%RootUsers%User%\Local\
1.3 通讯应用
8、多个应用程序是相互关联的。 例如,电子邮件可以链接到相册,相册可以链接到帐户,多个应用程序的链接允许用户在不同PC上登录时获得相同的Metro用户界面和浏览器设置。 8、允许用户与他人交互的应用程序,例如电子邮件、聊天客户端和社交网站,都是通信应用程序。 通信应用程序有自己的网络缓存,存储在以下目录中:
用于通信应用程序的 Web 缓存:
%RootUsers%User%\Local\.AC
通讯应用:
%RootUsers%User%\Local\.AC
与操作系统同步的联系人列表,如 、 、 等记录在以下位置:
%RootUsers%User%\Local\.\%User'ress%%%\edb####.log
当联系人列表与 8 同步时,8 会将用户磁贴分配给特定联系人。 通讯应用集成了社交网络和社交信息,包括用户联系信息和头像信息。 与联系人关联的用户磁贴可以在以下位置找到:
%RootUsers%User%\Local\.\%User'ress%%%\
1.4 笔记和日记
Note是8中比较流行的一个小工具,它是一个小程序,可以在窗口的任意位置创建方形或长条状的纸条,方便用户随时记录一些信息或者安排日常工作。 用户可以将一些常用的信息记录在便笺中,并将该便笺显示在用户桌面的最前面。 此类便条通常包含电话号码、账号、姓名、行程等关键信息。 因此,在8的调查取证中,便利贴调查是不可忽视的一部分。 8中的注释内容以纯文本形式存储在X:Users\\Notes文件夹下的.snt文件中。
日记是一款主要针对安装有手写设备的电脑的文档编辑程序,文档以jnt格式存储。 与传统文档相比,它能够让用户像在纸质日记中书写一样保存用户的笔迹,并且能够呈现出厚薄感。 对于取证工作来说,日记文件不仅保存了数据信息,其笔迹还可以为破案提供更多线索,比如通过笔迹识别确认电脑的所有者。 8 在用户操作中支持触摸技术,这样不仅可以直接在显示屏上实现触摸控制。 而且,在便签、日记文档的编辑中,可以通过触摸来完成输入。 因此,对于此类计算机取证,还应考虑其特有的问题,如获取嫌疑人指纹、分析触摸笔迹等。
2 传统内容取证分析
2.1 注册表取证分析
注册表是操作系统中的重要数据库,存储系统和应用程序设置信息,是用户活动数据的重要来源,是计算机取证的重要内容。 8 注册表的逻辑结构仍然保留了ROOT、、、、、等五个根键,它们都存储在Hive二进制配置文件中。
1) SAM(安全客户经理)
8、SAM文件采用Hash格式存储本地用户和微软登录帐户的用户密码。 SAM注册表项记录了每个帐户的用户名以及相应的RID、网络用户名和个性化磁贴。 相关键值可以在以下位置找到:
网络用户名:
%\\SAM\Users 用户名
个性化瓷砖:
%\\SAM\Users用户磁贴
2) () 注册表项
软件注册表项包含有关操作系统的信息,例如版本、安装时间、所有者、上次登录用户、用户组信息等。 安装应用程序时,注册表会记录Metro应用程序信息以及安装该应用程序的用户信息。 相关信息可以在以下位置找到:
系统中安装的 Metro 应用程序:
\Appx\
安装 Metro 应用程序的用户帐户:
\Appx\
%SID%
3).DAT用户资料
.DAT 文件记录有关特定用户的信息,例如用户打开了哪些文件、使用了哪些应用程序、访问了哪些网站等等。 在 8 中,.DAT 文件中添加了一个名为“”的新注册表项,用于记录在浏览器中键入 URL 的时间。 该注册表项以二进制方式记录,从 GMT 1601 年 1 月 1 日 00:00:00 开始,时间间隔为 100 纳秒。 相应的信息可以在以下位置找到:
%%Users%User%.DAT\
\
4) 虚拟文件夹和虚拟注册表
8、虚拟文件夹作为用户帐户控制(UAC)功能的主要组成部分,是限制受限制用户行为的一种实现方式。 一般情况下,受限用户不能直接对以下受保护的关键文件夹进行写操作:
C: C:文件 C:数据
当受限用户写入上述位置时,它将被传输到指定的虚拟文件夹,该文件夹位于 X:Users%%\
当地的。 同样,作为用户帐户控制 (UAC) 的功能,虚拟注册表的用途与虚拟文件夹的用途类似。 虚拟注册表也主要用于保护系统关键位置受限用户的注册表操作。
8、非管理员用户对注册表的写入行为将被重定向到\\
\,这些虚拟注册表并不存储在相应的.DAT中,而是存储在名为.dat的文件中,该文件位于X:Users%%\Local\目录中。 因此,在对8注册表进行取证调查时,除了调查相应的.DAT文件外,还需要找到受限制用户的.dat文件。
2.2 回收站取证分析
回收站取证是计算机取证的重要组成部分。 早期,比如95或XP,会在回收站中创建一个数据文件Info2(或Info),用于存储所有已删除文件的信息。 8系统放弃了Info2文件,并为每个删除的文件创建了一个单独的记录文件。 8、回收站在资源管理器中可见。 一般位于逻辑卷的根目录下,文件名为$.bin。 一般可以通过在“文件夹选项”中设置系统文件可见来查看。 8以下的回收站主要有以下特点:
1)使用取证软件打开逻辑卷,展开$.bin,可以看到以用户SID命名的子文件夹,里面存放着指定用户删除到回收站的文件; 2)不再有INFO2文件; 3)当文件被删除到回收站时,会生成两个文件,$I和$R文件,分别以$I******和$R******命名,文件名包含随机字符,扩展名是原始文件扩展名。 4)$I文件包含被删除文件的原始路径和删除时间信息。
2.3 加密取证分析
8.支持To Go,可以基于AES算法对本地硬盘或移动存储设备进行加密,更有效地防止数据泄露。 Vista和7中加密卷的VBR标头与Vista和7中加密卷的VBR标头略有不同。在现场调查过程中,调查人员可以通过分析快速确认加密卷所属操作系统的版本可疑加密卷的标头,以便以正确的方式进行操作。
系统盘加密主要有两种工作模式:TPM()模式和U盘模式(两种模式可以同时启用,以实现高级别的安全性)。 使用TPM模式时,需要使用系统内置的TPM芯片并配合启动PIN进行加密和解密。 当硬盘连接到其他电脑时,无法读取数据。 当使用U盘模式时,用于解密的密钥将保存在U盘上。 无论哪种模式,如果启用了系统盘,则必须提供密钥才能启动。 对其他分区实施时,可以采用密码解锁或智能卡解锁。 To Go可用于加密移动存储设备上的整个分区,并设置密码和恢复密钥文件。 每次读写设备时都需要输入密码,当忘记密码时可以使用恢复密钥文件设置新的解锁密码。
3 系统安全机制分析
作为广泛使用的操作系统,操作系统的安全机制一直是研究热点,8在安全机制上做出了很大的改进。 1)用户态安全性改进:主要采用64位自下而上/自上而下的高熵强制地址空间随机化(ASLR)技术和优化的低碎片堆(LFH)堆技术。 2)内核态安全改进:主要是数据执行防护(DEP)、内核级ASLR、空值引用保护技术、禁止系统调用等。 3)硬件层安全改进:主要是UEFI启动技术、Intel Key技术和Intel SMEP(监督模式执行保护机制)技术。
虽然8的安全机制有了很大的改进,但仍然存在可被利用的漏洞。 1)ASLR漏洞分析:基于时间侧通道攻击的内核ASLR绕过技术。 纯粹的信息泄露漏洞可能会遇到但不会受到追捧,因此安全研究人员提出可以利用用户态下权限有限的程序来入侵操作系统的内存管理模块,以推出其内核地址空间的布局,其本质在于操作系统在实现内存分类机制时,没有区分用户态和内核态的代码空间,这就导致了侧通道的构建,它首先试图在系统中控制系统用户态中的特定状态,然后测量一次内存访问操作的持续时间,而这个时间间隔可以用来推测内核地址空间布局。 2)DEP漏洞分析:基于DEP绕过技术。 为了兼容老版本的ATL( ,活动模板库)框架,其内核中支持ATL Thunk,判断DEP触发的访问异常是否是ATL Thunk引起的,如果是,则恢复正常程序的执行状态。 判断进程是否ATL Thunk兼容的标志是由TEB结构中的字段决定的,它提供了一种绕过DEP的方法:通过将进程的TEB设置为1。 3)SMEP漏洞分析:基于SMEP绕过技术。 在内核中,通常用来判断一个地址是属于用户态还是内核态,因此一种可行的攻击方案是:将其替换为更大的值,从而修改用户态和内核态的地址边界。 结合SMEP绕过技术的内核溢出方案如下:利用该漏洞修改指针,由于修改了指针,可以任意写入内核内存,写入触发,立即恢复内容(防止BSOD) 。
4 尾声
8为用户提供了更稳定的系统性能和更安全的操作环境,但也给计算机取证工作带来了新的问题。
与7相比,8虽然在操作系统底层结构上没有做出重大调整,但更加注重互联网漫游账户、云存储等社交媒体和网络应用的使用。
以上是对8操作系统的计算机取证特点和安全机制的简要分析。 由于篇幅有限,有些特性和功能没有提及,目前主流的取证分析软件已经提供了8种全面的取证分析。希望本文能够为计算机取证调查人员在进行8种取证调查时提供一些理论参考。
好了,今天的主题就讲到这里吧,不管如何,能帮到你我就很开心了,如果您觉得这篇文章写得不错,欢迎点赞和分享给身边的朋友。
