Bei der Durchführung von Nachforschungen oder Audits an einem Computer ist es wichtig zu wissen, ob nicht autorisierte Geräte angeschlossen wurden oder welche Geräte verwendet wurden , z. B. USB-Sticks, Drucker oder andere Geräte. Um diese Geräte in Windows zu erkennen, verwenden wir die Windows-Registrierung, in der diese Informationen gespeichert sind, und können ermitteln, welche Geräte angeschlossen sind, wer, was, wo und wie die Aktivität auf dem Computer ausgeführt wurde, den wir überwachen, oder auch wenn Wir haben ein Disk-Image, wie wir es im Tutorial Disk-Image mit FTK Imager analysieren gesehen haben .
In diesem Lernprogramm erfahren Sie, wo und wie Sie den Verlauf von Geräten durchsuchen, die über die Windows-Registrierung verbunden wurden . Jedes Mal, wenn wir ein Gerät über USB oder einen anderen Anschluss anschließen, wird dieses Ereignis in der Windows-Registrierung gespeichert. Daher hinterlässt es eine Spur und wir konzentrieren uns auf die Suche nach Speichergeräten in der Registrierung.
Die Registrierung in einem Windows-System unterscheidet sich geringfügig von einer Version zur anderen. Wenn wir jedoch das Wesentliche untersuchen, ist dies bei fast allen Versionen von Windows und anderen Betriebssystemen der Fall. Für dieses Tutorial verwenden wir Windows 7, im Allgemeinen sind die Schritte für jede Version ähnlich.
Der erste Schritt ist das Öffnen von Regedit. Dies können wir über das Windows-Menü mit der Option Ausführen oder in das Suchfeld geben wir redegit ein.
Als nächstes drücken wir OK und der Windows-Registrierungseditor wird geöffnet. Dort sehen wir, dass die Registrierungsschlüssel Ordner eines Schlüsselbaums sind. Jeder Schlüssel kann zusätzlich zu den Datenwerten Unterschlüssel enthalten.
Um eine Spur von USB-Speichergeräten zu finden , müssen Sie in der Registrierung nach dem folgenden Schlüssel suchen:
HK_LOCAL_MACHINE System ControlSet001 Enum USB
Die beiden Unterschlüssel ControlSet001 , ControlSet002, sind eine Kopie, die erstellt wird, wenn der Computer erfolgreich gestartet wurde. Mit diesem Kontrollsatz können Sie feststellen, welcher der letzten Starts ohne Probleme oder die letzte als funktionierend bekannte Konfiguration war. In diesem Schlüssel finden Sie Hinweise auf ein USB-Speichergerät, das an dieses System angeschlossen wurde. Im USB-Schlüssel befinden sich beispielsweise mehrere Subgeräte, von denen eines einem Motorola XT1040-Mobiltelefon entspricht Irgendwann über USB verbunden. 
Wenn Sie einen anderen Unterschlüssel analysieren, sehen Sie, dass ein Lexmark X1100-Scanner angeschlossen wurde. Bei diesem Gerät handelt es sich um einen Multifunktionsdrucker. Der Datensatz zeigt jedoch an, dass der USBScan-Dienst verwendet wurde und nicht USBPrint.
Mit dem USB-Stick sehen wir eine Historie von Geräten, die nicht mehr verbunden sind. Um die angeschlossenen Geräte zu sehen oder zu erfassen, müssen wir uns den Unterschlüssel ansehen:
HK_LOCAL_MACHINE System ControlSet001 Enum USBSTOR
In diesem Fall wird ein an den Computer angeschlossenes Kingston-Laufwerk angezeigt. Wenn das Gerät entfernt wird, bleibt der Unterschlüssel in USBSTOR registriert, bis der Computer ausgeschaltet wird. Er bleibt jedoch im USB-Unterschlüssel registriert.
Suchen Sie nach Geräten, die auf dem System bereitgestellt wurden.
Wenn ein Benutzer ein Hardwaregerät verwendet, das als externer DVD-Recorder, externe Festplatte oder Flash-Speicher bereitgestellt werden muss, hinterlässt die Registrierung eine Spur des bereitgestellten Geräts. Diese Informationen werden im Unterschlüssel gespeichert:
HKEY_LOCAL_MACHINE System MountedDevices
Im Folgenden sehen Sie eine Liste aller Geräte, die auf dem Computer installiert wurden oder sind, die Einheiten C: D: und F:. Wenn wir auf das Laufwerk D doppelklicken, sehen wir, dass es sich um eine von VirtualBox angeschlossene CD-ROM handelt. Wenn wir dasselbe mit dem Laufwerk F tun, sehen wir, dass es sich um das Kingston-Pendrive handelt, das zu einem bestimmten Zeitpunkt angeschlossen wurde.
Wenn wir nicht feststellen können, um welches Gerät es sich handelt, können wir die Geräte des MountDevices-Schlüssels verknüpfen, indem wir den Schlüssel als Binärdatei und dann die eindeutige ID betrachten, nach der wir in den anderen Sub-Lives suchen. Ein Tool, das wir verwenden können, ist USBViewer, ein einfaches und portables Tool, mit dem Sie Informationen zu USB-Geräten anzeigen können, die zuvor und zuvor an den Computer angeschlossen waren.
Mithilfe der Windows-Registrierung können Ereignisse in einem Windows-System mithilfe verschiedener Techniken und Verfahren protokolliert werden. Wir können die Fakten rekonstruieren und feststellen, welche Elemente verwendet wurden.