308.34.27 UTC
PEN DRIVE USB
Presenti due nuovi valori nel registro che memorizzano:
Device Last Insertion Date
Device Last Removal Date
Windows 8 New Registry Artifacts Part 1 - New Device Timestamps
http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html
Device LastRemovalDate & LastArrivalDate Behavior in Windows 8
http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
INTERNET EXPLORER 10 (E SUCCESSIVI)
File di cronologia e cache in un nuovo formato
Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di Windows Search e per altre strutture dati in Windows 7
Es. WebCacheV01.dat
Nirsoft Browsing HistoryView
http://www.nirsoft.net/utils/browsing_history_view.html
Nirsoft ESE Database View
http://www.nirsoft.net/utils/ese_database_view.html
Forensic Analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
CACHE INTERNET EXPLORER
THUMBNAILS
Sono ritornati i file Thumbs.db come in Windows XP…
Ma in un formato diverso
E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente
Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows
7 (anzi di più…)
Windows 8 Thumbs.db files - still the same and not the same!
http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html
WINDOWS PHONE 8 FORENSICS
MATTIA EPIFANI (E CLAUDIA MEDA)
MILANO, 10 APRILE 2014
WINDOWS PHONE 8 FORENSICS
Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC
Utilizza diversi sistemi di protezione
Secure Boot (basato su signed firmware)
Full disk encryption della memoria interna (BitLocker)
Local e Remote Wiping
Lock code
App sandboxing
Non sono al momento disponibili tecniche per:
Passcode cracking
Acquisizione fisica, anche con passcode noto
WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA
L’acquisizione logica è supportata da pochi software forensi e con capacità limitate
UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso
connessione Bluetooth
UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni
del sistema operativo
Seriale del telefono
Versione del S.O.
Immagini
Documenti
Video
Musica
WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA
Le immagini contengono:
Data di scatto
Modello di telefono utilizzato
Informazioni di geoposizionamento (se attive) http://www.gps-coordinates.net/
WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA
I documenti possono contenere metadati interni (Office/PDF)
WINDOWS PHONE 8 FORENSICS – BACKUP
Il backup dei dati utente si può fare solo online su account SkyDrive
Non è possibile quindi trovare un backup sul computer
Nel backup possono essere salvati:
Contatti
SMS
Registro chiamate
Calendario
Lista delle applicazioni installate
Configurazioni delle applicazioni
Immagini, Documenti e Video
I dati di un backup possono essere unicamente ripristinati su un dispositivo con Windows Phone 8
I ricercatori di Elcomsoft stanno studiando metodi per permettere il download del backup (come già hanno fatto per iCloud)
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
Metodo sperimentale (DON TRY IT AT HOME!)
Principio: installare un’applicazione non firmata da Microsoft
Di default non è possibile, tuttavia…
Creando un account MSDN sul sito web Microsoft è possibile associare il dispositivo Windows Phone all’utente sviluppatore
In questo modo si possono caricare 2 applicazioni direttamente da PC
Le applicazioni non devono essere per forza firmate da Microsoft
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
Installo l’applicazione
W8Webserver
http://forum.xda-developers.com/showthread.php?t=2355034
Apre un server web sul dispositivo in ascolto sulla porta 9999
Attivo la connessione WiFi sul dispositivo
Creo una rete tra il dispositivo e il computer di acquisizione
(NON CONNESSA AD INTERNET!)
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
Riesco ad accedere a parte del file system e del registro di sistema
Non è possibile al momento accedere alle cartelle delle
applicazioni…ma stanno arrivando i primi sistemi di
Rooting (già esistenti per i Samsung con WP8)
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
WINDOWS 8 FORENSICS – IISFA MEMBERBOOK 2013
WINDOWS FORENSIC ANALYSIS TOOLKIT, 4TH EDITION
WINDOWS 8 FORENSICS - RIFERIMENTI
Windows 8 Updatehttp://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8-updates.pdf
Windows 8 Forensicshttp://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8-Forensics.pdf
Windows 8 Forensic Guidehttp://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8-forensic-guide2.pdf
Windows 8: a forensic First Lookhttp://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf
What's New in the Prefetch for Windows 8??http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html
Windows Prefetch (.PF) files http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
Forensic Analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
Windows 8 New Registry Artifacts Part 1 - New Device Timestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html
Device LastRemovalDate & LastArrivalDate Behavior in Windows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
Windows 8 Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html
Windows 8 Recovery Forensicshttps://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics-understanding-the-three-rs.pdf
Windows 8: Tracking Opened Photos http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html
Amcache.hve in Windows 8 - Goldmine for malware huntershttp://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html
Amcache.hve - Part 2 http://www.swiftforensics.com/2013/12/amcachehve-part-2.html
DFA OPEN DAY 2014
5 Giugno 2014
Università degli Studi di Milano
Giornata di studio di 8 ore sui temi:
OSINT e Investigazioni Digitali
Security e Incident Response aziendale
Partecipazione gratuita
www.perfezionisti.it
Q&A?
Mattia Epifani
Digital Forensics Analyst & Mobile Device Security Analyst
CEO @ REALITY NET – System Solutions
IISFA Italian Chapter
DFA Association
GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC
Mail [email protected]
Twitter @mattiaep
Linkedin http://www.linkedin.com/in/mattiaepifani
Blog http://mattiaep.blogspot.it