Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

1. WINDOWS 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) DEFTCON MILANO, 11 APRILE 2014

2. WINDOWS 8 FORENSICS COSAVEDREMO  Le «App» in Windows 8  User Assist  Search Charm History  Account locale vs.Account Microsoft  Prefetch File  History File (Internet Explorer)  Thumbnails

3. APPLICAZIONI Due tipi di applicazioni Metro App Applicazioni Desktop I classici Programmi  Approvate e certificate da Microsoft  App integrate  App scaricabili dal Microsoft Store  140.000 App

4. APP INTEGRATE

5. APP SCARICABILI

6. METRO APP  Le informazioni relative a ciascuna App sono memorizzate all’interno di 3 nuovi percorsi nel file system  %Root%Program FilesWindowsApps  %Root%Users%User%AppDataLocalPackages%App%  %Root%Users%User%AppDataLocalMicrosoftWindowsApplication Shortcuts

7. CARTELLA PROGRAM FILESWINDOWSAPPS  Il file LNK rimanda alla cartella che contiene:  Eseguibile della App  Librerie  File di supporto  Icone

8. CARTELLA APPDATALOCALPACKAGES%APP%  Per ciascuna Metro App  File di configurazione (es. username, parametri dell’applicazione, ecc.)  Informazioni sull’applicazione (es. file scambiati, messaggi, allegati, indirizzi email, profili visitati, ecc.)

9. CARTELLA APPDATALOCALMICROSOFTWINDOWSAPPLICATION SHORTCUTS  Per ciascuna Metro App esiste una cartella contenente un file LNK  Dall’analisi delle Application Shortcuts è possibile recuperare la struttura del Metro Start (componente App) dello specifico utente

10. USERASSIST  Lo User Assist è una chiave già presente all’interno delle precedenti versioni di Windows  Utile per determinare la frequenza di utilizzo di un’applicazione (per ciascun utente) e la data di ultima esecuzione dell’applicazione  Per le Metro App le informazioni della chiave UserAssist sono conservate nel registro UsrClass.dat all’interno della chiave LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppData

11. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Le configurazione dell’utente sono conservate nella cartella del profilo AppDataLocalPackagesMicrosoft.windowscommunicatisapps_8wekyb3d8bbwe  L'applicazione Contatti può incorporare diversi account (es. Microsoft Live, Facebook, ecc.)  L'applicazione Mail può incorporare diverse caselle di posta elettronica (es. Gmail, Hotmail, ecc.) Contatti Mail

12. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella LocalStateIndexedLiveComm  InternetUID: identifica univocamente un utente Microsoft  Una sotto cartella per i dati dell’applicazione Mail e e una per i dati dell’applicazione Contatti

13. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella Mail  Singoli file .eml  Header in chiaro  Testo in Base64  Problemi in fase di indexing?

14. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella People  Cartella AddressBook: contiene i singoli file .eml con info in chiaro come nome, cognome, email, profilo Facebook, ecc.  Cartella Me: informazioni sugli account dell’utente  Cartella ACINetCache: cache della navigazione attraverso l’applicazione (es. Facebook)

15. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella di configurazione del programma AppDataLocalPackagesMicrosoft.SkypeApp_kzf8qxf38zg5cnLocalState%skypeusername%  Le informazioni relative ai file scambiati sono conservate anche nel registro UsrClass.dat di ciascun utente LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppDa taMicrosoft.SkypeApp_kzf8qxf38zg5cPersistedStorageItemTableManagedByApp

16. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Viene creato un {GUID} per ciascun file scambiato (inviato/ricevuto)  Per ogni {GUID} esistono cinque valori:  LastUpdateTime: timestamp di ricezione/invio del file  Flags: valore REG_DWORD (0x00000005 – Invio / 0x00000000 Ricezione)  FilePath: percorso di salvataggio del file  Link: altre informazioni sul file

17. SEARCH CHARM HISTORY  Strumento che permette di cercare all'interno del sistema applicazioni, file e impostazioni  Nuovo chiave nel registro NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionExplorerSearchHistoryMicrosoft.Window s.FileSearchApp  Windows 8 and 8.1: Search Charm History http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html  Search history onWindows 8 and 8.1 http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html

18. SEARCH CHARM HISTORY

19. ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Esistono due tipologie di account in Windows 8:  Account Locale – classico account presente nei SO precedenti  Account Microsoft – nuova tipologia

20. ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti  Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori  InternetUserName: email utilizzata da utente per registrazione account Microsoft  InternetUID: associa utente (email) a MicrosoftWindows Live (si trova in ogni app che richiede inserimento email da parte dell'utente – es. Skype)  InternetSID: identificativo dell'utente online  GivenName: nome utente associato ad account Microsoft  Surname: cognome utente associato ad account Microsoft

21. SAMPARSE.PL - REGRIPPER PLUGIN  Estrae informazioni relative all’account Microsoft dell'utente:  Account Type  Internet User Name  Internet UID  Given Name  Surname  Internet Provider GUID  Internet SID

22. PREFETCH FILE  Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di Windows 128)  Utili fino ad ora in Windows per determinare  Programmi eseguiti (eventualmente anche disinstallati)  Nome dell’applicazione  Numero di esecuzioni  Data e ora di prima esecuzione  Data e ora di ultima esecuzione  http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html

23. PREFETCH FILE  File signature  1 byte Versione del Sistema Operativo  0x11 XP  0x17W7  0x18W8  4 byte  signature (SCCA)  4 byte  Nome applicazione

24. PREFETCH FILE  Last AccessTime  Timestamp relativo all'ultimo utilizzo dell'applicazione.  Windows 8 memorizza gli ultimi 8 timestamp mar, 19 novembre 2013 17.16.11 UTC mar, 19 novembre 2013 08.34.27 UTC

25. PEN DRIVE USB  Presenti due nuovi valori nel registro che memorizzano:  Device Last Insertion Date  Device Last Removal Date  Windows 8 New Registry Artifacts Part 1 - New DeviceTimestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior inWindows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html

26. INTERNET EXPLORER 10 (E SUCCESSIVI)  File di cronologia e cache in un nuovo formato  Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di Windows Search e per altre strutture dati in Windows 7  Es. WebCacheV01.dat  Nirsoft Browsing HistoryView  http://www.nirsoft.net/utils/browsing_history_view.html  Nirsoft ESE DatabaseView  http://www.nirsoft.net/utils/ese_database_view.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf

27. CACHE INTERNET EXPLORER

28. THUMBNAILS  Sono ritornati i fileThumbs.db come in Windows XP…  Ma in un formato diverso  E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente  Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows 7 (anzi di più…)  Windows 8Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html

29. WINDOWS PHONE 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) MILANO, 10 APRILE 2014

30. WINDOWS PHONE 8 FORENSICS  Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC  Utilizza diversi sistemi di protezione  Secure Boot (basato su signed firmware)  Full disk encryption della memoria interna (BitLocker)  Local e Remote Wiping  Lock code  App sandboxing  Non sono al momento disponibili tecniche per:  Passcode cracking  Acquisizione fisica, anche con passcode noto

31. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  L’acquisizione logica è supportata da pochi software forensi e con capacità limitate  UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso connessione Bluetooth  UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni del sistema operativo  Seriale del telefono  Versione del S.O.  Immagini  Documenti  Video  Musica

32. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  Le immagini contengono:  Data di scatto  Modello di telefono utilizzato  Informazioni di geoposizionamento (se attive)  http://www.gps-coordinates.net/

33. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  I documenti possono contenere metadati interni (Office/PDF)

34. WINDOWS PHONE 8 FORENSICS – BACKUP  Il backup dei dati utente si può fare solo online su account SkyDrive  Non è possibile quindi trovare un backup sul computer  Nel backup possono essere salvati:  Contatti  SMS  Registro chiamate  Calendario  Lista delle applicazioni installate  Configurazioni delle applicazioni  Immagini, Documenti eVideo  I dati di un backup possono essere unicamente ripristinati su un dispositivo conWindows Phone 8  I ricercatori di Elcomsoft stanno studiando metodi per permettere il download del backup (come già hanno fatto per iCloud)

35. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Metodo sperimentale (DONTRY IT AT HOME!)  Principio: installare un’applicazione non firmata da Microsoft  Di default non è possibile, tuttavia…  Creando un account MSDN sul sito web Microsoft è possibile associare il dispositivo Windows Phone all’utente sviluppatore  In questo modo si possono caricare 2 applicazioni direttamente da PC  Le applicazioni non devono essere per forza firmate da Microsoft

36. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Installo l’applicazione  W8Webserver http://forum.xda-developers.com/showthread.php?t=2355034  Apre un server web sul dispositivo in ascolto sulla porta 9999  Attivo la connessioneWiFi sul dispositivo  Creo una rete tra il dispositivo e il computer di acquisizione (NON CONNESSA AD INTERNET!)

37. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Riesco ad accedere a parte del file system e del registro di sistema  Non è possibile al momento accedere alle cartelle delle applicazioni…ma stanno arrivando i primi sistemi di Rooting (già esistenti per i Samsung con WP8)

38. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM

39. WINDOWS 8 FORENSICS – IISFA MEMBERBOOK 2013

40. WINDOWS FORENSIC ANALYSIS TOOLKIT, 4TH EDITION

41. WINDOWS 8 FORENSICS - RIFERIMENTI  Windows 8 Update http://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8- updates.pdf  Windows 8 Forensics http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8- Forensics.pdf  Windows 8 Forensic Guide http://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8- forensic-guide2.pdf  Windows 8: a forensic First Look http://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf  What's New in the Prefetch for Windows 8?? http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  Windows Prefetch (.PF) files http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf  Windows 8 New Registry Artifacts Part 1 - New Device Timestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior in Windows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html  Windows 8 Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same- and.html  Windows 8 Recovery Forensics https://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics- understanding-the-three-rs.pdf  Windows 8: Tracking Opened Photos http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html  Amcache.hve in Windows 8 - Goldmine for malware hunters http://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html  Amcache.hve - Part 2 http://www.swiftforensics.com/2013/12/amcachehve-part-2.html

42. DFA OPEN DAY 2014  5 Giugno 2014  Università degli Studi di Milano  Giornata di studio di 8 ore sui temi:  OSINT e Investigazioni Digitali  Security e Incident Response aziendale  Partecipazione gratuita  www.perfezionisti.it

43. Q&A? Mattia Epifani  Digital Forensics Analyst & Mobile Device Security Analyst  CEO @ REALITY NET – System Solutions  IISFA Italian Chapter  DFA Association  GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

Recommended

More Related Content

Viewers also liked

Viewers also liked(18)

Similar to Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

Similar to Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics(20)

More from Deft Association

More from Deft Association(17)

Recently uploaded

Recently uploaded(7)

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics