WINDOWS 8 FORENSICS

MATTIA EPIFANI (E CLAUDIA MEDA)

DEFTCON

MILANO, 11 APRILE 2014

WINDOWS 8 FORENSICS

COSA VEDREMO

Le «App» in Windows 8

User Assist

Search Charm History

Account locale vs. Account Microsoft

Prefetch File

History File (Internet Explorer)

Thumbnails

APPLICAZIONI

Due tipi di applicazioni

Metro AppApplicazioni Desktop

I classici Programmi

Approvate e certificate da Microsoft

App integrate

App scaricabili dal Microsoft Store

140.000 App

APP INTEGRATE

APP SCARICABILI

METRO APP

Le informazioni relative a ciascuna App sono memorizzate all’interno di 3

nuovi percorsi nel file system

%Root%\Program Files\WindowsApps

%Root%\Users\%User%\AppData\Local\Packages\%App%

%Root%\Users\%User%\AppData\Local\Microsoft\Windows\Application Shortcuts

CARTELLA \PROGRAM FILES\WINDOWSAPPS

Il file LNK rimanda alla

cartella che contiene:

Eseguibile della App

Librerie

File di supporto

Icone

CARTELLA \APPDATA\LOCAL\PACKAGES\%APP%

Per ciascuna Metro App

File di configurazione (es. username,

parametri dell’applicazione, ecc.)

Informazioni sull’applicazione (es.

file scambiati, messaggi, allegati, indirizzi

email, profili visitati, ecc.)

CARTELLA

\APPDATA\LOCAL\MICROSOFT\WINDOWS\APPLICATION SHORTCUTS

Per ciascuna Metro App esiste una

cartella contenente un file LNK

Dall’analisi delle Application

Shortcuts è possibile recuperare la

struttura del Metro Start

(componente App) dello

specifico utente

USERASSIST

Lo User Assist è una chiave già presente all’interno delle precedenti versioni

di Windows

Utile per determinare la frequenza di utilizzo di un’applicazione (per

ciascun utente) e la data di ultima esecuzione dell’applicazione

Per le Metro App le informazioni della chiave UserAssist sono conservate nel

registro UsrClass.dat all’interno della chiave

\LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData

ESEMPIO: ANALISI DELLE COMMUNICATIONS APP

Le configurazione dell’utente sono conservate nella cartella del profilo

AppData\Local\Packages\Microsoft.windowscommunicatisapps_8wekyb3d8bbwe

L'applicazione Contatti può incorporare diversi account (es. Microsoft Live, Facebook, ecc.)

L'applicazione Mail può incorporare diverse caselle di posta elettronica (es. Gmail, Hotmail, ecc.)

Contatti Mail

ESEMPIO: ANALISI DELLE COMMUNICATIONS APP

Cartella

\LocalState\Indexed\LiveComm

InternetUID: identifica

univocamente un utente Microsoft

Una sotto cartella per i dati

dell’applicazione Mail e e una per i

dati dell’applicazione Contatti

ESEMPIO: ANALISI DELLE COMMUNICATIONS APP

Cartella \Mail\

Singoli file .eml

Header in chiaro

Testo in Base64

Problemi in fase di indexing?

ESEMPIO: ANALISI DELLE COMMUNICATIONS APP

Cartella \People\

Cartella AddressBook:contiene i singoli file .eml con info in chiaro come nome, cognome, email, profilo Facebook, ecc.

Cartella Me: informazioni sugli account dell’utente

Cartella AC\INetCache: cache della navigazione attraverso l’applicazione (es. Facebook)

ESEMPIO: ANALISI DELLA APPLICAZIONE SKYPE

Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella

di configurazione del programma

\AppData\Local\Packages\Microsoft.SkypeApp_kzf8qxf38zg5cn\LocalState\%skypeusername%

Le informazioni relative ai file scambiati sono conservate anche nel registro

UsrClass.dat di ciascun utente

\LocalSettings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppDa

ta\Microsoft.SkypeApp_kzf8qxf38zg5c\PersistedStorageItemTable\ManagedByApp

ESEMPIO: ANALISI DELLA APPLICAZIONE SKYPE

Viene creato un \{GUID} per ciascun file scambiato (inviato/ricevuto)

Per ogni {GUID} esistono cinque valori:

LastUpdateTime: timestamp di

ricezione/invio del file

Flags: valore REG_DWORD

(0x00000005 – Invio / 0x00000000 Ricezione)

FilePath: percorso di salvataggio del file

Link: altre informazioni sul file

SEARCH CHARM HISTORY

Strumento che permette di cercare all'interno del sistema applicazioni, file e impostazioni

Nuovo chiave nel registro NTUSER.DAT

Software\Microsoft\Windows\CurrentVersion\Explorer\SearchHistory\Microsoft.Windows.FileSearchApp

Windows 8 and 8.1: Search Charm History http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html

Search history on Windows 8 and 8.1http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html

SEARCH CHARM HISTORY

ACCOUNT LOCALE VS ACCOUNT MICROSOFT

Esistono due tipologie di account in Windows 8:

Account Locale – classico account presente nei SO precedenti

Account Microsoft – nuova tipologia

ACCOUNT LOCALE VS ACCOUNT MICROSOFT

Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti

Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori

InternetUserName: email utilizzata da utente per registrazione account Microsoft

InternetUID: associa utente (email) a Microsoft Windows Live (si trova in ogni app

che richiede inserimento email da parte dell'utente – es. Skype)

InternetSID: identificativo dell'utente online

GivenName: nome utente associato ad account Microsoft

Surname: cognome utente associato ad account Microsoft

SAMPARSE.PL - REGRIPPER PLUGIN

Estrae informazioni relative all’account Microsoft dell'utente:

Account Type

Internet User Name

Internet UID

Given Name

Surname

Internet Provider GUID

Internet SID

PREFETCH FILE

Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di Windows 128)

Utili fino ad ora in Windows per determinare

Programmi eseguiti (eventualmente anche disinstallati)

Nome dell’applicazione

Numero di esecuzioni

Data e ora di prima esecuzione

Data e ora di ultima esecuzione

http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html

http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html

PREFETCH FILE

File signature

1 byte Versione del Sistema Operativo

0x11 XP

0x17 W7

0x18 W8

4 byte signature (SCCA)

4 byte Nome applicazione

PREFETCH FILE

Last Access Time

Timestamp relativo all'ultimo utilizzo dell'applicazione.

Windows 8 memorizza gli ultimi 8 timestamp

mar, 19 novembre 201317.16.11 UTC

mar, 19 novembre 201308.34.27 UTC

PEN DRIVE USB

Presenti due nuovi valori nel registro che memorizzano:

Device Last Insertion Date

Device Last Removal Date

Windows 8 New Registry Artifacts Part 1 - New Device Timestamps

http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html

Device LastRemovalDate & LastArrivalDate Behavior in Windows 8

http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html

INTERNET EXPLORER 10 (E SUCCESSIVI)

File di cronologia e cache in un nuovo formato

Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di Windows Search e per altre strutture dati in Windows 7

Es. WebCacheV01.dat

Nirsoft Browsing HistoryView

http://www.nirsoft.net/utils/browsing_history_view.html

Nirsoft ESE Database View

http://www.nirsoft.net/utils/ese_database_view.html

Forensic Analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf

CACHE INTERNET EXPLORER

THUMBNAILS

Sono ritornati i file Thumbs.db come in Windows XP…

Ma in un formato diverso

E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente

Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows

7 (anzi di più…)

Windows 8 Thumbs.db files - still the same and not the same!

http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html

WINDOWS PHONE 8 FORENSICS

MATTIA EPIFANI (E CLAUDIA MEDA)

MILANO, 10 APRILE 2014

WINDOWS PHONE 8 FORENSICS

Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC

Utilizza diversi sistemi di protezione

Secure Boot (basato su signed firmware)

Full disk encryption della memoria interna (BitLocker)

Local e Remote Wiping

Lock code

App sandboxing

Non sono al momento disponibili tecniche per:

Passcode cracking

Acquisizione fisica, anche con passcode noto

WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA

L’acquisizione logica è supportata da pochi software forensi e con capacità limitate

UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso

connessione Bluetooth

UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni

del sistema operativo

Seriale del telefono

Versione del S.O.

Immagini

Documenti

Video

Musica

WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA

Le immagini contengono:

Data di scatto

Modello di telefono utilizzato

Informazioni di geoposizionamento (se attive) http://www.gps-coordinates.net/

WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA

I documenti possono contenere metadati interni (Office/PDF)

WINDOWS PHONE 8 FORENSICS – BACKUP

Il backup dei dati utente si può fare solo online su account SkyDrive

Non è possibile quindi trovare un backup sul computer

Nel backup possono essere salvati:

Contatti

SMS

Registro chiamate

Calendario

Lista delle applicazioni installate

Configurazioni delle applicazioni

Immagini, Documenti e Video

I dati di un backup possono essere unicamente ripristinati su un dispositivo con Windows Phone 8

I ricercatori di Elcomsoft stanno studiando metodi per permettere il download del backup (come già hanno fatto per iCloud)

WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM

Metodo sperimentale (DON TRY IT AT HOME!)

Principio: installare un’applicazione non firmata da Microsoft

Di default non è possibile, tuttavia…

Creando un account MSDN sul sito web Microsoft è possibile associare il dispositivo Windows Phone all’utente sviluppatore

In questo modo si possono caricare 2 applicazioni direttamente da PC

Le applicazioni non devono essere per forza firmate da Microsoft

WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM

Installo l’applicazione

W8Webserver

http://forum.xda-developers.com/showthread.php?t=2355034

Apre un server web sul dispositivo in ascolto sulla porta 9999

Attivo la connessione WiFi sul dispositivo

Creo una rete tra il dispositivo e il computer di acquisizione

(NON CONNESSA AD INTERNET!)

WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM

Riesco ad accedere a parte del file system e del registro di sistema

Non è possibile al momento accedere alle cartelle delle

applicazioni…ma stanno arrivando i primi sistemi di

Rooting (già esistenti per i Samsung con WP8)

WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM

WINDOWS 8 FORENSICS – IISFA MEMBERBOOK 2013

WINDOWS FORENSIC ANALYSIS TOOLKIT, 4TH EDITION

WINDOWS 8 FORENSICS - RIFERIMENTI

Windows 8 Updatehttp://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8-updates.pdf

Windows 8 Forensicshttp://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8-Forensics.pdf

Windows 8 Forensic Guidehttp://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8-forensic-guide2.pdf

Windows 8: a forensic First Lookhttp://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf

What's New in the Prefetch for Windows 8??http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html

Windows Prefetch (.PF) files http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html

Forensic Analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf

Windows 8 New Registry Artifacts Part 1 - New Device Timestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html

Device LastRemovalDate & LastArrivalDate Behavior in Windows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html

Windows 8 Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html

Windows 8 Recovery Forensicshttps://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics-understanding-the-three-rs.pdf

Windows 8: Tracking Opened Photos http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html

Amcache.hve in Windows 8 - Goldmine for malware huntershttp://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html

Amcache.hve - Part 2 http://www.swiftforensics.com/2013/12/amcachehve-part-2.html

DFA OPEN DAY 2014

5 Giugno 2014

Università degli Studi di Milano

Giornata di studio di 8 ore sui temi:

OSINT e Investigazioni Digitali

Security e Incident Response aziendale

Partecipazione gratuita

www.perfezionisti.it

Q&A?

Mattia Epifani

Digital Forensics Analyst & Mobile Device Security Analyst

CEO @ REALITY NET – System Solutions

IISFA Italian Chapter

DFA Association

GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE, AME, ACE, MPSC

Mail mattia.epifani@realitynet.it

Twitter @mattiaep

Linkedin http://www.linkedin.com/in/mattiaepifani

Blog http://mattiaep.blogspot.it