Die Information, wann, wo und welche Apps ein Verdächtiger benutzt hat, kann für den Verlauf einer Ermittlung entscheidend sein. Mit Cellebrite finden Sie diese relevanten Daten schneller und können sie zielführender nutzen.

In dieser dreiteiligen Serie widmet Dr. Marziale sich der „Windows-Timeline“ – und beantwortet die wichtigste Frage von allen: Wie können Ihre Ermittlungen von diesem Artefakt profitieren?

In Teil 1 erhalten Sie einen Überblick über die grundlegenden Funktionen der Timeline. In Teil 2 und Teil 3 tauchen wir tiefer ein, um Ihnen die ganze Bandbreite an nützlichen Informationen zu zeigen, die die Timeline Ihnen bieten kann. Fangen wir also an.

Die gute Nachricht

Die Timeline kann Ihnen alle möglichen nützlichen Informationen liefern:

  • Welche Apps ein Benutzer ausgeführt hat
    – Wann die App gestartet wurde
    – Wann sie geschlossen wurde
    – Der Zeitstempel, zu dem der Benutzer aktiv mit der App beschäftigt war
  • URLs, die mit den oben genannten Apps besucht wurden
  • Dateien, auf die mit den Apps zugegriffen wurde
  • Text und Dateien, die der Benutzer kopiert und eingefügt hat

Die Systemkonfiguration, die sich auf die Timeline auswirkt, ist komplex, aber die Daten werden im Allgemeinen mindestens 30 Tage lang gespeichert (mehr, wenn Sie Volumenschattenkopien und Backups verwenden). Abhängig von der Konfiguration kann die Timeline auf einem Rechner auch die gleichen Informationen über die Aktionen eines Benutzers auf anderen Rechnern speichern! Einige der Daten können sogar von anderen Geräten stammen, auf denen andere Betriebssysteme als Windows laufen (z. B. Android und MacOS). Hier ist also jede Menge los.

So funktioniert die Timeline

Seit Version 1803 verfolgt Windows 10 Benutzeraktivitäten speziell zur Unterstützung der neuen Timeline-Funktion. Die Timeline bietet Benutzern eine UI-Ansicht der derzeit ausgeführten und anderer Apps, die in letzter Zeit verwendet wurden, sowie einige Informationen darüber, was der Benutzer in der jeweiligen App gemacht hat. Wenn Sie auf die App-Kachel in der Benutzeroberfläche klicken, wird diese Aktivität in der App wieder aufgenommen – wie eine URL, die in einem Webbrowser geöffnet wurde, oder eine Datei, die in einem Textverarbeitungsprogramm bearbeitet wurde. Für diejenigen, die es noch nicht gesehen haben, sieht es so aus:

Oben sehen wir Felder („Kacheln“) für Apps, die aktuell geöffnet sind. Darunter sehen wir Kacheln für Apps, die heute früher verwendet wurden. Und darunter sehen wir die Kacheln für Apps, die in den vergangenen Tagen verwendet wurden.

Wenn Sie nach unten scrollen, sehen Sie den Verlauf bis zu einem Maximum von 30 Tagen. Jede Kachel enthält den Namen der App, die aktuell geöffnete Datei oder URL und (manchmal) einen Screenshot der App. Neben dem Scrollen kann ein Benutzer auch über das Symbol in der oberen rechten Ecke suchen.

Windows verfolgt eine Fülle von Daten über Benutzeraktivitäten. Dies wäre für Ermittler allein schon im Hinblick auf Live-Auswahlverfahren hochinteressant. Aber da die Daten auch irgendwo im System gespeichert sind, finden sich vielleicht noch weitere hilfreiche Erkenntnisse. Schauen wir uns das also näher an.

Wie komme ich an die guten Daten?

Der Hauptdatenspeicher für die Timeline befindet sich im Home-Verzeichnis jedes Benutzers unter folgendem Pfad:

C:\Users\<user>\AppData\ConnectedDevicesPlatform\<folder>\ActivitiesCache.db

Im oben genannten Beispiel kann <folder> je nach Art des Kontos, mit dem sich der Benutzer angemeldet hat, eines der Folgenden sein:

Lokales Benutzerkonto: L.<Name des lokalen Benutzerkontos> (z. B. „L.vico“)

Microsoft-Konto: Microsoft-ID-Nummer (z. B. „cdd048cc6c17532e“)

Azure Active Directory-Konto: AAD.XXXXX

Beachten Sie, dass das Verzeichnis eines einzelnen Benutzers mehrere Anmeldetyp-Ordner haben kann (z. B. sowohl einen „L.vico“- als auch einen „cdd048cc6c17532e“-Ordner). Dies kann passieren, wenn ein Benutzer zunächst eine lokale Anmeldung verwendet und dann zu einem Microsoft-Konto wechselt.

Falls Sie den Microsoft-Kontonamen für die Microsoft-ID finden müssen, finden Sie die Zuordnung in der Registrierung unter:

NTUSER.DAT\Software\Microsoft\IdentityCRL\UserExtendedProperties

Im obigen Beispiel können wir sehen, dass die Microsoft-ID (cid) „cdd048cc6c17532e“ dem Benutzernamen „vico.scenario@gmail.com“ zugeordnet ist.

Wie sieht das aus?

Die SQLite-Datenbank ActivitiesCache.db hat ein einfaches Schema mit etwas mehr als einer Handvoll Tabellen. Das Schema ändert sich je nach der Version von Windows 10 (1803, 1809 usw.) ein wenig, aber im Grunde sieht es so aus:

Für diesen Beitrag werden wir uns nur auf die Aktivitätstabelle konzentrieren, wie unten zu sehen ist:

Ja, es gibt viele Spalten, darunter sieben, die Zeitstempel enthalten (wie viele von uns liebe ich es, neue Zeitstempel zu finden). Wenn wir im Moment jede Kachel, die wir auf dem ersten Screenshot oben gesehen haben, als eine Aktivität betrachten, die durch eine Zeile in dieser Tabelle beschrieben wird, können wir über einige der aus forensischer Sicht wichtigeren Spalten sprechen.

Die Daten können in Cellebrite BlackLight (2019r3) leicht untersucht werden. Dazu wechseln wir zu Actionable Intel und suchen dann auf der linken Seite nach Program Execution -> Activities Cache -> Activity.

Die GUID identifizieren

Es mag im Moment nicht wichtig erscheinen, aber im weiteren Verlauf dieser Serie wird die Bedeutung einer GUID, die eine Aktivität identifiziert, deutlich werden, deshalb sei schon an dieser Stelle darauf hingewiesen.

App Id

Eine JSON-formatierte Liste von Identifikatoren für diese plattformübergreifende App kann ebenfalls verfügbar sein, sofern sie unterstützt wird. Aufgrund der synchronisierten, plattformübergreifenden Funktionen der Timeline wird die App nicht als genau die ausführbare Datei angegeben, die wie andere Artefakte, die die Prozessausführung verfolgen (z. B. Prefetch oder User Assist), ausgeführt wurde, sondern als die Gruppe von Apps, die diese Aktivität plattformübergreifend fortsetzen kann. Wir können unten sehen, dass Edge eindeutig verwendet wurde, obwohl keine .exe-Datei erwähnt wird.

Allerdings sehen Sie bei einigen Apps die tatsächlich ausführbare Datei in der Liste, wie bei notepad.exe weiter unten:

Dieser Screenshot soll nur als Teaser für kommende Beiträge in dieser Serie dienen (beachten Sie die „platform“-Werte):

AppActivityId

Dies ist eine von der App bereitgestellte Kennung für die Aktivität. Sie enthält oft Informationen darüber, wo sich der Benutzer in der App befand, z. B. welche Webseite er besucht oder welche Datei die App geöffnet hatte. Für Ermittlungen sind diese Informationen eindeutig nützlich. Unten sehen wir, dass die App „Edge“ geöffnet wurde für https://dfrws.org:

Aktivitätstyp

Die Timeline verfolgt viele verschiedene Arten von Aktivitäten, z. B. wenn ein Benutzer eine App öffnet und mit ihr beschäftigt ist, Aktionen in der Zwischenablage und vieles mehr. In der Abbildung unten sind die beiden wichtigsten Aktivitätstypen 5: Benutzer hat eine Aktivität gestartet (z. B. eine App geöffnet);

und 6: Benutzer hat eine App aufgerufen (z. B. die App in den Fokus gebracht).

Start Time: Wie Sie sich denken können, ist dies beim Aktivitätstyp 5 der Zeitpunkt, an dem der Benutzer die App geöffnet hat. Bei Aktivitätstyp 6 ist dies der Zeitpunkt, zu dem der Benutzer begann, sich mit der App zu beschäftigen.

End Time: Dasselbe gilt auch hier. Bei Aktivitätstyp 5 ist dies der Zeitpunkt, an dem der Benutzer die App geschlossen hat. Bei Aktivitätstyp 6 ist dies der Zeitpunkt, an dem der Benutzer die Beschäftigung mit der App beendet hat (z. B. eine andere App in den Fokus gebracht hat).

Payload verstehen

Payload enthält je nach Aktivitätstyp verschiedene Arten von Daten. Für Aktivitätstyp 5 enthält er Informationen, die beschreiben, wie die Kachel in der Timeline-Benutzeroberfläche angezeigt wird. Dazu gehört der gesamte Text in und um die Kachel herum, und wie wir oben gesehen haben, umfasst dies im Allgemeinen den Namen der App, welche Datei oder URL in der App geöffnet wurde und vieles mehr.

Unten zeigt uns Payload den App-Anzeigenamen „010 Editor“ und die Datei, die geöffnet wurde: „C:\\Users\\USSF-JKreese\\Documents\\Logs\\Log Files\\USSF Crypt.torrent.“ Manchmal sind wesentlich mehr Daten in Payload und manchmal wesentlich weniger, aber fast immer wird der Name der App angegeben. (Bitte fragen Sie nicht nach FileShellLink – das habe ich noch nicht herausgefunden.)

Für Aktivitätstyp 6 gibt es eine ganz andere Art von Informationen in Payload, nämlich die Zeitspanne, in der der Benutzer mit der App für diesen Einsatzzeitraum beschäftigt war, und die Zeitzone, in der sich der Benutzer zum Zeitpunkt des Einsatzes befand.

Unten sehen wir, dass der Benutzer 202 Sekunden lang mit der App beschäftigt war und dass er sich in der Zeitzone „Amerika/Chicago“ befand.

Wenn wir uns die App Id für den obigen Aktivitätstyp 6 ansehen, sehen wir, dass die verwendete App Chrome war.

Alles zusammensetzen

Wenn wir alle Teile, die wir oben gesehen haben, zusammensetzen, erhalten wir einen ziemlich detaillierten Blick auf die Interaktion eines Benutzers mit einer App während einer Nutzungssitzung.

Hier haben wir die Filterfunktion von Cellebrite Blacklight verwendet, um uns auf die Aktivitäten von nur einer App zu konzentrieren – IrfanView. Wenn wir nach Einträgen filtern, bei denen die App-ID die Zeichenfolge „IrfanView“ enthält, sehen wir einen Aktivitätstyp 5 mit einer Startzeit von 2019-01-09 19:58:04 (UTC), der angibt, wann der Benutzer die App geöffnet hat.

Wenn wir uns Payload für die Aktivität vom Aktivitätstyp 5 ansehen, sehen wir die Datei, die der Benutzer mit IrfanView geöffnet hat, mit dem vollständigen Pfad zu dem, was ein Wechsellaufwerk sein könnte: „F:\\Actuals\\\1-1-879×485.jpg“

Wenn wir uns Payload für einen der Einträge des Aktivitätstyps 6 ansehen, zeigt dies an, dass der Benutzer 11 Sekunden lang von 2019-01-09 19:58:05 (UTC) bis 2019-01-09 19:58:16 (UTC) mit IrfanView interagiert hat. Die anderen Einträge des Aktivitätstyps 6 beschreiben weitere Interaktionen.

Diese Artefakte geben einen erstaunlich detaillierten Überblick über die Interaktionen des Benutzers mit der App, viel mehr als andere Artefakte zur Prozessausführung im Allgemeinen bieten. Und in einem gut genutzten System können Tausende von Aktivitäten in der DB gespeichert sein.

Rückblick

Im ersten Teil dieser Serie haben wir die Analyse-Grundlagen für die Windows-Timeline kennengelernt. Dabei haben wir jedoch nur an der Oberfläche aller Möglichkeiten gekratzt, die Cellebrite BlackLight Ihnen bei der Nutzung dieses Artefakts für Ihre Ermittlungsarbeit bietet.

In den kommenden Beiträgen werfen wir einen genaueren Blick auf Konfigurationsoptionen, die sich dramatisch darauf auswirken können, was in der Datenbank gespeichert wird, wie synchronisierte Daten aussehen, was in den anderen Tabellen in der Datenbank gespeichert wird und vieles mehr. Bis dahin wünsche ich Ihnen eine frohe Jagd!

Hier erfahren Sie mehr darüber, wie Cellebrite BlackLight und Cellebrite MacQuisition (zur Analyse von Mac-Geräten) Sie bei Ihren Ermittlungen unterstützen.

Entdecken Sie, wie unsere Digital-Intelligence-Lösungen helfen, Fälle noch schneller zu lösen.

Diesen Beitrag teilen