Die Registry eines Windows-Systems bietet eine Vielzahl von wertvollen Informationen. So auch für die Analyse der an ein Windows-System angeschlossenen USB-Geräte. Zusätzlich zu den relevanten Hardwareinformationen kann man aus der Auswertung der setupapi.log und den User Assist Keys weitere wesentliche Erkenntnisse erlangen.
Die History der an ein Windows-System angeschlossenen USB-Geräte wird in folgendem Registry-Key gespeichert:
HKEY_LOCAL_MACHINE\System\ControlSet00x\Enum\USBSTOR
Welches Control Set vom System verwendet wird, kann dem Key HKEY_LOCAL_MACHINE\System\Select\Current entnommen werden. Jedes USB-Gerät, dass jemals mit dem System verbunden wurde, hat eine Instanzen ID im darunter liegenden Key USBSTOR. Zum Nachvollziehen der Timeline, zu welchem Zeitpunkt welches USB-Gerät am System angeschlossen war, sollte zuerst der Wert „LastWrite“ herangezogen werden. Dieser Wert ist jedem Key in der gesamten Registry zugeordnet und mit dem normalen Registry-Viewer nicht sichtbar. Dieser Wert zeigt an, zu welchem Zeitpunkt der zugehörig Registy-Key zuletzt geschrieben wurde. In unserem Fall ist es wichtig auseinanderzuhalten, dass der Wert anzeigt, wann der Registry-Key zuletzt geschrieben wurde und nicht, wann auf den Datenträger geschrieben wurde oder wann dieser das letzte Mal angeschlossen wurde. Um dies herauszufinden, gibt es mehrere weitere Analyseansätze. Zum einen kann der Key HKEY_LOCAL_MACHINE\SYSTEM\MountDevices\ ausgewertet werden, da dieser anzeigt, auf welchen Laufwerksbuchstaben ein USB-Gerät gemapped war. Zum anderen finden sich sowohl in den User Assist-Keys und den MRU-Keys bzw. -Listen weitere wertvolle Informationen um das Gesamtbild zu erhalten.
Da die wenigsten Leute diese Analysen mühsam per Hand durchführen wollen, gibt es hier eine kurze – nicht vollständige – Übersicht über die verfügbaren Hilfsmittel:
- USBdeview von nirsoft.net (siehe Screenshot) liefert eine sehr ausführliche Übersicht über die USB History (wann erstellt, wann das letzte mal angeschlossen, wo gemapped etc.)
- usbhistory ist ein textbasiertes Tool, welches einen schnellen Überblick über die USB History eines laufenden Systems gibt (siehe Screenshot)
- X-Ways Forensics liefert ebenfalls einen Bericht über angeschlossene USB-Geräte aus einem forensischen Datenträgerimage oder einer Registry-Datei
- Lance Mueller hat auf seiner Webseite ein EnScript veröffentlicht, welches eine Analyse der USB History mit EnCase ermöglicht
- Harlan Carvey hat in seinem Incident Response Script RegRipper ebenfalls ein Plugin, welches die USB History auswerten kann
- Access Data’s FTK enthält einen Registry Viewer, der in einem Report Auskunft über die angeschlossenen USB-Geräte gibt.
Um aber später die Funktionsweise der Werkzeuge zu verstehen und erklären zu können, sollte jeder Ermittler wissen wo im System die entsprechenden Spuren zu finden sind.