Blog

Produktmerkmale

Digitale Forensik: Artefakt-Profil – USB-Geräte

ANWENDUNGSNAME: USB-Geräte
KATEGORIE: Betriebssystem
ZUGEHÖRIGE ARTEFAKTE: Keine
BETRIEBSSYSTEME: Windows
QUELLORT:
SYSTEM/CurrentControlSet/Enum/USBSTOR
SYSTEM/MountedDevices
NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2
SYSTEM/CurrentControlSet/Enum/USB
Windows Vista+ & ROOT/Windows/inf/setupapi.dev.log
Windows XP – ROOT/Windows/setupapi.log &

 

Wichtigkeit für Ermittler

Der Verlauf von USB-Geräten kann eine wichtige Beweisquelle sein, wenn ein Prüfer feststellen muss, ob und warum ein externes Gerät an ein System angeschlossen wurde. Er kann Ermittlern auch dabei helfen, zu verstehen, wie USB-Geräte auf einem bestimmten System verwendet wurden, und möglicherweise erklären, wie ein Verdächtiger ein USB-Gerät bei der Begehung eines Verbrechens oder Vorfalls verwendet haben könnte.

Die Analyse von USB-Geräten kann je nach Betriebssystem variieren (z. B. Windows XP vs. 7) und die Art des angeschlossenen USB-Geräts (z. B. USB-Massenspeichergerät, Wechseldatenträger oder MTP-Gerät). Der Gerätetyp bestimmt, welche Treiber auf dem System installiert sind und wie Windows das Gerät behandelt. In den meisten Fällen finden die Ermittler wertvolles Beweismaterial in USB-Massenspeichergeräten, sollten aber auch mit anderen Gerätetypen und deren Handhabung vertraut sein. Bei USB-Massenspeichergeräten müssen die Ermittler in der Regel Details von mehreren Stellen sammeln, um die USB-Aktivität auf einem Windows-PC zu analysieren.

USBSTOR enthält Angaben zum Hersteller und zur Marke des angeschlossenen USB-Geräts sowie die Seriennummer des Geräts (die verwendet werden kann, um den gemounteten Laufwerksbuchstaben, den Benutzer sowie den ersten und letzten Verbindungszeitpunkt des Geräts zu ermitteln).

Der MountedDevices-Schlüssel ermöglicht es den Ermittlern, die Seriennummer des Geräts mit dem angegebenen Laufwerksbuchstaben oder Datenträger abzugleichen, der beim Einstecken des USB-Geräts gemountet wurde. Wenn mehrere USB-Geräte hinzugefügt wurden, können die Prüfer den Laufwerksbuchstaben möglicherweise nicht identifizieren, da der zugeordnete Laufwerksbuchstabe nur die Seriennummer des zuletzt angeschlossenen Geräts anzeigt.

Der MountPoints2-Schlüssel zeigt an, welcher Benutzer angemeldet und aktiv war, als das USB-Gerät angeschlossen wurde. MountPoints2 listet alle Geräte-GUIDs auf, die ein bestimmter Benutzer verbunden hat. Daher müssen Sie möglicherweise jeden NTUSER.dat-Hive auf dem System durchsuchen, um festzustellen, welcher Benutzer ein bestimmtes Gerät verbunden hat.

Der USB-Schlüssel aus dem SYSTEM-Hive liefert den Prüfern Hersteller- und Produkt-ID-Informationen für ein bestimmtes Gerät und gibt außerdem an, wann das USB-Gerät zuletzt an das System angeschlossen wurde. Anhand der letzten Schreibzeit auf dem Schlüssel der Seriennummer des Geräts können die Prüfer feststellen, wann es das letzte Mal angeschlossen wurde.

Außerdem können die Prüfer feststellen, wann das Gerät zum ersten Mal mit dem System verbunden wurde (in Ortszeit), indem sie im setupapi-Protokoll nach der Seriennummer suchen. Im Gegensatz zu den anderen genannten Zeitstempeln (die in UTC gespeichert werden) speichert das setupapi-Protokoll Daten in der lokalen Zeit des Systems und muss daher vor der Durchführung einer Zeitleistenanalyse umgerechnet werden.

Wiederherstellung von USB-Geräten mit Magnet Forensics

Die Tools von Magnet Forensics stellen USB-Historien-Artefakte für Windows XP, Vista, 7 und 8 wieder her. Die Menge der wiederhergestellten Informationen für ein USB-Gerät hängt von der Art des Geräts ab. Hier sind einige Details zu den Artefaktspalten des USB-Geräts, die in den Magnet Forensics Tools gefunden werden:

Kategorie:Identifiziert den Typ des angeschlossenen USB-Geräts. DiskDrive ist der häufigste Eintrag für USB-Massenspeichergeräte. Wenn Ermittler die Spalte „Kategorie“ so sortieren oder filtern, dass nur Laufwerke angezeigt werden, können sie die Suchergebnisse so eingrenzen, dass nur USB-Massenspeichergeräte angezeigt werden.

Die Geräteklassen-ID, die Seriennummer und der Friendly Namewerden zur Identifizierung des angeschlossenen USB-Geräts verwendet.

Zugeordnetes Benutzerkonto: Identifiziert alle Benutzerkonten, die das USB-Gerät angeschlossen haben.

Zuletzt zugewiesener Laufwerksbuchstabe: Gibt den Laufwerksbuchstaben an, der dem Gerät zuletzt zugewiesen wurde.

Letzte Verbindung: Ein Zeitstempel, der aus dem USB-Registrierungsschlüssel im SYSTEM-Hive gezogen wird und angibt, wann das USB-Gerät zuletzt auf dem System gesehen wurde.

Datum/Zeit der ersten Verbindung: Ein Zeitstempel, der aus dem setupapi-Protokoll gezogen und in lokaler Zeit gespeichert wird.

Erste Verbindung seit Reboot:Dieser Zeitstempel kann mit dem Zeitstempel „First Connected Date/Time“ übereinstimmen oder eine aktualisierte Zeit haben, wenn das Gerät seit dem letzten Neustart des Systems verbunden wurde.

Erste Installation und Installation: In Windows 7 wurden Zeitstempel hinzugefügt, die das Datum angeben, an dem der Gerätetreiber erstmals installiert oder aktualisiert wurde. Dies ist nicht unbedingt der Zeitpunkt, an dem das USB-Gerät zum ersten Mal angeschlossen wurde, da der Treiber automatisch von Windows aktualisiert oder von einem ähnlichen Gerät installiert worden sein könnte.

VSN Hex: Wenn das USB-Gerät als Speichergerät in Windows gemountet wurde, zeigt „VSN Hex“ die Volume-Seriennummer an, die beim Formatieren des Geräts erstellt wurde. Dieser Wert kann mit den Seriennummern von Datenträgern in LNK-Dateien und anderen Beweismitteln verglichen werden, um die Dateien zuzuordnen, auf die möglicherweise von dem USB-Gerät zugegriffen wurde.

Letzte Einfügung und letzte Entnahme: Diese Zeitstempel sind nur auf Windows 8-Computern verfügbar.

 

Holo, transparent letter M

Subscribe today to hear directly from Magnet Forensics on the latest product updates, industry trends, and company news.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Nach oben