Scopo della guida è cercare di illustrare all’utente i principali metodi di analisi utilizzati per estrarre interessanti informazioni da un pc.
Il discorso vale sia per desktop che per notebook dato che essenzialmente le informazioni cercate sono allocate nel registro di sistema.
Le informazioni che tratteremo sono:
- Capire se il pc era acceso o spento a una determinata ora;
- Quale utente ha effettuato l’acceso;
- Capire se il pc in esame è stato veramente usato da un determinato utente.
Windows salva tutte le informazioni che ci interessa recuperare nella seguente cartella:
C:\WINDOWS\system32\config\, in particolare nei file SysEvent.Evt e SecEvent.Evt e SAM.
Questi file non sono ovviamente dei comuni file di testo e quindi non possono essere aperti con il notepad o altro editor. Un software che potremmo usare è Event Log Explorer.
Ma passiamo alla vera analisi.
Nel corso della guida vi spiegheremo come capire se il computer in esame era acceso a una determinata ora di un dato giorno, quanto tempo è durata la sessione, quale utente ha effettuato l'accesso e infine cosa ha fato quel determinato utente.
Il computer era acceso?
La prima cosa che si va a vedere e se ad una determinata ora il pc era effettivamente acceso, in caso contrario sarebbe inutile procedere con l’analisi.
Quello che si deve fare e andare a cercare nel file SysEvent.Evt l’informazione desiderata. Aprite questo file con un normale Event Wiever (come il citato Event Log Explorer).
Generalmente appare un elenco a tabella con tre colonne fondamentali indicanti data, l’ora e il codice dell’evento associato. Su data e ora non occorre alcuna spiegazione. L’ID evento etichetta cosa è accaduto all’ora associata in quella data. Ecco i principali ID:
- 6009 – shutdown o riavvio del sistema;
- 6005 – avvio del servizio di eventlog all’avvio del sistema;
- 6006 – stop del servizio di eventlog.
Quindi se prendiamo in esame l’intervallo di tempo di un certo giorno dobbiamo andare alla ricerca di questi tre ID nel file file SysEvent.Evt.
Trovandoli avremo la certezza che il pc è stato effettivamente acceso in quel determinato lasso di tempo.
Appurato che il pc era acceso ora ci interessa sapere cosa è stato fatto. Questa prima analisi ci dice solo quando è stato acceso e poi spento. Ma noi siamo molto curiosi e vogliamo sapere di più.
Chi ha acceso il PC?
Ricorrendo nuovamente ai file di log degli eventi si cerca di capire quale utente fosse attivo sul pc. Gli eventi 528, 538 e 551 offrono informazioni inerenti a login e logof di un determinato utente. Questa ricerca oltre a essere più laboriosa (nel caso di multi utenti) e complicata può condurre in un vicolo ceco.
La cosa ideale sarebbe, noto l’utente, ricercare nel file SAM i suo ultimi accessi e verificare le coincidenze (attenzione l’ora scritta nel file SAM è quella di Greenwich).
Supponiamo di trovare una coincidenza. Ci rimane solo da capire se il pc è stato realmente usato.
L’utente ha usato il pc?
Capire se l’utente ha usato il pc oppure lo ha semplicemente acceso e in un secondo momento spento non è così facile.
Per questa analisi si ricorre ai MAC Time.
Ma cosa sono questi MAC Time? Il nostro sistema operativo salva le modifiche apportate a un generico file nei MAC Time, questi ultimi possono ritenersi quindi come una specie di archivio in cui vengono memorizzate le informazioni di modifiche su file del pc, per esempio se modifichiamo un file di testo .doc e esistente e poi lo andiamo a salvare, questo operazione viene memorizzata nei MAC Time.
Analizzando i MAC Time si riesce a capire se il nostro utente a effettivamente usato al suo login il pc. Per analizzare questi file si ricorre a software mirati come lo sleuth kit.
In conclusione siamo in grado di sapere se un dato utente a effettuato un login in un dato momento e cosa ha fatto sul pc. Vale la pena osservare che utente non è necessariamente la persona fisica associata, chiunque conosca la password dell’utente in esame può aver effettuato il login in esame.
|
