2. WINDOWS 8 FORENSICS
COSAVEDREMO
Le «App» in Windows 8
User Assist
Search Charm History
Account locale vs.Account Microsoft
Prefetch File
History File (Internet Explorer)
Thumbnails
3. APPLICAZIONI
Due tipi di applicazioni
Metro App
Applicazioni Desktop
I classici Programmi
Approvate e certificate da Microsoft
App integrate
App scaricabili dal Microsoft Store
140.000 App
6. METRO APP
Le informazioni relative a ciascuna App sono memorizzate all’interno di 3
nuovi percorsi nel file system
%Root%Program FilesWindowsApps
%Root%Users%User%AppDataLocalPackages%App%
%Root%Users%User%AppDataLocalMicrosoftWindowsApplication Shortcuts
7. CARTELLA PROGRAM FILESWINDOWSAPPS
Il file LNK rimanda alla
cartella che contiene:
Eseguibile della App
Librerie
File di supporto
Icone
8. CARTELLA APPDATALOCALPACKAGES%APP%
Per ciascuna Metro App
File di configurazione (es. username,
parametri dell’applicazione, ecc.)
Informazioni sull’applicazione (es.
file scambiati, messaggi, allegati, indirizzi
email, profili visitati, ecc.)
9. CARTELLA
APPDATALOCALMICROSOFTWINDOWSAPPLICATION SHORTCUTS
Per ciascuna Metro App esiste una
cartella contenente un file LNK
Dall’analisi delle Application
Shortcuts è possibile recuperare la
struttura del Metro Start
(componente App) dello
specifico utente
10. USERASSIST
Lo User Assist è una chiave già presente all’interno delle precedenti versioni
di Windows
Utile per determinare la frequenza di utilizzo di un’applicazione (per
ciascun utente) e la data di ultima esecuzione dell’applicazione
Per le Metro App le informazioni della chiave UserAssist sono conservate nel
registro UsrClass.dat all’interno della chiave
LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppData
11. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP
Le configurazione dell’utente sono conservate nella cartella del profilo
AppDataLocalPackagesMicrosoft.windowscommunicatisapps_8wekyb3d8bbwe
L'applicazione Contatti può incorporare diversi account (es. Microsoft Live,
Facebook, ecc.)
L'applicazione Mail può incorporare diverse caselle di posta elettronica (es.
Gmail, Hotmail, ecc.)
Contatti Mail
12. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP
Cartella
LocalStateIndexedLiveComm
InternetUID: identifica
univocamente un utente Microsoft
Una sotto cartella per i dati
dell’applicazione Mail e e una per i
dati dell’applicazione Contatti
13. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP
Cartella Mail
Singoli file .eml
Header in chiaro
Testo in Base64
Problemi in fase di indexing?
14. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP
Cartella People
Cartella AddressBook:
contiene i singoli file .eml con
info in chiaro come nome,
cognome, email, profilo
Facebook, ecc.
Cartella Me: informazioni sugli
account dell’utente
Cartella ACINetCache: cache
della navigazione attraverso
l’applicazione (es. Facebook)
15. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE
Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella
di configurazione del programma
AppDataLocalPackagesMicrosoft.SkypeApp_kzf8qxf38zg5cnLocalState%skypeusername%
Le informazioni relative ai file scambiati sono conservate anche nel registro
UsrClass.dat di ciascun utente
LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppDa
taMicrosoft.SkypeApp_kzf8qxf38zg5cPersistedStorageItemTableManagedByApp
16. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE
Viene creato un {GUID} per ciascun file scambiato (inviato/ricevuto)
Per ogni {GUID} esistono cinque valori:
LastUpdateTime: timestamp di
ricezione/invio del file
Flags: valore REG_DWORD
(0x00000005 – Invio / 0x00000000 Ricezione)
FilePath: percorso di salvataggio del file
Link: altre informazioni sul file
17. SEARCH CHARM HISTORY
Strumento che permette di cercare all'interno del sistema applicazioni, file e
impostazioni
Nuovo chiave nel registro NTUSER.DAT
SoftwareMicrosoftWindowsCurrentVersionExplorerSearchHistoryMicrosoft.Window
s.FileSearchApp
Windows 8 and 8.1: Search Charm History
http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html
Search history onWindows 8 and 8.1
http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html
19. ACCOUNT LOCALEVS ACCOUNT MICROSOFT
Esistono due tipologie di account in Windows 8:
Account Locale – classico account presente nei SO precedenti
Account Microsoft – nuova tipologia
20. ACCOUNT LOCALEVS ACCOUNT MICROSOFT
Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti
Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori
InternetUserName: email utilizzata da utente per registrazione account Microsoft
InternetUID: associa utente (email) a MicrosoftWindows Live (si trova in ogni app
che richiede inserimento email da parte dell'utente – es. Skype)
InternetSID: identificativo dell'utente online
GivenName: nome utente associato ad account Microsoft
Surname: cognome utente associato ad account Microsoft
21. SAMPARSE.PL - REGRIPPER PLUGIN
Estrae informazioni relative all’account Microsoft dell'utente:
Account Type
Internet User Name
Internet UID
Given Name
Surname
Internet Provider GUID
Internet SID
22. PREFETCH FILE
Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di
Windows 128)
Utili fino ad ora in Windows per determinare
Programmi eseguiti (eventualmente anche disinstallati)
Nome dell’applicazione
Numero di esecuzioni
Data e ora di prima esecuzione
Data e ora di ultima esecuzione
http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html
http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
23. PREFETCH FILE
File signature
1 byte Versione del Sistema Operativo
0x11 XP
0x17W7
0x18W8
4 byte signature (SCCA)
4 byte Nome applicazione
24. PREFETCH FILE
Last AccessTime
Timestamp relativo all'ultimo utilizzo dell'applicazione.
Windows 8 memorizza gli ultimi 8 timestamp
mar, 19 novembre 2013
17.16.11 UTC
mar, 19 novembre 2013
08.34.27 UTC
25. PEN DRIVE USB
Presenti due nuovi valori nel registro che memorizzano:
Device Last Insertion Date
Device Last Removal Date
Windows 8 New Registry Artifacts Part 1 - New DeviceTimestamps
http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html
Device LastRemovalDate & LastArrivalDate Behavior inWindows 8
http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
26. INTERNET EXPLORER 10 (E SUCCESSIVI)
File di cronologia e cache in un nuovo formato
Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di
Windows Search e per altre strutture dati in Windows 7
Es. WebCacheV01.dat
Nirsoft Browsing HistoryView
http://www.nirsoft.net/utils/browsing_history_view.html
Nirsoft ESE DatabaseView
http://www.nirsoft.net/utils/ese_database_view.html
Forensic Analysis of the ESE database in Internet Explorer 10
http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
28. THUMBNAILS
Sono ritornati i fileThumbs.db come in Windows XP…
Ma in un formato diverso
E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente
Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows
7 (anzi di più…)
Windows 8Thumbs.db files - still the same and not the same!
http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html
29. WINDOWS PHONE 8 FORENSICS
MATTIA EPIFANI (E CLAUDIA MEDA)
MILANO, 10 APRILE 2014
30. WINDOWS PHONE 8 FORENSICS
Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC
Utilizza diversi sistemi di protezione
Secure Boot (basato su signed firmware)
Full disk encryption della memoria interna (BitLocker)
Local e Remote Wiping
Lock code
App sandboxing
Non sono al momento disponibili tecniche per:
Passcode cracking
Acquisizione fisica, anche con passcode noto
31. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA
L’acquisizione logica è supportata da pochi software forensi e con capacità limitate
UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso
connessione Bluetooth
UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni
del sistema operativo
Seriale del telefono
Versione del S.O.
Immagini
Documenti
Video
Musica
32. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA
Le immagini contengono:
Data di scatto
Modello di telefono utilizzato
Informazioni di geoposizionamento (se attive) http://www.gps-coordinates.net/
33. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA
I documenti possono contenere metadati interni (Office/PDF)
34. WINDOWS PHONE 8 FORENSICS – BACKUP
Il backup dei dati utente si può fare solo online su account
SkyDrive
Non è possibile quindi trovare un backup sul computer
Nel backup possono essere salvati:
Contatti
SMS
Registro chiamate
Calendario
Lista delle applicazioni installate
Configurazioni delle applicazioni
Immagini, Documenti eVideo
I dati di un backup possono essere unicamente ripristinati su un
dispositivo conWindows Phone 8
I ricercatori di Elcomsoft stanno studiando metodi per
permettere il download del backup (come già hanno fatto per
iCloud)
35. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
Metodo sperimentale (DONTRY IT AT HOME!)
Principio: installare un’applicazione non firmata da Microsoft
Di default non è possibile, tuttavia…
Creando un account MSDN sul sito web Microsoft è possibile associare
il dispositivo Windows Phone all’utente sviluppatore
In questo modo si possono caricare 2 applicazioni direttamente da
PC
Le applicazioni non devono essere per forza firmate da Microsoft
36. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
Installo l’applicazione
W8Webserver
http://forum.xda-developers.com/showthread.php?t=2355034
Apre un server web sul dispositivo in ascolto sulla porta 9999
Attivo la connessioneWiFi sul dispositivo
Creo una rete tra il dispositivo e il computer di acquisizione
(NON CONNESSA AD INTERNET!)
37. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
Riesco ad accedere a parte del file system e del registro di sistema
Non è possibile al momento accedere alle cartelle delle
applicazioni…ma stanno arrivando i primi sistemi di
Rooting (già esistenti per i Samsung con WP8)
41. WINDOWS 8 FORENSICS - RIFERIMENTI
Windows 8 Update
http://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8-
updates.pdf
Windows 8 Forensics
http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8-
Forensics.pdf
Windows 8 Forensic Guide
http://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8-
forensic-guide2.pdf
Windows 8: a forensic First Look
http://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf
What's New in the Prefetch for Windows 8??
http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html
Windows Prefetch (.PF) files
http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
Forensic Analysis of the ESE database in Internet Explorer 10
http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
Windows 8 New Registry Artifacts Part 1 - New Device Timestamps
http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html
Device LastRemovalDate & LastArrivalDate Behavior in Windows 8
http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
Windows 8 Thumbs.db files - still the same and not the same!
http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-
and.html
Windows 8 Recovery Forensics
https://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics-
understanding-the-three-rs.pdf
Windows 8: Tracking Opened Photos
http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html
Amcache.hve in Windows 8 - Goldmine for malware hunters
http://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html
Amcache.hve - Part 2
http://www.swiftforensics.com/2013/12/amcachehve-part-2.html
42. DFA OPEN DAY 2014
5 Giugno 2014
Università degli Studi di Milano
Giornata di studio di 8 ore sui temi:
OSINT e Investigazioni Digitali
Security e Incident Response aziendale
Partecipazione gratuita
www.perfezionisti.it
43. Q&A?
Mattia Epifani
Digital Forensics Analyst & Mobile Device Security Analyst
CEO @ REALITY NET – System Solutions
IISFA Italian Chapter
DFA Association
GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC
Mail mattia.epifani@realitynet.it
Twitter @mattiaep
Linkedin http://www.linkedin.com/in/mattiaepifani
Blog http://mattiaep.blogspot.it