Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

2,003 views

Published on

Published in: Law
  • Be the first to comment

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

  1. 1. WINDOWS 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) DEFTCON MILANO, 11 APRILE 2014
  2. 2. WINDOWS 8 FORENSICS COSAVEDREMO  Le «App» in Windows 8  User Assist  Search Charm History  Account locale vs.Account Microsoft  Prefetch File  History File (Internet Explorer)  Thumbnails
  3. 3. APPLICAZIONI Due tipi di applicazioni Metro App Applicazioni Desktop I classici Programmi  Approvate e certificate da Microsoft  App integrate  App scaricabili dal Microsoft Store  140.000 App
  4. 4. APP INTEGRATE
  5. 5. APP SCARICABILI
  6. 6. METRO APP  Le informazioni relative a ciascuna App sono memorizzate all’interno di 3 nuovi percorsi nel file system  %Root%Program FilesWindowsApps  %Root%Users%User%AppDataLocalPackages%App%  %Root%Users%User%AppDataLocalMicrosoftWindowsApplication Shortcuts
  7. 7. CARTELLA PROGRAM FILESWINDOWSAPPS  Il file LNK rimanda alla cartella che contiene:  Eseguibile della App  Librerie  File di supporto  Icone
  8. 8. CARTELLA APPDATALOCALPACKAGES%APP%  Per ciascuna Metro App  File di configurazione (es. username, parametri dell’applicazione, ecc.)  Informazioni sull’applicazione (es. file scambiati, messaggi, allegati, indirizzi email, profili visitati, ecc.)
  9. 9. CARTELLA APPDATALOCALMICROSOFTWINDOWSAPPLICATION SHORTCUTS  Per ciascuna Metro App esiste una cartella contenente un file LNK  Dall’analisi delle Application Shortcuts è possibile recuperare la struttura del Metro Start (componente App) dello specifico utente
  10. 10. USERASSIST  Lo User Assist è una chiave già presente all’interno delle precedenti versioni di Windows  Utile per determinare la frequenza di utilizzo di un’applicazione (per ciascun utente) e la data di ultima esecuzione dell’applicazione  Per le Metro App le informazioni della chiave UserAssist sono conservate nel registro UsrClass.dat all’interno della chiave LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppData
  11. 11. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Le configurazione dell’utente sono conservate nella cartella del profilo AppDataLocalPackagesMicrosoft.windowscommunicatisapps_8wekyb3d8bbwe  L'applicazione Contatti può incorporare diversi account (es. Microsoft Live, Facebook, ecc.)  L'applicazione Mail può incorporare diverse caselle di posta elettronica (es. Gmail, Hotmail, ecc.) Contatti Mail
  12. 12. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella LocalStateIndexedLiveComm  InternetUID: identifica univocamente un utente Microsoft  Una sotto cartella per i dati dell’applicazione Mail e e una per i dati dell’applicazione Contatti
  13. 13. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella Mail  Singoli file .eml  Header in chiaro  Testo in Base64  Problemi in fase di indexing?
  14. 14. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella People  Cartella AddressBook: contiene i singoli file .eml con info in chiaro come nome, cognome, email, profilo Facebook, ecc.  Cartella Me: informazioni sugli account dell’utente  Cartella ACINetCache: cache della navigazione attraverso l’applicazione (es. Facebook)
  15. 15. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella di configurazione del programma AppDataLocalPackagesMicrosoft.SkypeApp_kzf8qxf38zg5cnLocalState%skypeusername%  Le informazioni relative ai file scambiati sono conservate anche nel registro UsrClass.dat di ciascun utente LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppDa taMicrosoft.SkypeApp_kzf8qxf38zg5cPersistedStorageItemTableManagedByApp
  16. 16. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Viene creato un {GUID} per ciascun file scambiato (inviato/ricevuto)  Per ogni {GUID} esistono cinque valori:  LastUpdateTime: timestamp di ricezione/invio del file  Flags: valore REG_DWORD (0x00000005 – Invio / 0x00000000 Ricezione)  FilePath: percorso di salvataggio del file  Link: altre informazioni sul file
  17. 17. SEARCH CHARM HISTORY  Strumento che permette di cercare all'interno del sistema applicazioni, file e impostazioni  Nuovo chiave nel registro NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionExplorerSearchHistoryMicrosoft.Window s.FileSearchApp  Windows 8 and 8.1: Search Charm History http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html  Search history onWindows 8 and 8.1 http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html
  18. 18. SEARCH CHARM HISTORY
  19. 19. ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Esistono due tipologie di account in Windows 8:  Account Locale – classico account presente nei SO precedenti  Account Microsoft – nuova tipologia
  20. 20. ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti  Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori  InternetUserName: email utilizzata da utente per registrazione account Microsoft  InternetUID: associa utente (email) a MicrosoftWindows Live (si trova in ogni app che richiede inserimento email da parte dell'utente – es. Skype)  InternetSID: identificativo dell'utente online  GivenName: nome utente associato ad account Microsoft  Surname: cognome utente associato ad account Microsoft
  21. 21. SAMPARSE.PL - REGRIPPER PLUGIN  Estrae informazioni relative all’account Microsoft dell'utente:  Account Type  Internet User Name  Internet UID  Given Name  Surname  Internet Provider GUID  Internet SID
  22. 22. PREFETCH FILE  Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di Windows 128)  Utili fino ad ora in Windows per determinare  Programmi eseguiti (eventualmente anche disinstallati)  Nome dell’applicazione  Numero di esecuzioni  Data e ora di prima esecuzione  Data e ora di ultima esecuzione  http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
  23. 23. PREFETCH FILE  File signature  1 byte Versione del Sistema Operativo  0x11 XP  0x17W7  0x18W8  4 byte  signature (SCCA)  4 byte  Nome applicazione
  24. 24. PREFETCH FILE  Last AccessTime  Timestamp relativo all'ultimo utilizzo dell'applicazione.  Windows 8 memorizza gli ultimi 8 timestamp mar, 19 novembre 2013 17.16.11 UTC mar, 19 novembre 2013 08.34.27 UTC
  25. 25. PEN DRIVE USB  Presenti due nuovi valori nel registro che memorizzano:  Device Last Insertion Date  Device Last Removal Date  Windows 8 New Registry Artifacts Part 1 - New DeviceTimestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior inWindows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
  26. 26. INTERNET EXPLORER 10 (E SUCCESSIVI)  File di cronologia e cache in un nuovo formato  Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di Windows Search e per altre strutture dati in Windows 7  Es. WebCacheV01.dat  Nirsoft Browsing HistoryView  http://www.nirsoft.net/utils/browsing_history_view.html  Nirsoft ESE DatabaseView  http://www.nirsoft.net/utils/ese_database_view.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
  27. 27. CACHE INTERNET EXPLORER
  28. 28. THUMBNAILS  Sono ritornati i fileThumbs.db come in Windows XP…  Ma in un formato diverso  E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente  Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows 7 (anzi di più…)  Windows 8Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html
  29. 29. WINDOWS PHONE 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) MILANO, 10 APRILE 2014
  30. 30. WINDOWS PHONE 8 FORENSICS  Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC  Utilizza diversi sistemi di protezione  Secure Boot (basato su signed firmware)  Full disk encryption della memoria interna (BitLocker)  Local e Remote Wiping  Lock code  App sandboxing  Non sono al momento disponibili tecniche per:  Passcode cracking  Acquisizione fisica, anche con passcode noto
  31. 31. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  L’acquisizione logica è supportata da pochi software forensi e con capacità limitate  UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso connessione Bluetooth  UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni del sistema operativo  Seriale del telefono  Versione del S.O.  Immagini  Documenti  Video  Musica
  32. 32. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  Le immagini contengono:  Data di scatto  Modello di telefono utilizzato  Informazioni di geoposizionamento (se attive)  http://www.gps-coordinates.net/
  33. 33. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  I documenti possono contenere metadati interni (Office/PDF)
  34. 34. WINDOWS PHONE 8 FORENSICS – BACKUP  Il backup dei dati utente si può fare solo online su account SkyDrive  Non è possibile quindi trovare un backup sul computer  Nel backup possono essere salvati:  Contatti  SMS  Registro chiamate  Calendario  Lista delle applicazioni installate  Configurazioni delle applicazioni  Immagini, Documenti eVideo  I dati di un backup possono essere unicamente ripristinati su un dispositivo conWindows Phone 8  I ricercatori di Elcomsoft stanno studiando metodi per permettere il download del backup (come già hanno fatto per iCloud)
  35. 35. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Metodo sperimentale (DONTRY IT AT HOME!)  Principio: installare un’applicazione non firmata da Microsoft  Di default non è possibile, tuttavia…  Creando un account MSDN sul sito web Microsoft è possibile associare il dispositivo Windows Phone all’utente sviluppatore  In questo modo si possono caricare 2 applicazioni direttamente da PC  Le applicazioni non devono essere per forza firmate da Microsoft
  36. 36. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Installo l’applicazione  W8Webserver http://forum.xda-developers.com/showthread.php?t=2355034  Apre un server web sul dispositivo in ascolto sulla porta 9999  Attivo la connessioneWiFi sul dispositivo  Creo una rete tra il dispositivo e il computer di acquisizione (NON CONNESSA AD INTERNET!)
  37. 37. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Riesco ad accedere a parte del file system e del registro di sistema  Non è possibile al momento accedere alle cartelle delle applicazioni…ma stanno arrivando i primi sistemi di Rooting (già esistenti per i Samsung con WP8)
  38. 38. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
  39. 39. WINDOWS 8 FORENSICS – IISFA MEMBERBOOK 2013
  40. 40. WINDOWS FORENSIC ANALYSIS TOOLKIT, 4TH EDITION
  41. 41. WINDOWS 8 FORENSICS - RIFERIMENTI  Windows 8 Update http://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8- updates.pdf  Windows 8 Forensics http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8- Forensics.pdf  Windows 8 Forensic Guide http://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8- forensic-guide2.pdf  Windows 8: a forensic First Look http://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf  What's New in the Prefetch for Windows 8?? http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  Windows Prefetch (.PF) files http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf  Windows 8 New Registry Artifacts Part 1 - New Device Timestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior in Windows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html  Windows 8 Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same- and.html  Windows 8 Recovery Forensics https://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics- understanding-the-three-rs.pdf  Windows 8: Tracking Opened Photos http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html  Amcache.hve in Windows 8 - Goldmine for malware hunters http://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html  Amcache.hve - Part 2 http://www.swiftforensics.com/2013/12/amcachehve-part-2.html
  42. 42. DFA OPEN DAY 2014  5 Giugno 2014  Università degli Studi di Milano  Giornata di studio di 8 ore sui temi:  OSINT e Investigazioni Digitali  Security e Incident Response aziendale  Partecipazione gratuita  www.perfezionisti.it
  43. 43. Q&A? Mattia Epifani  Digital Forensics Analyst & Mobile Device Security Analyst  CEO @ REALITY NET – System Solutions  IISFA Italian Chapter  DFA Association  GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it

×