FORENZIČKA ANALIZA WINDOWS 7 REGISTRY

Transcription

1 Rad primljen: UDK: : FORENZIČKA ANALIZA WINDOWS 7 REGISTRY A FORENSIC ANALYSIS OF THE WINDOWS 7 REGISTRY Računarstvo i informatika Doc. dr Gojko Grubor Univerzitet Singidunum Mr Igor Franc Univerzitet Singidunum Rezime: U ovom radu biće predstavljena Microsoft Windows Registry baza i objašnjeno koliko je to važno za digitalnu forenzičku istragu. U osnovi ovog rada biće razmatrane različite vrste otisaka (footprints), koji se mogu pronaći u Registry, kao i to koje su najvažnije informacije koje je potrebno prikupiti za uspešnu digitalnu forenzičku istragu. Mnogi od Registry ključeva, koji su bitni za istragu, biće razmatrani pojedinačno. Ključne reči: Registry, windows, MRU lista, autorun lokacije, digitalna forenzika, interent pretraživač, P2P klijenti. Abstract: In this paper the Microsoft Windows Registry database is presented, as well as its importance for digital forensic investigations. Different types of prints (footprints) that can be found in the Registry are analysed, and the most important information needed for a successful digital forensic investigation are considered. Many of the Registry keys, that are relevant to the investigation are considered individually. Key words: Registry, windows, MRU list, autorun locations, digital forenzic, interent browser, P2P clients.

2 RAČUNARSTVO I INFORMATIKA 1. UVOD Danas se računari koriste u svim oblastima života i rada. Internet svakodnevno koristi većina ljudi kako bi obavila dnevne radne zadatke i obaveze, a i u privatnom životu komunicirali sa prijateljima, obavili online kupovinu i slično. Takođe, danas mnogo češće komuniciramo putem poruka, nego klasičnom poštom, kako je bilo ranije. Ovaj rad predstavlja rezultat istraživanja, ali se bazira i na referencama koje se odnose na istraživanje baze registara Windows operativnih sistema (Windows Registry). Pošto je Micorosft Windows 7 trenutno aktuelni operativni sistem, ovde će biti reči o njegovoj registry bazi, koja je slična kao i u prethodnim verzijama Windows operativnih sistema, počevši od Windows ZNAČAJ ANALIZE WINDOWS REGISTRY BAZE Povećanom upotrebom računara i Interneta u svakodnevnom životu, pojavio se jedan novi, neizbežan fenomen, poznat kao kompjuterski kriminal. Kada se govori o kompjuterskom kriminalu, misli se na različite vrste zloupotreba, kao što su: pronevere (fraud), krađa identiteta (identity teft), prevare socijalnim inženjeringom (phishing), upad u mreže (network infiltration), DoS/DDoS napad, nelegalna distribucija zaštićenih materijala (copyrighted) i drugi tipovi napada sa Interneta i iz intranet mreža[1]. U borbi protiv kompjuterskog ili kiber (cyber) kriminala, digitalna forenzička nauka je nezamenljiv alat. U digitalnoj forenzičkoj istrazi, veoma je važno da digitalni forenzičari imaju sva potrebna znanja o tome kako radi računarski sistem, mrežni uređaji i Internet servisi, kao i potrebne veštine da efektivno i efikasno sakupe sve neophodne digitalne dokaze na putu od računarskog sistema napadača do korumpiranog računara [6]. Da bi sve to mogli da urade, najvažnije je da dobro poznaju kako rade operativni sistem računara. Registry baza predstavlja srce Microsoft Windows operativnog sistema i u njoj je moguće pronaći i prikupiti veliku količinu forenzički relevantnih podataka [7] Istorija Registry baze Za digitalnog forenzičara, veoma je bitno da na početku svhvati šta je Registry baza, zašto postoji, kao i tipove informacija koje sadrži. Sve što se dešava u Windows operativnom sistemu povezano je ili se nalazi u Registry bazi. Program, koji se zove RegMon, firme Sysinternals, može se koristiti za praćenje aktivnosti Registry baze u realnom vremenu [13]. Posle startovanja ovog programa, moguće je pratiti sve akcije koje je korisnik preduzeo od strane korisnika. Što se tiče same definicije Registry baze, Microsoft knowledge database a takođe i Microsoft Computer Dictionary, definišu je kao: Centralnu hijerarhijsku bazu podataka, koja se koristi u Microsoft Windows 9x, Windows CE, Windows NT, Windows 2000, Windows 2003, Windows Vista i Windows 7, za čuvanje neophodnih informacija za konfiguraciju sistema za jednog ili više korisnika, za aplikacije i hardverske uređaje [9]. 154

3 Registry baza se prvi put pojavljuje u operativnom sistemu Windows 95 i koristi se u svim novijim operativnom sistemima. Bitno je naglasiti da se Registry baza razlikuje neznatno, u zavisnosti od verzije operativnog sistema, ali da je struktura slična i da je njena funkcija svuda ista. Pre pojave Windows 95 operativnog sistema, za vreme MSDOS-a, Registry baza nije postojala, ali su se za istu namenu konfiguraciju sistema, koristili fajlovi config.sys i autoexec.bat. Glavna namena config.sys fajla jeste učitavanje drajvera za određene hardverske uređaje (CD-ROM, sound card...) dok je namena autoexec. bat fajla, da se definišu radne promenljive okruženja (environment variables) i da se startuju neki programi, automatski po uključivanju računara, bez akcije korisnika. Međutim, to je prošlost, i u savremenim Windows operativnim sistemima te funkcije obavlja Registry baza. Bitno je reći da su inicijalni (.ini) fajlovi, tipa win.ini i system. ini, koji su se u vreme DOS-a koristili za čuvanje parametara operativnog sistema, danas zamenjeni Registry bazom. Slika 1 - Struktura Windows Registry -a 2.2. Struktura Windows Registry baze Po otvaranje Registry Editora (ukucavanjem regedit u run prozoru), može se videti da se Registry prikazuje, kao jedna vrsta hijerarhijskog fajl sistema. U levom delu prozora, koji se inače naziva Key pane, može se videti da je sve organizovano u određene foldere, što je veoma slično strukturi samog čvrstog (hard) diska, odnosno fajl sistema (slika 1). Postoji pet glavnih foldera u hijerarhiji koji se nazivaju hives i počinju sa HKEY (skraćenica od Handle to a Key). Iako ih ima ukupno pet, kao što se može videti, samo su dva, u stvari, prava (real), a to su HKEY_USERS (HKU) i HKEY_LOCAL_ MACHINE (HKLM). Ostala tri su prečice (shortcuts) ili aliasi nekih od delova dva realna foldera (hive), koji, takođe, imaju forenzički značaj. Svaki od ovih pet foldera (hive), sastoji se od ključeva (keys), koji sadrže vrednosti (values) i podključeve (subkeys). RAČUNARSTVO I INFORMATIKA 155

4 RAČUNARSTVO I INFORMATIKA Najbolja analogija, koja se može koristiti za pomoć prilikom objašnjenja strukture Windows Registrya je poređenje sa Windows Explorer fajl sistemom, koji ima vrlo sličnu strukturu. Levi deo prozora (key pane) iz Registrya podseća na hijerarhijsku strukturu levog dela prozora u Windows Exploreru. Ključevi i podključevi su locirani u pet glavnih foldera (hives), slično kao i folderi i podfolderi u Windows Exploreru, dok su vrednosti (values) slični fajlovima koji se nalaze u folderu. U desnom delu prozora Windows Registrya imena vrednosti (name) su slična kao i imena fajlova, a tipovi (type) su slični ekstenziji fajlova, dok su podaci (data) slični sadržaju određenog fajla [5]. 1. HKEY_CLASSES_ROOT (HKCR) Informacije, koje su ovde čuvaju, obezbeđuju da se otvori pravi program, kada se izvršava iz Windows Explorera. Takođe, sadrži i vuci-i-spusti (drag-and-drop) pravilo, prečice (shortcuts) i informacije o korisničkom interfejsu, kao i Alias za HKLM\Software\Classes. 2. HKEY_CURRENT_USER (HKCU) Sadrži konfiguracione informacije za korisnika, koji je trenutno logovan na sistem, uključujući korisničke foldere, boje ekrana i podešavanja u Control Panelu, kao i Alias za određeni deo u HKEY_US- ERS. Generičke informacije, koje se koriste za sve korisnike nalaze se u HKU\. DEFAULT. 3. HKEY_LOCAL_MACHINE (HKLM) Sadrži speficifične informacije za određeni hardver na kome se izvrašva operativni sistem, uključujući listu mountovanih drajvera na sistemu i generičke konfiguracije instaliranog hardvera i aplikacija. 4. HKEY_USERS (HKU) Sadrži konfiguracione informacije za sve korisničke profile na sistemu sa pripadajućim konfiguracijama aplikacija i vizualnim podešavanjima. 5. HKEY_CURRENT_CONFIG (HCU) Čuva informacije o trenutnoj konfiguraciji sistema, kao i Alias za HKLM\Config\ profile Alati za istraživanje Registry baze Postoji dosta alata, koji se mogu koristiti za forenzičko istraživanje Registrya, kao i za ekstrakciju dokaza iz Registrya. U ovom radu koristi se isključiva sistemski alat Registry Editor (regedit.exe) [2]. Registry Editor je besplatan i postoji u svakoj instalaciji Microsoft Windows operativnog sistema, koji je noviji od Windowsa 95. Bitno je napomenuti da pored ovoga postoje i specijalizovani alati za forenzičku analizu Registrya, kao što stu FTK i EnCase, ali oni nisu predmet ovog rada Forenzičko istraživanje Registry baze Svi Registry ključevi sadrže vrednosti povezane sa nečim, što se zove LastWrite vreme, koje je vrlo slično vremenu poslednje modifikacije (last modification time) određenog fajla. Ova vrednost čuva se u FILETIME strukturi i govori o tome kada je 156

5 Registry Key poslednji put menjan. Na Microsoft Knowledge Base, A FILETIME struktura [10] predstavlja broj od 100 nanosekundi intervala počevši od , na osnovu kojeg se forenzičkim alatom računaju MAC (Modification, Access, Create) vremena fajla [6]. LastWrite vreme se apdejtuje kada se Registry ključ kreira, modifikuje, briše ili mu se pristupa. Na nesreću, može se videti jedino LastWrite vreme za Registry ključeve, dok se Last- Write vreme za Registry vrednosti ne mogu videti. Harlan Carvey, autor knjige Windows Forensics and Incident Recovery, napravio je alat Keytime.exe, koji omogućava ispitivaču da dobije LastWrite vreme za bilo koji specifičan ključ [4]. Znajući LastWrite vreme za određeni ključ, forenzičar može izračunati vreme kada se određeni događaj desio. Bitno je napomenuti da napadač lako može menjati ovo vreme, tako da je teško utvrditi, da li je vreme promenjeno ili nije? Korišćenje Registrya kao log fajla bezbednosno relevantnih događaja, veoma je korisno kada se povežu LastWrite vreme određenog Registry ključa i ostali izvori informacija, koa što su MAC vremena, koja se nalaze u fajl sistemu Autorun Locations Autorun locations je Registry ključ, koji pokreće programe ili aplikacije u toku procesa podizanja (butovanja) sistema. Generalno je dobra forenzička praksa proveriti ovaj ključu, a relevantnost zavisi od tipa slučaja istrage. Ako je osumnjičeni računar korišćen u slučaju upada u sistem potrebno je proveriti Autorun locations. Ako korisnik negia umešanost (tzv. odbrana trojancem), moguće je i da je njegov sistem kompromitovan, i da je korišćen za dalji napad [6]. U slučajevima sličnim ovom Autorun locations može pružiti potrebne informacije o određenim vrstama trojanaca, zadnjim vratima (backdoor), rutkit tehnikama za prikrivanje prisustva malicioznog programa, kao i o ranjivostima sistema, koje je napadač iskoristio. Lista najčešćih Autorun locations ključeva sadrži sledeće podatke: RAČUNARSTVO I INFORMATIKA 2.6. MRU lista HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce (ProfilePath)\Start Menu\Programs\Startup MRU ili Most Recently Used lista sadrži unose napravljene tokom specifičnih akcija koje je preduzimao korisnik [11]. Postoji više MRU lista, koje se nalaze na različitim mestima u Registry ključevima. Registry sadrži listu tih akcija u slučaju da korisnik hoće da im kasnije pristupi, što je vrlo slično history ili kolačićima (cookies) u Web pretraživaču. Primer MRU liste koja je locirana u Windows Registry jeste RunMRU ključ. Kada korisnik upiše neku komandu u Run prozoru preko Start menija, novi zapis 157

6 RAČUNARSTVO I INFORMATIKA Slika 2 - RunMRU ključevi se dodaje u Registry ključ. Lokacija ovog ključa je HKCU\Software\Microsoft\Windows\ CurrentVersion\ Explorer\RunMRU, i njen sadržaj se može videti na slici 2. Hronološki redosled izvršenih aplikacija preko Run prozora može se utvrditi iz vrednosti kolone Data u MRU listi. Korišćenjem informacija iz RunMRU ključeva, forenzičar može bolje utvrditi profil korisnika kao i to, koje aplikacije je izvršavao. Iz slike 2, može se zaključiti da korisnik često pristupa mrežnim resursima. Slika 3 - UserAssist Ključ 2.7. UserAssist UserAssist ključ, HKCU\Software\ Microsoft\Windows\CurrentVersion \ Explorer\UserAssist, sadrži dva ili više podključeva, koji se sastoje od dugog heksadecimalnog imena globalnog jedinstvenog identifikatora (GUID). Svaka zapisana vrednost u podključu, vezana je za specifičan objekat kome je korisnik pristupio na sistemu, kao što su Control Panel, prečice (shortcuts), fajlovi, programi 158

7 i slično. Ove vrednosti se šifruju korišćenjem ROT-13 algoritmom za šifrovanje, takođe poznatim i kao Cezarova šifra (Caesar cipher). Ovako šifrovane podatke lako je dešifrovati, i to zamenom karaktera 13 mesta dalje u ASCII tabeli. Preko UserAssist ključa, forenzičar može steći uvid u to, kojim tipovima fajlova ili aplikacija je pristupano na određenom sistemu. Bitno je znati da ovi zapisi nisu definitivni i da za njih nije moguće vezati određeni datum i vreme, ali mogu biti indikator specifične akcije korisnika Microsoft Networks Umrežavanje računara danas je vrlo popularno, bez obzira da li se radi o bežičnim (wireless) ili žičnim (LAN) mrežama. Wireless mrežna kartica prati wireless pristupne tačke (access points) u određenom opsegu, svaka od njih se identifikuje Slika 4 Mrežna podešavanje za SSID Singidunum_NBG preko SSID (Service Set Identifier). Kada se neko poveže na bežičnu mrežu SSID se postavlja u Windows 7, kao podrazumevana mrežna konekcija. Registry ključ se nalazi u HKLM\SYSTEM\ControlSet001\ Services\Tcpip\Parameters\Interfaces\, što je prikazano i na slici 4. Kada se otvori ovaj Registry ključ, može se videti da podključevi po izgledu liče na GUID. Dodatno pored SSID, Windows, takođe, beleži i mrežna podešavanja za određene konekcije, kao što su IP adresa, DHCP domen, subnet mask i slično [3]. Na osnovu ovih podataka o bežičnim mrežnim konekcijama, forenzičar može utvrditi da li se korisnik povezao na specifičnu bežičnu tačku pristupa, u koje vreme i koju IP adresu mu je dodelio DHCP server. Na primer, u slučaju dečije pornografije, osumnjičeni može ilegalno koristiti različite mrežne konekcije, i u tom slučaju ovaj metod može biti vrlo RAČUNARSTVO I INFORMATIKA 159

8 RAČUNARSTVO I INFORMATIKA koristan. Analiziranjem osumnjičenog računra moguće je utvrditi koje su mrežne konekcije korišćene, kao i IP adresa, koja je na neki način vezana za određenog ISP (Internet Service Provider). Slično je i sa LAN mrežom. Ključ se, Slika 5 Mrežna podešavanja za LAN mrežu takođe, može pronaći u HKLM\SYSTEM\ ControlSet001\ Services\Tcpip\Parameters\Interfaces\, s tim što je sada potrebno izabrati drugi interfejs, koji je u ovom slučaju standardna mrežna kartica (Ethernet Card), kao što se vidi na slici USB uređaji Ovde ima suviše informacija o kojim bi se moglo pisati, što prevazilazi okvir ovog rada. Zato su iznesene samo osnovne informacije i najbitniji Registry ključevi. Kad god se neki uređaj poveže na USB (Universal Serial Bus) konektor računarskog sistema, traže se drajveri (drivers), što zahteva određene informacije o uređaju. Ove informacije se čuvaju u Registry ključevima, od kojih je najvažniji HKLM\SYSTEM\ControlSet00x\Enum\ USBSTOR. Ovaj ključ sadrži informacije o proizvodu i jedinstveni identifikator (Device ID) bilo kog USB uređaja, koji je ikada bio povezan na sistem. slika 6. prikazuje sadržaj ovog ključa. Bitno je istaći da je svaki Device ID jedinstven. To je, u stvari, serijski broj (serial number) uređaja jedinstvena vrednost, koju kreira proizvođač (manufacturer) i vrlo je slična MAC (Media Access Control) adresi mrežne kartice. To znači da je moguće precizno utvrditi da li je određeni USB uređaj bio priključen na određeni Windows operativni sistem. Međutim, potrebno je istaći da se može desiti da nema svaki uređaj serijski broj. U određenim slučajevima može se videti simbol & kao drugi karakter u device ID. Ukoliko se to dogodi, to znači da taj uređaj nema jedinstveni serijski broj, kao što se može videti na slici

9 Slika 6 - Sadržaj USBSTOR ključa RAČUNARSTVO I INFORMATIKA Slika 7 - USB uređaj bez Device ID Poznavanje podatka o tome da li je određeni USB uređaj bio priključen na sistem, može biti vrlo bitan za dalji tok i uspeh procesa digitalne forenzičke istrage Mounted Devices Ovo je Registry ključ kojim je moguće videti sve drajvove uređaja, koji su povezani na sistem. Ključ je HKLM\SYSTEM\ MountedDevices i on sadrži bazu podataka povezanih uređaja, koji koriste NTFS fajl sistem. Binarni podaci, u heksadecimalnom zapisu, za svaki \DosDevices\x: sadrže informacije za identifikovanje svakog drajva. Ovo je prikazano na slici 8, gde je \DosDevice\F: povezan na računarski sistem kao STORAGE Removable Media. 161

10 RAČUNARSTVO I INFORMATIKA Slika 8 - Drajvovi uređaja povezanih (Mounted) na sistem Slika 9 - Dodatne informacije o uređaju Kingston USB Ove informacije mogu biti korisne za digitalne forenzičare, jer im prikazuju sve hardverske uređaje, koji su bili priključeni na sistem. Konačno, ako je uređaj prikazan u listi MountedDevices, a nije fizički na sistemu, to može biti indikator da je korisnik uklonio taj uređaj radi skrivanja dokaza (USB, CD/DVD i sl.). U tom slučaju, forenzičar zna da postoji još dokaza koje je potrebno prikupiti. Dodatne informacije o određenom uređaju, moguće je dobiti desnim klikom na njegov naziv i izborom opcije modify, kao što se može videti na slici

11 2.11. Internet Explorer Internet Explorer je ugrađeni pretraživač u Windows operativnom sistemu. On koristi Registry za čuvanje podataka, kao i mnoge druge aplikacije o kojima je bilo reči ranije. Internet Explorer čuva podatke u HKCU\Software\Microsoft\Internet Explorer ključu [8]. Prikaz sadržaja ovog Slika 10 - Prikaz sadržaja Internet Explorer ključa ključa može se videti na slici 10. Postoje tri podključa koja su posebno bitna za forenzičku istragu. Prvi od njih je HKCU\Software\ Microsoft\Internet Explorer\Main. Ovaj ključ čuva korisnička podešavanja za Internet Explorer, kao što su search bars, start page, form settings i slično, njegov sadržaj može se videti na slici 11. RAČUNARSTVO I INFORMATIKA Slika 11 - Prikaz sadržaja Internet Explorer Main ključa 163

12 RAČUNARSTVO I INFORMATIKA Drugi i najvažniji ključ za forenzičku istragu je HKCU\Software\Microsoft\ Internet Explorer\TypedURLs. Na slici 12 prikazan je sadržaj TypedURLs ključa. Iz ovih podataka forenzičar može zaključiti da li korisnik ima gmail i hotmail adresu, online banking račune, interesantne Web sajtove, da li pohađa neki fakultet, kao i to, da li vrši istraživanja iz određenih oblasti. Slika 12 -TypedURL ključ Treći podključ, koji može biti interesantan za forenzičku istragu je HKCU\Software\Microsoft\Internet Explorer\. Ovaj ključ prikazuje poslednji direktorijum koji se koristi za čuvanje preuzetih (downloadovanih) fajlova iz Internet Explorera i daje forenzičaru ideju za lokaciju, na kojoj korisnik čuva svoje fajlove, kao što se može videti na slici 13. Slika 13 - Download Directory ključ 164

13 2.12. P2P Klijenti Mreže direktno povezanih učesnika P2P (Peer-to-Peer), omogućavaju korisnicima razmenu i distribuciju ilegalnog i ponekad neetičkog materijala [12]. Postoji nekoliko P2P klijenata koji se jednostavno mogu preuzeti, instalirati i koristiti, ali pošto je Kazaa najpopularniji, u ovom radu biće više reči o njemu Kazaa P2P program Za forenzičku istragu ovog P2P programa interesantna su dva Registry ključa. Prvi je HKCU\Software\Kazaa, koji sadrži mnoga korisnička podešavanja, potencijalno veoma korisna za forenzičku istragu. Posebno je bitan Kazaa podključ koji se zove ResultsFilter, koji prikazuje vrednost za adult_filter_level. Ključ može biti podešen u dva stanja: ukoliko je vrednost (1) onda će se filtrirati sadržaj za odrasle, a ako je vrednost (0) onda Slika 14 - Kazaa ključ je filter isključen i neće biti filtriranja sadržaja. Po podrazumevanom (default) podešavanju ovaj filter je uključen, tako da ukoliko je on isključen to je dobar pokazatelj da je korisnik to isključio u Kazaa meniju, sa određenom namenom (na primer, skidanja pornografskih sadržaja sa Interneta). Na slici 14. prikazana je lokacija ovog ključa i informacije koje sadrži. Ostali Kazaa Registry ključevi se nalaze u HKLM\Software\Kazaa. Ovi ključevi sadrže informacije o uspostavljenim konekcijama i direktorijumu gde se preuzimaju fajlovi. Ukoliko ništa nije menjano posle instalacije, podrazumevani folder za preuzimanje fajllova je C:\Program Files\Kazaa\My Shared Folder Instant messaging aplikacije Aplikacije za trenutnu razmenu poruka (IM), mogu obezbediti čvrste dokaze u procesu digitalne forenzičke istrage. RAČUNARSTVO I INFORMATIKA 165

14 RAČUNARSTVO I INFORMATIKA Postoji nekoliko popularnih aplikacija za ovu namenu kao što su: AIM (u SAD), MSN Messenger, Yahoo instant messenger, ICQ i Skype. Pošto je kod nas najčešće zastupljen Microsoftov MSN Messenger, on će biti obrađen u ovom radu MSN Messenger ili Windows Live Messenger Ova aplikacija je prvo bila poznata kao Windows Messenger, zatim MSN Messenger i na kraju, kao Windows Live Messenger (koji je, u stvari, najnoviji MSN). Ova aplikacija ima svoj ključ u Registry bazi: HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger. Na slici 15 može se videti lokacija i sadržaj ovog ključa. 3. ZAKLJUČAK Zbog velike popularnosti i široke primene Windows operativnih sistema, kako u kućnom, tako i u poslovnom Slika 15 - Sadržaj MSN mesenger ključa okruženju, veoma je važno da eksperti za digitalnu forenziku razumeju kompleksnost Windows Registry, jer on predstavlja srce operativnog sistema. Informacije i potencijalni dokazi, koji se nalaze u Regitry bazi, mogu biti veoma bitni za uspešnu digitalnu forenzičku istragu i zbog toga je vrlo bitno znati gde se oni nalaze. Sa aspekta digitalne forenzičke istrage, razumevanjem osnova samog Registrya i njegove strukture, forenzičar može mnogo preciznije da utvrdi, kada se nešto dogodilo na datoj mašini, da li je neki uređaj i kada bio priključen na nju, kao i to, da li je mašina ikada bila konektovana na neku bežičnu ili Ethernet LAN mrežu. Izveštaj, ali ne i forenzički zaključak, se u ovom slučaju naziva ispitivanje Registrya (Registry Examination). Izveštaj predstavlja objašnjenje i primere podataka, koji se mogu pronaći, kako se mogu i gde pronaći i zašto oni mogu biti bitni za dalju istragu. 166

15 Li te r atu r a [1] Honeycutt, Jerry, 2005, Microsoft Windows Registry Guide. 2nd., Redmond, WA: Microsoft Press [2] Kruse, Warren G. and Jay G. Heiser, 2004, Computer Forensics: Incident Response Essentials, New York: Addison-Wesley. [3] Nelson, Bill, Amelia Phillips, Frank Enfinger and Christopher Steuart, 2006, Guide to Computer Forensics and Investigations. 2nd., Canada: Course Technology. [4] Harlan Karvey, 2007, Windows forensic analysis, Syngress. [5] Chad Steel, 2006, Windows Forensics: The Field Guide for Corporate Computer Investigations, John Wiley & Sons. [6] Milan Milosavljević, Gojko Grubor, 2009, Istraga kompjuterskog kriminala - metodološko tehnološke osnove, Singidunum. [7] Davies, Peter, Forensic Analysis of the Windows Registry, Peter Davies, Feb [8] Jones, Kieth J. and Rohyt Belani, Web Browser Forensics, Part 1., Security Focus, 30 Mar Apr [9] Microsoft press, Description of the Microsoft Windows Registry, Help and Support, 27 Jan Microsoft Corp. 8 Apr [10] Microsoft press, INFO: Working with the FILETIME Structure, Help and Support, 23 Jan 2007, Microsoft Corp. 8 Apr [11] Srinivasan, Ramesh, Registry MRU Locations, Ramesh s Site: Troubleshooting Windows 2006, 14 Apr [12] Websense, Emerging Threats: Peer-to-Peer File Sharing, Advanced Systems Group, Websense, Inc., 13 Apr [13] Wong, Lih Wern, Forensic Analysis of the Windows Registry, Forensic Focus, 1 Feb Au t o r i Doc. dr Gojko Grubor Univerzitet Singidunum Danijelova 32, Beograd ggrubor@singidunum.ac.rs Oblasti istraživanja: zaštita podataka, digitalna forrenzika. Mr Igor Franc Univerzitet Singidunum Danijelova 32, Beograd ifranc@singidunum.ac.rs Oblasti istraživanja: digitalna forenzika, bezbednost inormacionih sistema, baze podataka, računarske mreže, internet tehnologije, smart kartice, elektronsko poslovanje. RAČUNARSTVO I INFORMATIKA 167