Cuando realizamos investigaciones o una auditoría sobre un ordenador uno de los aspectos importantes es saber si se han conectado dispositivos no autorizados o que dispositivos se han utilizado, como pendrives, impresoras u otros dispositivos. Para detectar estos dispositivos en Windows utilizaremos el registro de Windows que almacena esta información y nos permitirá determinar que contiene dispositivos se conectaron, información sobre quién, qué, dónde, y cómo la actividad se llevó a cabo en el ordenador que estamos auditando o también si tenemos una imagen de disco como las que vimos en el tutorial Analizar imagen de disco con FTK Imager.
En este tutorial veremos dónde y cómo buscar el historial de dispositivos que se han conectado utilizando el registro de Windows. Cada vez que conectamos un dispositivo vía USB o por otro conector, se almacena en el registro de Windows este evento, por lo tanto deja un rastro y mediante vamos a centrarnos en la búsqueda de dispositivos de almacenamiento dentro del registro.
El registro en un sistema Windows varía un poco de una versión a otra, pero si investigamos la esencia es la misma con casi todas las versiones de Windows y otros sistemas operativos. Para este tutorial utilizamos Windows 7, en general los pasos son similares para cualquier versión.
El primer paso será abrir Regedit, podemos hacerlo desde el menú de Windows con la opción Ejecutar o en el cuadro de búsqueda escribimos redegit.
A continuación presionamos OK y se abrirá el Editor del Registro de Windows, donde veremos las claves del registro son carpetas de un árbol de claves, contienen además de los valores que son datos, cada clave puede contener subclaves.
Para encontrar rastro de dispositivos almacenamiento USB, deberemos buscar dentro del registro en la siguiente clave:
HK_LOCAL_MACHINE\System\ControlSet001\Enum\USBLas dos subclaves ControlSet001, ControlSet002 es una copia que se hace cuando el ordenador logra un arranque exitoso, este conjunto de control es lo permite determinar cuál fue el último arranque sin problemas o última configuración buena conocida. En esta clave, nos encontraremos evidencia de cualquier dispositivo de almacenamiento USB que se haya conectado a este sistema.Por ejemplo dentro de la clave USB encontramos varias subclave de dispositivos y podemos ver que una de ella corresponde a un teléfono móvil Motorola XT1040 que se ha conectado en algún momento vía USB.
Analizando otra subclave vemos que se ha conectado un escáner Lexmark X1100 Series a través, este dispositivo es una impresora multifunción, pero el registro indica que se utilizó el servicio usbscan y no usbprint.
Con la clave USB veremos un historial de dispositivos que ya no están conectados. Para ver o capturar los dispositivos que están conectados, entonces deberemos mirar la subclave:
HK_LOCAL_MACHINE\System\ControlSet001\Enum\USBSTOR
En este caso podemos ver un pendrive Kingston conectado al ordenador, si se quita el dispositivo, la subclave permanecerá registrada en USBSTOR hasta que se apague el ordenador, pero quedara registro en la subclave USB.
Buscar dispositivos que se hayan montado en el sistema.
Si un usuario utiliza cualquier dispositivo de hardware que debe ser montado como lectograbadoras DVD externo, disco duro externo, memoria flash, el registro dejara un rastro del dispositivo montado. Esta información se almacena en la subclave:
HKEY_LOCAL_MACHINE\System\MountedDevicesPodemos observar a continuación, una lista de todos los dispositivos que han sido montados o están montados en el ordenador, las unidades C: D: y F:. Si hacemos doble clic sobre la unidad D, veremos que es un CD ROM conectado desde VirtualBox y si hacemos lo mismo con la unidad F veremos que es el pendrive kingston que se conectó en alguna vez.
Si no podemos determinar que dispositivo es, podemos relacionar los dispositivos de la clave MountDevices mirando la clave en binario y luego ese id único lo buscamos en las demás sublcaves. Una herramienta que podemos utilizar es USBViewer que es una herramienta sencilla y portable que brinda la posibilidad de visualizar información sobre los dispositivos USB que actualmente y anteriormente han estado conectados al ordenador.
El registro de Windows permite llevar un historial de eventos sobre lo que ocurrió en un sistema Windows utilizando distintas técnicas y procedimientos, podemos reconstruir los hechos y determinar los elementos se utilizaron.
