विंडोज- II में महत्वपूर्ण कलाकृतियाँ

यह अध्याय विंडोज में कुछ और महत्वपूर्ण कलाकृतियों और पायथन का उपयोग करके उनके निष्कर्षण विधि के बारे में बात करता है।

उपयोगकर्ता की गतिविधियाँ

विंडोज होने NTUSER.DATविभिन्न उपयोगकर्ता गतिविधियों के भंडारण के लिए फ़ाइल। हर उपयोगकर्ता प्रोफ़ाइल की तरह हाइव कर रहा हैNTUSER.DAT, जो विशेष रूप से उस उपयोगकर्ता से संबंधित जानकारी और कॉन्फ़िगरेशन को संग्रहीत करता है। इसलिए, यह फोरेंसिक विश्लेषकों द्वारा जांच के उद्देश्य के लिए अत्यधिक उपयोगी है।

निम्नलिखित पायथन लिपि कुछ कुंजियों को पार्स करेगी NTUSER.DATसिस्टम पर उपयोगकर्ता के कार्यों की खोज के लिए। आगे बढ़ने से पहले, पायथन लिपि के लिए, हमें तीसरे पक्ष के मॉड्यूल को स्थापित करना होगाRegistry, pytsk3, pyewf और Jinja2। हम उन्हें स्थापित करने के लिए पाइप का उपयोग कर सकते हैं।

हम जानकारी निकालने के लिए निम्नलिखित चरणों का पालन कर सकते हैं NTUSER.DAT फ़ाइल -

  • सबसे पहले, सभी को खोजें NTUSER.DAT सिस्टम में फ़ाइलें।

  • फिर पार्स करें WordWheelQuery, TypePath and RunMRU प्रत्येक के लिए महत्वपूर्ण है NTUSER.DAT फ़ाइल।

  • अंत में हम इन कलाकृतियों को, पहले से संसाधित, HTML रिपोर्ट में उपयोग करके लिखेंगे Jinja2 fmodule।

पायथन कोड

आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -

सबसे पहले, हमें निम्नलिखित पायथन मॉड्यूल को आयात करने की आवश्यकता है -

from __future__ import print_function
from argparse import ArgumentParser

import os
import StringIO
import struct

from utility.pytskutil import TSKUtil
from Registry import Registry
import jinja2

अब, कमांड-लाइन हैंडलर के लिए तर्क प्रदान करें। यहाँ यह तीन तर्क स्वीकार करेगा - पहला सबूत फ़ाइल का रास्ता है, दूसरा सबूत फ़ाइल का प्रकार है और तीसरा HTML रिपोर्ट का वांछित आउटपुट पथ है, जैसा कि नीचे दिखाया गया है -

if __name__ == '__main__':
   parser = argparse.ArgumentParser('Information from user activities')
   parser.add_argument('EVIDENCE_FILE',help = "Path to evidence file")
   parser.add_argument('IMAGE_TYPE',help = "Evidence file format",choices = ('ewf', 'raw'))
   parser.add_argument('REPORT',help = "Path to report file")
   args = parser.parse_args()
   main(args.EVIDENCE_FILE, args.IMAGE_TYPE, args.REPORT)

अब, हम परिभाषित करते हैं main() सभी को खोजने के लिए कार्य करते हैं NTUSER.DAT फाइलें, जैसा कि दिखाया गया है -

def main(evidence, image_type, report):
   tsk_util = TSKUtil(evidence, image_type)
   tsk_ntuser_hives = tsk_util.recurse_files('ntuser.dat','/Users', 'equals')
   
   nt_rec = {
      'wordwheel': {'data': [], 'title': 'WordWheel Query'},
      'typed_path': {'data': [], 'title': 'Typed Paths'},
      'run_mru': {'data': [], 'title': 'Run MRU'}
   }

अब, हम कुंजी को खोजने का प्रयास करेंगे NTUSER.DAT फ़ाइल और एक बार जब आप इसे पा लेते हैं, तो नीचे दिखाए गए अनुसार उपयोगकर्ता प्रसंस्करण कार्यों को परिभाषित करें -

for ntuser in tsk_ntuser_hives:
   uname = ntuser[1].split("/")

open_ntuser = open_file_as_reg(ntuser[2])
try:
   explorer_key = open_ntuser.root().find_key("Software").find_key("Microsoft")
      .find_key("Windows").find_key("CurrentVersion").find_key("Explorer")
   except Registry.RegistryKeyNotFoundException:
      continue
   nt_rec['wordwheel']['data'] += parse_wordwheel(explorer_key, uname)
   nt_rec['typed_path']['data'] += parse_typed_paths(explorer_key, uname)
   nt_rec['run_mru']['data'] += parse_run_mru(explorer_key, uname)
   nt_rec['wordwheel']['headers'] = \ nt_rec['wordwheel']['data'][0].keys()
   nt_rec['typed_path']['headers'] = \ nt_rec['typed_path']['data'][0].keys()
   nt_rec['run_mru']['headers'] = \ nt_rec['run_mru']['data'][0].keys()

अब, शब्दकोश ऑब्जेक्ट और इसके पथ को पास करें write_html() विधि इस प्रकार है -

write_html(report, nt_rec)

अब, एक विधि परिभाषित करें, जो लेता है pytsk फ़ाइल संभाल और इसे के माध्यम से रजिस्ट्री वर्ग में पढ़ें StringIO कक्षा।

def open_file_as_reg(reg_file):
   file_size = reg_file.info.meta.size
   file_content = reg_file.read_random(0, file_size)
   file_like_obj = StringIO.StringIO(file_content)
   return Registry.Registry(file_like_obj)

अब, हम उस फ़ंक्शन को परिभाषित करेंगे जो पार्स और हैंडल करेगा WordWheelQuery से की NTUSER.DAT फाइल इस प्रकार है -

def parse_wordwheel(explorer_key, username):
   try:
      wwq = explorer_key.find_key("WordWheelQuery")
   except Registry.RegistryKeyNotFoundException:
      return []
   mru_list = wwq.value("MRUListEx").value()
   mru_order = []
   
   for i in xrange(0, len(mru_list), 2):
      order_val = struct.unpack('h', mru_list[i:i + 2])[0]
   if order_val in mru_order and order_val in (0, -1):
      break
   else:
      mru_order.append(order_val)
   search_list = []
   
   for count, val in enumerate(mru_order):
      ts = "N/A"
      if count == 0:
         ts = wwq.timestamp()
      search_list.append({
         'timestamp': ts,
         'username': username,
         'order': count,
         'value_name': str(val),
         'search': wwq.value(str(val)).value().decode("UTF-16").strip("\x00")
})
   return search_list

अब, हम उस फ़ंक्शन को परिभाषित करेंगे जो पार्स और हैंडल करेगा TypedPaths से की NTUSER.DAT फाइल इस प्रकार है -

def parse_typed_paths(explorer_key, username):
   try:
      typed_paths = explorer_key.find_key("TypedPaths")
   except Registry.RegistryKeyNotFoundException:
      return []
   typed_path_details = []
   
   for val in typed_paths.values():
      typed_path_details.append({
         "username": username,
         "value_name": val.name(),
         "path": val.value()
      })
   return typed_path_details

अब, हम उस फ़ंक्शन को परिभाषित करेंगे जो पार्स और हैंडल करेगा RunMRU से की NTUSER.DAT फाइल इस प्रकार है -

def parse_run_mru(explorer_key, username):
   try:
      run_mru = explorer_key.find_key("RunMRU")
   except Registry.RegistryKeyNotFoundException:
      return []
   
   if len(run_mru.values()) == 0:
      return []
   mru_list = run_mru.value("MRUList").value()
   mru_order = []
   
   for i in mru_list:
      mru_order.append(i)
   mru_details = []
   
   for count, val in enumerate(mru_order):
      ts = "N/A"
      if count == 0:
         ts = run_mru.timestamp()
      mru_details.append({
         "username": username,
         "timestamp": ts,
         "order": count,
         "value_name": val,
         "run_statement": run_mru.value(val).value()
      })
   return mru_details

अब, निम्न फ़ंक्शन HTML रिपोर्ट के निर्माण को संभालेगा -

def write_html(outfile, data_dict):
   cwd = os.path.dirname(os.path.abspath(__file__))
   env = jinja2.Environment(loader=jinja2.FileSystemLoader(cwd))
   template = env.get_template("user_activity.html")
   rendering = template.render(nt_data=data_dict)
   
   with open(outfile, 'w') as open_outfile:
      open_outfile.write(rendering)

अंत में हम रिपोर्ट के लिए HTML दस्तावेज़ लिख सकते हैं। उपरोक्त स्क्रिप्ट को चलाने के बाद, हम HTML दस्तावेज़ प्रारूप में NTUSER.DAT फ़ाइल से जानकारी प्राप्त करेंगे।

लिंक फ़ाइलें

शॉर्टकट फाइलें तब बनाई जाती हैं जब कोई उपयोगकर्ता या ऑपरेटिंग सिस्टम उन फाइलों के लिए शॉर्टकट फाइलें बनाता है जो अक्सर उपयोग की जाती हैं, संलग्न ड्राइव जैसे सिस्टम ड्राइव से डबल क्लिक या एक्सेस की जाती हैं। इस तरह की शॉर्टकट फाइलों को लिंक फाइल्स कहा जाता है। इन लिंक फ़ाइलों तक पहुँचने के लिए, एक अन्वेषक खिड़की की गतिविधि जैसे समय और स्थान जहाँ से इन फ़ाइलों तक पहुँचा जा सकता है।

आइए हम पायथन स्क्रिप्ट पर चर्चा करें जिसका उपयोग हम इन विंडोज लिंक फाइलों से जानकारी प्राप्त करने के लिए कर सकते हैं।

पायथन लिपि के लिए, तीसरे पक्ष के मॉड्यूल को स्थापित करें pylnk, pytsk3, pyewf। हम जानकारी निकालने के लिए निम्नलिखित चरणों का पालन कर सकते हैंlnk फ़ाइलें

  • सबसे पहले, खोजें lnk सिस्टम के भीतर फाइलें।

  • फिर, उनके माध्यम से पुनरावृति करके उस फ़ाइल से जानकारी निकालें।

  • अब, आख़िरकार हमें एक सीएसवी रिपोर्ट के लिए इस जानकारी की आवश्यकता है।

पायथन कोड

आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -

सबसे पहले, निम्नलिखित पायथन पुस्तकालयों का आयात करें -

from __future__ import print_function
from argparse import ArgumentParser

import csv
import StringIO

from utility.pytskutil import TSKUtil
import pylnk

अब, कमांड-लाइन हैंडलर के लिए तर्क प्रदान करें। यहाँ यह तीन तर्क स्वीकार करेगा - पहला सबूत फ़ाइल का मार्ग है, दूसरा सबूत फ़ाइल का प्रकार है और तीसरा सीएसवी रिपोर्ट का वांछित आउटपुट पथ है, जैसा कि नीचे दिखाया गया है -

if __name__ == '__main__':
   parser = argparse.ArgumentParser('Parsing LNK files')
   parser.add_argument('EVIDENCE_FILE', help = "Path to evidence file")
   parser.add_argument('IMAGE_TYPE', help = "Evidence file format",choices = ('ewf', 'raw'))
   parser.add_argument('CSV_REPORT', help = "Path to CSV report")
   args = parser.parse_args()
   main(args.EVIDENCE_FILE, args.IMAGE_TYPE, args.CSV_REPORT)

अब, एक वस्तु का निर्माण करके साक्ष्य फ़ाइल की व्याख्या करें TSKUtil और फाइल सिस्टम के माध्यम से पुनरावृति यह फाइलों को खोजने के लिए समाप्त होती है lnk। इसे परिभाषित करके किया जा सकता हैmain() कार्य निम्नानुसार है -

def main(evidence, image_type, report):
   tsk_util = TSKUtil(evidence, image_type)
   lnk_files = tsk_util.recurse_files("lnk", path="/", logic="endswith")
   
   if lnk_files is None:
      print("No lnk files found")
      exit(0)
   columns = [
      'command_line_arguments', 'description', 'drive_serial_number',
      'drive_type', 'file_access_time', 'file_attribute_flags',
      'file_creation_time', 'file_modification_time', 'file_size',
      'environmental_variables_location', 'volume_label',
      'machine_identifier', 'local_path', 'network_path',
      'relative_path', 'working_directory'
   ]

अब निम्नलिखित कोड की मदद से, हम इसके माध्यम से पुनरावृत्ति करेंगे lnk निम्नानुसार एक फंक्शन बनाकर फाइल -

parsed_lnks = []

for entry in lnk_files:
   lnk = open_file_as_lnk(entry[2])
   lnk_data = {'lnk_path': entry[1], 'lnk_name': entry[0]}
   
   for col in columns:
      lnk_data[col] = getattr(lnk, col, "N/A")
   lnk.close()
   parsed_lnks.append(lnk_data)
write_csv(report, columns + ['lnk_path', 'lnk_name'], parsed_lnks)

अब हमें दो कार्यों को परिभाषित करने की आवश्यकता है, एक खुल जाएगा pytsk फ़ाइल ऑब्जेक्ट और अन्य का उपयोग सीएसवी रिपोर्ट लिखने के लिए किया जाएगा जैसा कि नीचे दिखाया गया है -

def open_file_as_lnk(lnk_file):
   file_size = lnk_file.info.meta.size
   file_content = lnk_file.read_random(0, file_size)
   file_like_obj = StringIO.StringIO(file_content)
   lnk = pylnk.file()
   lnk.open_file_object(file_like_obj)
   return lnk
def write_csv(outfile, fieldnames, data):
   with open(outfile, 'wb') as open_outfile:
      csvfile = csv.DictWriter(open_outfile, fieldnames)
      csvfile.writeheader()
      csvfile.writerows(data)

उपरोक्त स्क्रिप्ट को चलाने के बाद, हमें खोज की जानकारी मिल जाएगी lnk CSV रिपोर्ट में फ़ाइलें -

फाइलें प्रीफैच करें

जब भी कोई एप्लिकेशन किसी विशेष स्थान से पहली बार चल रहा होता है, तो विंडोज बनाता है prefetch files। इनका उपयोग एप्लिकेशन स्टार्टअप प्रक्रिया को गति देने के लिए किया जाता है। इन फ़ाइलों के लिए एक्सटेंशन है.PF और इनमें जमा हो जाती है ”\Root\Windows\Prefetch” फ़ोल्डर।

डिजिटल फोरेंसिक विशेषज्ञ उपयोगकर्ता के विवरण के साथ एक निर्दिष्ट स्थान से कार्यक्रम के निष्पादन के साक्ष्य को प्रकट कर सकते हैं। प्रीफ़ैच फाइलें परीक्षक के लिए उपयोगी कलाकृतियां हैं क्योंकि कार्यक्रम के नष्ट होने या अन-इंस्टॉल होने के बाद भी उनकी प्रविष्टि बनी रहती है।

आइए पायथन स्क्रिप्ट पर चर्चा करें जो नीचे दी गई जानकारी के अनुसार विंडोज प्रीफैच फाइलों से जानकारी प्राप्त करेगी -

पायथन लिपि के लिए, तीसरे पक्ष के मॉड्यूल को स्थापित करें pylnk, pytsk3 तथा unicodecsv। याद करें कि हमने पहले ही इन पुस्तकालयों के साथ पायथन लिपियों में काम किया है जिनकी चर्चा हमने पिछले अध्यायों में की है।

हमें जानकारी निकालने के लिए नीचे दिए गए चरणों का पालन करना होगा prefetch फ़ाइलें -

  • सबसे पहले, के लिए स्कैन करें .pf एक्सटेंशन फाइलें या प्रीफैच फाइलें।

  • अब, झूठी सकारात्मकता को समाप्त करने के लिए हस्ताक्षर सत्यापन करें।

  • इसके बाद, विंडोज प्रीफैच फाइल फॉर्मेट को पार्स करें। यह विंडोज संस्करण के साथ अलग है। उदाहरण के लिए, विंडोज एक्सपी के लिए यह 17 है, विंडोज विस्टा के लिए और विंडोज 7 के लिए यह 23 है, विंडोज 8.1 के लिए 26 और विंडोज 10 के लिए 30 है।

  • अंत में, हम एक CSV फ़ाइल में पार्स किए गए परिणाम को लिखेंगे।

पायथन कोड

आइए देखें कि इस उद्देश्य के लिए पायथन कोड का उपयोग कैसे करें -

सबसे पहले, निम्नलिखित पायथन पुस्तकालयों का आयात करें -

from __future__ import print_function
import argparse
from datetime import datetime, timedelta

import os
import pytsk3
import pyewf
import struct
import sys
import unicodecsv as csv
from utility.pytskutil import TSKUtil

अब, कमांड-लाइन हैंडलर के लिए एक तर्क प्रदान करें। यहाँ यह दो तर्कों को स्वीकार करेगा, पहला सबूत फ़ाइल का रास्ता होगा और दूसरा सबूत फ़ाइल का प्रकार होगा। यह प्रीफ़ेच फ़ाइलों के लिए स्कैन करने के लिए पथ निर्दिष्ट करने के लिए एक वैकल्पिक तर्क को भी स्वीकार करता है -

if __name__ == "__main__":
   parser = argparse.ArgumentParser('Parsing Prefetch files')
   parser.add_argument("EVIDENCE_FILE", help = "Evidence file path")
   parser.add_argument("TYPE", help = "Type of Evidence",choices = ("raw", "ewf"))
   parser.add_argument("OUTPUT_CSV", help = "Path to write output csv")
   parser.add_argument("-d", help = "Prefetch directory to scan",default = "/WINDOWS/PREFETCH")
   args = parser.parse_args()
   
   if os.path.exists(args.EVIDENCE_FILE) and \
      os.path.isfile(args.EVIDENCE_FILE):
   main(args.EVIDENCE_FILE, args.TYPE, args.OUTPUT_CSV, args.d)
else:
   print("[-] Supplied input file {} does not exist or is not a ""file".format(args.EVIDENCE_FILE))
   sys.exit(1)

अब, एक वस्तु का निर्माण करके साक्ष्य फ़ाइल की व्याख्या करें TSKUtil और फाइल सिस्टम के माध्यम से पुनरावृति यह फाइलों को खोजने के लिए समाप्त होती है .pf। इसे परिभाषित करके किया जा सकता हैmain() कार्य निम्नानुसार है -

def main(evidence, image_type, output_csv, path):
   tsk_util = TSKUtil(evidence, image_type)
   prefetch_dir = tsk_util.query_directory(path)
   prefetch_files = None
   
   if prefetch_dir is not None:
      prefetch_files = tsk_util.recurse_files(".pf", path=path, logic="endswith")
   
   if prefetch_files is None:
      print("[-] No .pf files found")
      sys.exit(2)
   print("[+] Identified {} potential prefetch files".format(len(prefetch_files)))
   prefetch_data = []
   
   for hit in prefetch_files:
      prefetch_file = hit[2]
      pf_version = check_signature(prefetch_file)

अब, एक विधि परिभाषित करें जो नीचे दिखाए अनुसार हस्ताक्षरों का सत्यापन करेगी -

def check_signature(prefetch_file):
   version, signature = struct.unpack("^<2i", prefetch_file.read_random(0, 8))
   
   if signature == 1094927187:
      return version
   else:
      return None
   
   if pf_version is None:
      continue
   pf_name = hit[0]
   
   if pf_version == 17:
      parsed_data = parse_pf_17(prefetch_file, pf_name)
      parsed_data.append(os.path.join(path, hit[1].lstrip("//")))
      prefetch_data.append(parsed_data)

अब, विंडोज प्रीफैच फाइलों को प्रोसेस करना शुरू करें। यहां हम विंडोज एक्सपी प्रीफैच फाइलों का उदाहरण ले रहे हैं -

def parse_pf_17(prefetch_file, pf_name):
   create = convert_unix(prefetch_file.info.meta.crtime)
   modify = convert_unix(prefetch_file.info.meta.mtime)
def convert_unix(ts):
   if int(ts) == 0:
      return ""
   return datetime.utcfromtimestamp(ts)
def convert_filetime(ts):
   if int(ts) == 0:
      return ""
   return datetime(1601, 1, 1) + timedelta(microseconds=ts / 10)

अब, प्रीफ़ेट की गई फ़ाइलों के भीतर जमा किए गए डेटा को निम्नानुसार संरचना का उपयोग करके निकालें -

pf_size, name, vol_info, vol_entries, vol_size, filetime, \
   count = struct.unpack("<i60s32x3iq16xi",prefetch_file.read_random(12, 136))
name = name.decode("utf-16", "ignore").strip("/x00").split("/x00")[0]

vol_name_offset, vol_name_length, vol_create, \
   vol_serial = struct.unpack("<2iqi",prefetch_file.read_random(vol_info, 20))
   vol_serial = hex(vol_serial).lstrip("0x")
   vol_serial = vol_serial[:4] + "-" + vol_serial[4:]
   vol_name = struct.unpack(
      "<{}s".format(2 * vol_name_length),
      prefetch_file.read_random(vol_info + vol_name_offset,vol_name_length * 2))[0]

vol_name = vol_name.decode("utf-16", "ignore").strip("/x00").split("/x00")[0]
return [
   pf_name, name, pf_size, create,
   modify, convert_filetime(filetime), count, vol_name,
   convert_filetime(vol_create), vol_serial ]

जैसा कि हमने विंडोज एक्सपी के लिए प्रीफैच संस्करण प्रदान किया है लेकिन क्या होगा अगर यह अन्य विंडोज के लिए प्रीफच वर्जन का सामना करेगा। फिर उसे निम्नानुसार एक त्रुटि संदेश प्रदर्शित करना होगा -

elif pf_version == 23:
   print("[-] Windows Vista / 7 PF file {} -- unsupported".format(pf_name))
   continue
elif pf_version == 26:
   print("[-] Windows 8 PF file {} -- unsupported".format(pf_name))
   continue
elif pf_version == 30:
   print("[-] Windows 10 PF file {} -- unsupported".format(pf_name))
continue

else:
   print("[-] Signature mismatch - Name: {}\nPath: {}".format(hit[0], hit[1]))
continue
write_output(prefetch_data, output_csv)

अब, सीएसवी रिपोर्ट में परिणाम लिखने की विधि को इस प्रकार परिभाषित करें -

def write_output(data, output_csv):
   print("[+] Writing csv report")
   with open(output_csv, "wb") as outfile:
      writer = csv.writer(outfile)
      writer.writerow([
         "File Name", "Prefetch Name", "File Size (bytes)",
         "File Create Date (UTC)", "File Modify Date (UTC)",
         "Prefetch Last Execution Date (UTC)",
         "Prefetch Execution Count", "Volume", "Volume Create Date",
         "Volume Serial", "File Path" ])
      writer.writerows(data)

उपरोक्त स्क्रिप्ट को चलाने के बाद, हम विंडोज एक्सपी संस्करण की प्रीफ़ैच फ़ाइलों से एक स्प्रेडशीट में जानकारी प्राप्त करेंगे।