Recentemente me deparei com um questionamento a um trabalho realizado há cerca de três anos, relacionado a alguns registros armazenados no arquivo System.evtx do Log de Eventos do Microsoft Windows 7. Um dos registros dizia o seguinte:

06/02/2013 12:07:25 – A hora do sistema mudou de 2013-02-06T15:07:25.500000000Z para 2013-02-06T01:51:27.510396000Z.
05/02/2013 22:51:22 – O sistema está entrando em suspensão. Motivo da Suspensão: Botão ou Tampa

Sabendo que a data e hora do registro está no padrão de horário local e as datas e horas alteradas estão no padrão UTC (Universal Time Cordinated) teríamos então, em primeira análise, que houve uma atualização de um tempo mais recente para um tempo mais antigo, ou seja, que o relógio foi atrasado para um horário anterior, não deixando claro o fato ocorrido, visto que o sistema não executaria tal ação sozinho. Observando o registro nos seus detalhes nota-se que, o sistema informa a mudança de horário no seguinte formato:

TimeCreated [SystemTime] – A hora do sistema mudou de EventData [NewTime] para EventData [OldTime]

Seria coerente se fosse ao contrário. Primeiro OldTime e depois NewTime. Sabendo que não houve manipulações do sistema, resolvi realizar uma análise mais profunda sobre o caso, até porque o objetivo inicial da perícia era outro e a citação do log de eventos tinha como único motivo demonstrar que o usuário tinha por hábito suspender o uso do computador e não desligá-lo.

Inicialmente realizei uma pesquisa em diversos sites relacionados ao suporte do Microsoft Windows e apenas em um fórum brasileiro, alguém fazia menção ao mesmo problema, imputando o fato a um usuário que supostamente obteve acesso ao servidor e realizou tal alteração. Em inglês, não havia uma linha sequer sobre o assunto, o que me deixou desconfiado do problema. Seria possível que o sistema teria sido manipulado pelo usuário e produzido tal resultado? Foquei no fórum brasileiro e li todas as dúvidas e sugestões acerca do fato e nada. Eles não haviam chegado a nenhuma conclusão.

A composição do registro do evento era estranha. Como apontar uma mudança de horário indicando primeiramente a nova hora e depois a hora antiga? Será que os campos NewTime e OldTime estavam invertidos? Qual seria o problema então? Aí você tem que ser “o perito”, essa é sua função. Antes de atribuir o problema a algo que você desconhece ou ignora, pense, analise e refaça o trabalho que está deixando tanta dúvida.

Inicialmente conferi, como disse no post anterior, o campo EventRecordID, até porque a mudança de horário alteraria o posicionamento dos registros quando classificados pelo momento da gravação do registro. Nada errado. Tudo seguia a sequência normal dos eventos, que nesse caso possuía a numeração 172401, 172402, etc.

Quando o registro é gravado no disco, possui pouco conteúdo em formato legível para humanos (human readable), sendo que sua composição é realizada pelos visualizadores, através da combinação de modelos pré-definidos armazenados em DLLs e EXEs, com os dados existentes nos arquivos EVT e EVTX . Isso é percebido claramente quando copiamos os arquivos EVT/EVTX para analisar em outro computador que não possua os mesmos softwares do computador alvo da análise, gerando mensagens do tipo:

“The description for Event ID ( xxxx ) in Source ( yyyyyy ) could not be found.
Either the component that raises this event is not installed on the computer or the installation is corrupted. You can install or repair the component or try to change Description Server.“

Como utilizei um equipamento dotado do Microsoft Windows 7 em português, e vi que nenhum site de língua inglesa fazia menção ao problema, resolvi realizar a análise detalhada da composição, trocando o sistema operacional por um Microsoft Windows 7 com idioma em inglês, afinal este tipo de evento é gerado pelo próprio sistema operacional e não por uma aplicação de terceiros instalada nele. Feito isso abri o arquivo System.evtx no snap-in do Event Viewer (visualizador de eventos) e busquei os mesmos registros, obtendo o seguinte resultado:

06/02/2013 12:07:25 – The system time has changed to 2013-02-06T15:07:25.500000000Z from 2013-02-06T01:51:27.510396000Z.
05/02/2013 22:51:22 – The system is entering in sleep. Sleep Reason: Button or Lid

Comparei então os detalhes e o formato do evento onde vi que a mensagem era composta assim:

TimeCreated [SystemTime] – The system time has changed to EventData [NewTime] from EventData [OldTime]

Um erro na tradução do pacote de idioma produzia um registro incoerente. Na tradução “to” transformou-se em “de” e “from” em “para”.

Descrição do evento em português e inglês e suas diferenças na tradução

Veja a galeria com detalhes:

Até o próximo.

Recentemente fiz uma perícia em um disco rígido buscando identificar acessos à mídia após a apreensão. Entre a apreensão e a perícia oficial, se detectou diversas inicializações do sistema, e para complicar um pouco mais a situação, a máquina perdeu sua configuração do BIOS por problemas na bateria da placa-mãe. Durante a análise fiz um exame no log de eventos e classifiquei os registros por data/hora, onde me deparei com alguns registros contendo dados inconsistente com o caso, como logon sem o respectivo logoff e vice versa, em circunstâncias que haveria aquele tipo de comportamento. A análise individual dos registros mostrava nos detalhes, um campo denominado EventRecordID, onde fica registrada a sequência de gravação do registro de cada evento, não visível ao snap-in Event Viewer do Microsoft Windows.

E sua configuração padrão, o snap-in do Windows apresenta as colunas “Nível”, “Data/Hora”, “Fonte”, “Identificação do Evento” e “Categoria da Tarefa”, mas existem ainda outras quinze colunas configuráveis, mas nenhuma delas permite visualizar a sequência de registros na ordem em que foram gerados.

Utilizando uma ferramenta externa, o Event Log Explorer da FSPRO Labs, utilitário freeware para uso pessoal, abri os arquivos do log de eventos do sistema periciado e acrescentei a visualização da coluna “Record No” que corresponde ao campo EventRecordID. Classifiquei então esta coluna e lendo os registros organizados por sequencia de gravação pude perceber que o equipamento, após a sua apreensão, teve as configurações de data/hora alteradas para o instante de interesse, de forma que a teoria aventada coubesse na timeline do caso. Ficou claro que houve manipulação do equipamento antes de ser periciado de forma que pudesse incriminar um indivíduo inocente.

Nas imagens a seguir podemos ver as telas do snap-in do Windows e do Event Log Explorer mostrando um mesmo registro do evento.

Até o próximo.

Voltando ao último post sobre o Registro do Windows, a figura utilizada para ilustrar mostrava o seguinte:

A chave exibida na ilustração, HKLM\SYSTEM\CurrentControlSet\Control\Windows possuía o valor ShutdownTime, com dados do tipo REG_BYNARY, ou seja, dados binários, gravados em formato hexadecimal, cujo conteúdo era “9f e8 88 c4 b7 b7 ce 01”, que convertido para o formato 64 bit Hex Value: Little Endian teremos a data de 22/09/2013 17:18:34 UTC. Quando extraímos as hives do registro do Windows para análise externa com o Mitec Registry Recovery, por exemplo, iremos nos deparar com uma configuração um pouco diferente das chaves.

Como podemos ver não há mais a chave CurrentControlSet e sim as chaves ControlSet001, ControlSet002 e ControlSet003. Todas possuem a chave Control\Windows e o valor ShutdownTime. Então qual destas chaves vale? O que são estas chaves e o que guarda cada uma delas?

A chave HKLM\SYSTEM\CurrentControlSet\Control\Windows aponta para uma das três e indica a última configuração válida do sistema (HKLM\SYSTEM\CurrentControlSet) enquanto as demais (HKLM\SYSTEM\ControlSet001 e HKLM\SYSTEM\ControlSet 002) são cópias de backup mantidas pelo sistema.

Para saber a chave que armazenava a última configuração válida, examine a chave HKLM\SYSTEM\Select, que possui quatro valores cujos dados REG_DWORD indicam a chave configurada. O valor da última carga do sistema é o Current, o valor da última configuração que falhou na inicialização é a Failed, a última configuração válida conhecida é a LastKnowGood, e o valor Default normalmente aponta para o mesmo dado do Current, como vemos abaixo.

No caso específico do último post vemos que o valor Current, indica o dado 0x2, ou seja a última vez que o sistema foi utilizado foi a ControlSet002.

Confuso? Lembre-se que quando visualizamos o registro do Windows de um equipamento ligado, veremos sempre a chave CurrentControlSet, enquanto se examinamos a hive de um registro extraída de um dispositvo de armazenamento de dados de um equipamento suspeito, teremos que consultar a chave HKLM\SYSTEM\Select para difinir as chaves utilizadas na última vez que esteve ligado. Para saber mais clique aqui.

Até a próxima.

O Registro do Windows além de ser um banco de dados de configurações, também um log das atividades realizadas no sistema. No Registro podemos encontrar os últimos arquivos acessados, os processos carregados na carga inicial do sistema, últimos arquivos executados, configurações de rede, entre tantas outras coisas mais.

De forma análoga ao que acontece com os arquivos, as chaves de Registro  também mantém um valor associado, armazenado no formato FILETIME do Windows, onde é registrada a última alteração (modificação, acesso e exclusão) sofrida, denominada de LASTWRITE. Esta característica  só é associada para as chaves de Registro, para os valores não.

Nos posts anteriores mostramos a localização das Hives e a estrutura do Registro assim como citamos o software Windows Registry Recovery da Mitec. Existem outras ferramentas para fins forenses como o Registry Report e o Registry Viewer, ambos da Gaijin ou ainda o Registry Ripper do Harlan Carvey, desenvolvidas para extração e visualização do conteúdo do Registro.

Visão do regedit do windows

Onde então estariam evidências importantes no Registro? Tomaremos como exemplo o Microsoft Windows 7.

Carga automática de Programas ou scripts

Na inicialização do sistema operacional alguns programas, scripts e arquivos são executados/carregados automaticamente. Algumas chaves contém valores que carregam programas e/ou aplicativos na inicialização do sistema. Para quem avalia um registro com fins forenses é especialmente útil a busca por programas de inicialização persistente como malwares, que podem estar nas seguintes chaves:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\RunOnce
C:\Users\username\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Inicializar ou
C:\Users\username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Configurações de rede (inclusive wireless)

As configurações de rede do sistema ficam armazenadas na chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters que abriga as chaves DNSRegisteredAdapters e Interfaces onde se encontram respectivamente valores com as informações relativas às configurações de DNS e as configurações de endereço IP, máscara de rede, gateway, servidor DHCP, entre outras, atribuídas a cada interface de rede na última conexão realizada. Já os SSIDs das redes sem fio configuradas ficam na chave HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles, entretanto essas mesmas informações ficam armazenadas na pasta C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces, em arquivos XML.

SSID das conexões Wi-Fi

MRU – Most Recently Used

Arquivos e programas mais recentes utilizados também são guardados no Registro do Windows. São estas chaves que fornecem informação aos recursos do “menu iniciar” como o “Itens Recentes” ou preenchem a linha do “Executar” (Run). Também armazenam as listas de arquivos recentes mostrados pelos aplicativos instaladas.

A análise destas chaves de Registro é especialmente útil quando queremos saber quais foram os últimos arquivos abertos ou últimos programas carregados pelo usuário do computador suspeito. As chaves listadas a seguir possuem sub-chaves organizadas por extensão de arquivos:

Documentos Recentemente Utilizados

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Caixa “Executar” (Run) do menu iniciar

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Chaves RunMRU

Observa-se que os valores são nomeados por letras seguindo ordem alfabética, sendo a letra a indica o valor mais antigo. Os dados armazenados nestes valores também estão assim ordenados.

User Assist

A chave UserAssist (HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserAssist) é formada por duas ou mais sub-chaves cujos valores possuem dados codificados em ROT13 que representam GUIDs (Globally Unique Identifiers ou Identificadores Globais Únicos). Cada valor está associados a um determinado objeto acessado pelo usuário, como um programa, um atalho, um comando, etc. A codificação ROT13 utiliza um algoritmo que rotaciona cada caractere em 13 posições, para cima ou para baixo, a depender de sua posição. de A a M soma-se 13 e de N a Z diminui-se 13, assim a letra A passa a ser N e O passa a ser B. Veja um conversor ROT13 on line em http://edoceo.com/utilitas/rot13.

Chave UserAssit

O nome do valor destacado na imagem é “{0139Q44R-6NSR-49S2-8690-3QNSPNR6SSO8}\7-Mvc\7-Mvc Svyr Znantre.yax” que ao ser descodificado passa a ser “{0139D44E-6AFE-49F2-8690-3DAFCAE6FFB8}\7-Zip\7-Zip File Manager.lnk”.

O Microsoft Windows não armazena o registro em um único arquivo. Na verdade, o editor de registro (Regedit) mostra a estrutura lógica do registro, mas o Windows armazena o registro em alguns arquivos binários denominados de Hives, assim como cópias de backup destes.

As hives são distribuídas em vários arquivos. A lista de arquivos que compõem os hives pode ser encontrado no próprio registro, na chave HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\hivelist (Windows 7). Nesta chave você encontrará valores que identificam a chave a que pertence e o caminho onde o arquivo pode ser encontrado.

REGISTRY\MACHINE\SAM – Windows\System32\config\SAM
REGISTRY\MACHINE\SECURITY – Windows\System32\config\SECURITY
REGISTRY\MACHINE\SOFTWARE – Windows\System32\config\SOFTWARE
REGISTRY\MACHINE\SYSTEM – Windows\System32\config\SYSTEM
REGISTRY\USERS\.DEFAULT – Windows\System32\config\DEFAULT
REGISTRY\USERS\SID – Windows\ServiceProfiles\LocalService\NTUSER.DAT
REGISTRY\USERS\SID – Windows\ServiceProfiles\NetworkService\NTUSER.DAT
Registry\User\SID – Users\Admin\ntuser.dat (para o usuário “Admin”)
Registry\User\SID_Classes – Users\Admin\AppData\Local\Microsoft\Windows\ UsrClass.dat  (para o usuário “Admin”)

Somente as chaves HKLM e HKU são arquivos do sistema operacional, possuindo, portanto, Hives correspondentes. HKCR e HKCC são links simbólicos para subchaves em HKLM, assim como HKCU é um link simbólico para HKU. A estrutura do registro é composta da seguinte forma: A chave HKLM\SAM é composta por SAM e SAM.LOG; a chave HKLM\SECURITY é composta por SECURITY e SECURITY.LOG; a HKLM\SOFTWARE é composta por SOFTWARE, SOFTWARE.LOG e SOFTWARE.SAV; a chave HKLM\SYSTEM é composta por SYSTEM, SYSTEM.LOG, SYSTEM.SAV; a chave HKLM\HARDWARE é composta por um hive dinâmico; a chave HKU\.DEFAULT é composta por DEFAULT, DEFAULT.LOG, DEFAULT.SAV; a chave HKUSID é composta por NTUSER.DAT e HKU\SID_CLASSES é composta por UsrClass.dat, UsrClass.dat.log. Os arquivos sem extensão são as hives; os arquivos de extensão “.LOG” são registros de alterações na hive; os arquivos de extensão “.SAV” são cópias de backup das hives criadas no Windows XP na fase texto da instalação. No Windows 2000 o backup da hive possui extensão “.alt”.

Até o próximo.