Criminalistique numérique : Profil d’artéfact – Périphériques USB
NOM DE L’APPLICATION : Périphériques USB
CATÉGORIE : Système d’exploitation
ARTÉFACTS CONNEXES : Aucun
SYSTÈMES D’EXPLOITATION : Windows
EMPLACEMENT DE LA SOURCE :
SYSTEM/CurrentControlSet/Enum/USBSTOR
SYSTEM/MountedDevices
NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2
SYSTEM/CurrentControlSet/Enum/USB
Windows Vista+ – ROOT/Windows/inf/setupapi.dev.log
Windows XP – ROOT/Windows/setupapi.log
Importance pour les enquêteurs
L’historique d’un périphérique USB peut être une excellente source de preuve lorsqu’un examinateur a besoin de déterminer si et pourquoi un appareil externe a été connecté à un système. Cela peut également aider les enquêteurs à comprendre comment les périphériques USB ont été utilisés sur un système donné et potentiellement à expliquer comment un suspect a pu utiliser un périphérique USB pour commettre un crime ou une infraction.
L’analyse de périphériques USB peut varier selon le système d’exploitation (p. ex., Windows XP ou 7) et le type de périphérique USB connecté (p. ex., un périphérique de stockage de masse USB, un appareil de stockage amovible ou un appareil MTP). Le type d’appareil déterminera quels pilotes ont été installés sur le système et comment Windows gère l’appareil. La plupart du temps, les examinateurs trouveront des preuves précieuses sur les périphériques de stockage de masse USB, mais devraient tout de même connaître d’autres types d’appareils et la façon dont ils sont gérés. Généralement, pour les périphériques de stockage de masse USB, les examinateurs devront collecter des détails issus de plusieurs emplacements afin d’analyser l’activité USB sur un PC Windows.
USBSTOR contient des détails sur le fournisseur et la marque du périphérique USB connecté, ainsi que le numéro de série du périphérique (qui peut être utilisé pour identifier la lettre de disque dur monté, l’utilisateur, ainsi que la première et la dernière connexion du périphérique).
La clé MountedDevices permet aux enquêteurs de faire correspondre le numéro de série de l’appareil à la lettre du disque ou au volume donné qui a été monté lorsque le périphérique USB a été inséré. Si plusieurs périphériques USB ont été ajoutés, il est possible que les examinateurs ne soient pas en mesure d’identifier la lettre du disque, car la lettre du disque mappé affichera uniquement le numéro de série de l’appareil le plus récemment monté.
La clé MountPoints2 révèlera quel utilisateur était connecté et actif lorsque le périphérique USB a été connecté. MountPoints2 répertorie tous les GUID qu’un utilisateur particulier a connectés et il est donc possible que vous deviez inspecter chaque ruche NTUSER.dat sur le système pour identifier quel utilisateur a connecté un appareil en particulier.
La clé USB issue de la ruche SYSTÈME fournit aux examinateurs des informations d’identification sur le fournisseur et le produit pour un appareil donné, et elle détermine également la dernière fois que le périphérique USB a été connecté au système. En utilisant l’heure de la dernière écriture sur la clé du numéro de série de l’appareil, les examinateurs peuvent identifier la dernière fois qu’il a été connecté.
De plus, les examinateurs peuvent identifier le moment où l’appareil a été connecté au système pour la première fois (heure locale) en cherchant le numéro de série dans le journal setupapi. Contrairement aux autres horodatages mentionnés (qui sont stockés avec le fuseau horaire UTC), le journal setupapi stocke les données dans l’heure locale du système et doit dont être converti avant d’effectuer une analyse de chronologie.
Récupération de périphérique USB avec Magnet Forensics
Les outils Magnet Forensics récupèreront des artéfacts d’historique USB pour Windows XP, Vista, 7 et 8. La quantité d’informations récupérées pour un périphérique USB dépendra du type de périphérique. Voici quelques détails relatifs aux colonnes d’artéfact de périphérique USB présentes dans les outils Magnet Forensics :
Classe :Identifie le type de périphérique USB en cours de connexion. DiskDrive est l’entrée la plus courante pour les périphériques de stockage de masse USB. Si les examinateurs trient ou filtrent la colonne « Classe » pour afficher uniquement DiskDrive, ils peuvent affiner les résultats de la recherche pour afficher uniquement les périphériques de stockage de masse USB.
L’ID de classe, le numéro de série et le nom convivial du périphérique sont utilisés pour identifier le périphérique USB connecté.
Compte d’utilisateur associé : Identifie tous les comptes d’utilisateurs qui se sont connectés au périphérique USB.
Dernière lettre de lecteur attribuée: Identifie la dernière lettre du disque qui a été attribuée à l’appareil.
Dernier connecté : Un horodatage extrait de la clé de registre USB dans la ruche SYSTÈME qui indique le moment où le périphérique USB a été vu pour la dernière fois sur le système
Date/heure de première connexion : Un horodatage extrait du journal setupapi et stocké dans l’heure locale.
Première connexion depuis le redémarrage :Cet horodatage peut correspondre à l’horodatage « Date/heure de première connexion » ou il peut avoir une heure mise à jour si le périphérique a été connecté depuis le dernier redémarrage du système.
Première installation et installation : Les horodatages ajoutés à Windows 7 qui indiquent la date à laquelle le pilote de l’appareil a été installé ou mis à jour pour la première fois. Cela n’indique pas nécessairement le moment où le périphérique USB a été connecté pour la première fois, puisque le pilote aurait pu être mis à jour automatiquement par Windows ou installé par un appareil similaire.
Hexadécimal VSN : Si le périphérique USB était monté en tant que périphérique de stockage dans Windows, « Hexadécimal VSN » afficherait le numéro de série du volume qui a été créé lorsque le périphérique a été formaté. Cette valeur peut être comparée aux numéros de série de volume trouvés dans les fichiers LNK et d’autres sources de preuves afin de corréler des fichiers qui ont potentiellement été ouverts à partir du périphérique USB.
Dernière insertionet dernier retrait : Ces horodatages sont uniquement disponibles dans les ordinateurs Windows 8.