In Teil 1 unserer Serie zur Windows-Timeline haben wir die Grundlagen der Timeline untersucht: Wo Sie sie finden, wie sie auf dem Datenträger aussieht, und wie die Verwendung von Cellebrite BlackLight Ihnen bei ersten, grundlegenden Ermittlungen helfen kann. Doch die Timeline bietet Ermittlern noch viel mehr Möglichkeiten – tauchen wir also noch etwas weiter in das Thema ein. Natürlich zeigen wir auch, wie Sie die gleichen Suchtechniken auf Mac-basierten Geräten nutzen können.

Kurz zusammengefasst: Die Timeline ist eine Funktion in Windows 10 zur Verfolgung vieler Arten von Benutzeraktivitäten. Sie kann den Benutzer daran erinnern, was er bisher gemacht hat, und ihn seine früheren Aktivitäten per Klick auf eine Kachel schnell wieder aufnehmen lassen. Beispielsweise kann der Benutzer über die Timeline einen Browser mit der zuletzt besuchten Website öffnen.

Windows-Synchronisierung

In Teil 1 dieser Serie haben wir uns auf die Arbeit an einem Rechner konzentriert. Die Timeline hat jedoch weit mehr zu bieten. Wie Sie vielleicht dem ConnectedDevicesPlatform-Teil des Pfades entnommen haben, in dem sich die Hauptdatenbank (db) befindet, kann sie die Aktivitäten eines Benutzers über mehrere Rechner hinweg synchronisieren.

Im einfachsten Fall erfordert dies nur, dass sich der Benutzer bei mehreren Windows 10-Rechnern mit der gleichen Microsoft-ID anmeldet. Wenn sich der Benutzer auf einem zweiten Windows 10-Rechner mit der gleichen Microsoft-ID wie auf dem ersten Rechner anmeldet, werden die in der Datenbank gespeicherten Aktivitäten zwischen ihnen synchronisiert. Dasselbe passiert, wenn mehr als zwei Rechner verwendet werden.

Zur Veranschaulichung habe ich den folgenden Test durchgeführt:

Ich habe eine von mehreren Windows 10-VMs (Version 1903), die ich zum Testen verwende, ausgelagert, indem ich mich mit einem meiner Microsoft-ID-Testkonten angemeldet habe.

Dann machte ich einigen „normalen Benutzerkram“ – ich surfte im Web in ein paar Browsern, erstellte und bearbeitete einige Dokumente und sah mir Fotos an.

Später habe ich eine neue VM (Version 1909) erstellt. Ich meldete mich dann mit demselben Microsoft-ID-Testkonto an, das ich auf der 1903 VM verwendet hatte.

Als ich die ActivitiesCache.db auf der neuen 1909 VM untersuchte, sah ich Folgendes:

Abb. 1: ActivityCache.db auf der 1903 VM

In der Spalte „Platform Device ID“ sind zwei verschiedene Werte hervorgehoben. Dieses Feld enthält einen base64-kodierten binären Blob, der auf den ersten Blick nicht besonders nützlich erscheint. Aber wenn wir uns die Registrierung für das vico-Benutzerkonto auf dem 1909-Rechner unter NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/TaskFlow/DeviceCache ansehen, sehen wir, dass diese Werte bestimmten unterschiedlichen Maschinen zugeordnet werden können.

Abb. 2: Erster DeviceCache-Eintrag

Abb. 3: Zweiter DeviceCache-Eintrag

Beachten Sie, dass die beiden hervorgehobenen base64-string-Schlüsselnamen in Abbildung 2 und 3 mit den beiden Plattformgeräte-IDs in Abbildung 1 übereinstimmen. Während DeviceMake und DeviceModel übereinstimmen, weichen ihre DeviceName-Werte ab. Wenn wir uns die tatsächlichen Computernamen auf den beiden VMs in ihren jeweiligen Registrierungen unter SYSTEM/CurrentControlSet/Control/ComputerName/ComputerName ansehen, sehen wir für den 1909-Rechner Folgendes:

Abb. 4: 1909-Computername

Der 1903-Rechner zeigt:

Abb. 5: 1903-Computername

Wir können sehen, dass die DeviceName-Werte mit den Namen der jeweiligen VMs übereinstimmen. Anhand dieser Zuordnung können wir leicht feststellen, auf welcher Maschine eine bestimmte Aktivität stattgefunden hat.

Noch interessanter: Wenn wir in Abbildung 6 unten nach den ältesten Aktivitätsstartzeiten in der ActivitiesCache.db der 1909-VM suchen, sehen wir, dass die Aktivitäten bis 2020-01-03 zurückreichen. Ich habe diese VM am 2020-02-21 erstellt. Wir haben nicht nur synchronisierte Aktivitäten, sondern wir haben auch eine Historie, die noch vor dem Erstellen dieser Maschine beginnt. Spannend, oder?

Abb. 6: Aktivitätsstartzeiten

Dies hat erhebliche ermittlungstechnische Auswirkungen. Wenn ein Verdächtiger beispielsweise einen Rechner „verliert“, der möglicherweise für eine Ermittlung relevante Daten enthalten hat, kann jeder andere Rechner, an dem sich der Benutzer mit derselben Microsoft-ID angemeldet hat, Spuren enthalten. Selbst wenn der Verdächtige ein nagelneues Gerät kauft, um es als ein älteres Gerät auszugeben, kann es, solange er dieselbe Microsoft-ID verwendet, möglicherweise Spuren von Aktivitäten aus der Zeit vor der Verwendung des neuen Geräts enthalten.

Aber es geht noch weiter!

Mac-Synchronisierung

Zusätzlich zur Synchronisierung von Aktivitäten auf Windows-basierten Geräten kann die Timeline auch bestimmte Arten von Aktivitäten von Android-, MacOS- und iOS-Geräten synchronisieren. Cellebrite MacQuisition wurde entwickelt, um die Erfassung dieser Informationen von Mac-Geräten zu erleichtern. Wenn ein Benutzer in meinen bisherigen Tests Microsoft Office 365 installiert und die Standardoptionen auswählt (wodurch auch OneDrive installiert wird), dann werden Aktivitäten wie der Zugriff auf Office-Dokumente mit jedem Windows 10-Rechner synchronisiert, bei dem sich ein Benutzer mit demselben Microsoft-Konto anmeldet.

Neben der reinen Synchronisierung von bürobezogenen Aktivitäten gibt es jedoch mehrere Einschränkungen. Erstens erfolgt die Synchronisierung von anderen Betriebssystemen auf Windows, aber nicht umgekehrt. Es gibt keine Hinweise darauf, dass Aktivitäten, die auf einem Windows-Rechner stattfinden, auf Nicht-Windows-Systemen gespeichert werden. Das macht Sinn, denn soweit ich weiß, gibt es auf den anderen Betriebssystemen keine ActivitesCache.db. (Falls jemand Beweise für das Gegenteil hat, würde ich mich über einen Hinweis freuen). Weitere Einschränkungen werden im Folgenden anhand von Beispielen aus MacOS und Android diskutiert.

Hier können Sie die auf einem MacOS-Rechner ausgeführten Aktivitäten sehen, indem Sie sich die ActivitiesCache.db auf einem Windows-System ansehen.

Abb. 7: Mac-Aktivitätstyp 5

Im unteren rechten Fensterbereich werden Informationen aus der Aktivität 5 angezeigt, die im oberen rechten Fensterbereich hervorgehoben ist. Denken Sie daran, dass Aktivitätstyp 5 „App geöffnet“ bedeutet. Es gibt mehrere nützliche Informationen, die hier gezeigt werden:

  • Die Zeilen 1, 3, 5 und 6 zeigen alle an, dass auf ein Dokument namens coffee blog.docx zugegriffen wurde und dass die Datei in OneDrive gespeichert ist.
  • Zeile 2 zeigt an, dass das für den Zugriff auf das Dokument verwendete Programm Word war. (Dies sieht wie jede andere Aktivität aus, die lokal auf dem Windows-Rechner stattfand, und andere Felder in der db bestätigen diese Ergebnisse)
  • Zeile 4 (die interessanteste) zeigt die devicePlatform und gibt an, dass es sich bei dem Rechner, der den Zugriff vorgenommen hat, um einen Mac-Rechner handelt.

Leider waren das auch schon im Wesentlichen die guten Nachrichten. Im rechten oberen Fensterbereich ist die Plattformgeräte-ID leer – es gibt keine Möglichkeit zu wissen, auf welchem Mac-Computer die Aktivität stattgefunden hat. Wir wissen nur, dass es sich um einen Rechner handelt, auf dem Office365 installiert ist und das bekannte Microsoft-Konto verwendet wurde.

Abb. 8: Mac-Aktivitätstyp 6

Betrachtet man den Eintrag für Aktivitätstyp 6 (der „App in Fokus“ angibt) für dieselbe Aktivität (Abbildung 8), so zeigt der untere rechte Bereich, dass die activeDurationSeconds Null ist. Der Wert scheint immer auf Null gesetzt zu sein, so dass wir keine Ahnung haben, wie lange der Benutzer mit der App beschäftigt war. Ferner scheint userTimeZone, die in Windows-basierten Aktivitäten des Aktivitätstyps 6 erscheint, hier auch zu fehlen. Als nächstes werden wir uns Android ansehen, und erkennen, dass es sich hier ähnlich verhält.

Android-Synchronisierung

Abb. 9: Android-Aktivitätstyp 5

Wie wir im Mac-Beispiel gesehen haben, können wir, wenn wir uns den rechten unteren Bereich in Abbildung 9 oben ansehen, Beweise dafür finden, dass coffee blog.docx von OneDrive aus mit Word aufgerufen wurde.

Die devicePlatform hier ist jedoch „Android“, was darauf hinweist, dass die Aktivität auf einem Android-System (hier ein Pixel 3-Telefon) stattfand. Auch hier sehen wir im oberen rechten Fensterbereich, dass die Plattform-ID leer ist, wir haben also keine Ahnung, auf welchem Android-System die Aktivität ihren Ursprung hat.

Abb. 10: Android-Aktivitätstyp 6

Wie wir im Mac-Beispiel gesehen haben, sehen wir auch, wenn wir einen Eintrag vom Aktivitätstyp 6 für dieselbe Aktivität betrachten, dass activeDurationSeconds Null ist und userTimezone fehlt.

Abgesehen von diesen Vorbehalten ist die Möglichkeit, Beweise für Aktivitäten auf Mac- und Android-Geräten von einem Windows-Gerät aus zu sehen, das mit derselben Microsoft-ID angemeldet wurde, immer noch ein bedeutender Gewinn für forensische Ermittler. Dies ist ein Artefakt, dessen sich selbst hochtechnische Anwender wahrscheinlich nicht bewusst sind, was es potenziell noch wertvoller macht.

Fazit

Zusammenfassend lässt sich sagen, dass die Synchronisierungsfunktionalität der Windows-Timeline bedeutet, dass Sie auf Windows-Computern durchaus Hinweise auf Aktivitäten finden können, die auf anderen Computern – auch nicht Windows-basierten – stattgefunden haben. Dies kann in bestimmten Situationen den Verlauf einer Ermittlung entscheidend prägen. Mit Cellebrite Blacklight und Cellebrite MacQuisition stehen Ihnen jetzt zwei wertvolle Werkzeuge zur Verfügung, die Ihnen helfen können, Beweismaterial entweder auf Android- oder Mac-Geräten zu finden. Nehmen Sie sie in Ihr Arsenal auf – ich wünsche gute Jagd!

Hier erfahren Sie mehr darüber, wie Cellebrite BlackLight und Cellebrite MacQuisition (zur Analyse von Mac-Geräten) Sie bei Ihren Ermittlungen unterstützen.

Entdecken Sie, wie unsere Digital-Intelligence-Lösungen helfen, Fälle noch schneller zu lösen.

Diesen Beitrag teilen