Mindent tud a Windows a tulajdonosáról

"Úriember nem beszél a Windowsról, pedig tudna." - tartja a vicc, ami ha az egész rendszerre nem is igaz, a rendszerleíró-adatbázisra, vagy eredeti nevén a registry-re megáll. A legtöbb felhasználó csak akkor találkozik az operációs rendszer összes beállítását és megjegyzett apróságát tartalmazó jegyzékkel, amikor a számítógép gyorsítását ígérő karbantartó-programokat futtat. A mindennapok során ez nem is gond, azonban egy javításra megkapott vagy egy eladás előtt álló gépen van néhány kulcs, amit tisztogatás előtt érdemes megvizsgálni.

Mi az a registry?

A rendszerleíró adatbázis először a Windows 3.1-ben jelent meg, hogy lecserélje a különböző beállításokat tartalmazó, féktelenül burjánzó .ini fájlokat. A faszerkezetű adatbázis öt nagy hive-ba, azaz kaptárba szerveződik, ezeken belül kulcsok és alkulcsok találhatóak. A legenda szerint a fa felső szintje azért kapta a hive nevet, mert az egyik fejlesztő borzasztóan félt a méhektől, ezért a registryvel foglalkozó kollégája megpróbálta telezsúfolni az operációs rendszer általa írt részét méhes hivatkozásokkal. Így történhetett, hogy a Windows régebbi verzióiban az alkulcsokat cell-nek, azaz sejtnek is hívták. Az öt fő hive szerepe iránt részletesebben is érdeklődőknek a PCForum részletes cikkét ajánjuk.

Elrejtenénk anyu elől

Vannak olyan funkciói a Windowsnak, amit minden titkait, fájljait, tevékenységét a szülei elől elrejteni kívánó tini ismer. Ilyen például az árulkodó Utoljára használt dokumentumok mappa, amit ugyan el lehet tüntetni a Start menüből, ám a C:Documents and Settings(felhasználónév)Recent nevű rejtett mappában azért még gyűjti tovább a megnyitott dokumentumokat. Ez a lista előtúrható a rendszerleíró-adatbázisból is, ott a következő címen kell keresni: HKey_Current_UserSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs.

A fenti mellett létezik egy másik lista, ez az alap Windows párbeszédpanelekben leggyakrabban megnyitott és mentett állományokat sorolja fel: HKey_Current_UserSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU. A tíz leggyakrabban használt fájlhoz még elérési utat is találhat a kulcsot alaposan átnéző kutakodó. A további leggyakrabban használt adatok (MRU) listáit tartalmazó kulcsokról a Microsoft szakértői információkat tartalmazó - ám a cégtől független - mvps.org tartalmaz átfogó listát.

Lista az összes programról

A rendszerleíró adatbázis egyik legmeglepőbb tartalmára a Stratis tanácsadócég biztonsággal foglalkozó blogja hívta fel a figyelmet a napokban. A HKey_Current_UserSoftwareMicrosoftwindowsCurrentVersionExplorerUserAssist(GUID érték)Count kulcs alatt található hosszú listában megtalálható a Windows telepítése óta lefuttatott összes program neve, illetve hogy hányszor és legutoljára mikor indították el az adott szoftvert. A hosszú címből egyedül a GUID igényel magyarázatot. Ezt a 128 bites számot különböző felhasználók, adatbáziselemek, programok azonosítására használja a rendszer. Mivel a UserAssist kulcs alatt csupán maréknyi felhasználó azonosítója tűnhet fel, ezért sok tippelgetésre nincs szükség, hogy melyikben kell szétnézni.

A programok nevét kódolva tárolja az adatbázis, így a kulcsok tele vannak olyan értelmetlennek tűnő szövegekkel, mint például: Gur Oneq'f Gnyr.rkr. Az igazi nevek a ROT-13 vagy Cézár-kód néven ismert rejtjel mögött bújnak meg, a betűket egyszerűen, az angol ábécének megfelelően 13 hellyel arrébb mozgatva meg lehet kapni az program valódi nevét. A művelethez még csak papírt és ceruzát sem kell elővenni, számos program és webalkalmazás segít a felhasználónak. A példánkban szereplő kifejezést a Textop.us-ba bemásolva ki is derül, hogy a gép tulajdonosa elindította a The Bard's Tale.exe-t. A futtatások számát és a legutóbbi elindítás dátumát a kulcs értéke tartalmazza, erről a Stratis blogjának bejegyzése értekezik bővebben, ami egyúttal arra is felhívja a figyelmet, hogy hasonló - ám rövidebb - listát lehet találni a C:WindowsPrefetch könyvtárban is.

Az eddigieknél több munkával, de azt is össze lehet gyűjteni, hogy egy számítógépre milyen USB meghajtók voltak valaha rákötve. Az egyik ehhez szükséges registry kulcs a HKey_Local_MachineSYSTEMCurrentControlSetEnumUSBSTOR alatt található, ám a teljes lista összeállításához még számos helyet át kell nézni. Ezzel a lehetőséggel a mindennapi hibavadászat közben valószínűleg kevesen fognak élni, egy CSI rész csattanójaként azonban szívesen látnánk ezt a trükköt.

Árulkodik a böngésző

Manapság valószínűbb, hogy a felhasználó az internetről szerzi be a gépen elszaporodó kártevőket, mint hogy vírusos adathordozóról települne fel az ártó szándékú szoftver. Még akkor is, ha a Conficker féreg rámutatott arra, hogy a régi utak is járhatóak, és pendrive-okkal is képes volt terjedni. Szerencsére a számítógépről meglátogatott oldalakat több eszközzel is meg lehet tekinteni. Az Internet Explorer böngészési Előzményeit a HKey_Current_UserSoftwareMicrosoftInternet ExplorerTypedURLs kulcs alatt lehet megtalálni, igaz ezt többnyire egyszerűbb kinyerni egyenesen a böngészőből.

Vaskos hazugság lenne azt állítani, hogy csak a registry böngészésével lehet szépen összeszedett adatokat találni arról, milyen oldalakat néztek a vizsgált számítógépen. Tucatnyi remek eszköz van csak a böngészési szokások vizsgálatára. A Firefox és a Chrome annyira udvarias, hogy külön adatbázisban tárolja az alkalmi nyomozó érdeklődésére számot tartó adatokat. A felhasználó saját profilkönyvtárának mélyén rejlő - C:Documents and Settings(felhasználónév)Application DataMozillaFirefoxProfiles(profil könyvtár) - .sqlite fájlokat könnyű vallatóra fogni. Az ingyenes Firefox 3 Extractor a fájlok birtokában gyönyörű jelentést készít a meglátogatott oldalakról, az egyes címek megnyitási gyakoriságáról, még azt is megmondja, hogy a felhasználó begépelte-e a címet vagy más úton érkezett oda.

Kétszer mérj, egyszer mess

Nem szabad figyelmen kívül hagyni, hogy a registry elengedhetetlenül fontos a rendszer működéséhez, így az ismerkedést célszerű óvatosan végezni. Az ilyenkor kötelező biztonsági mentés elkészítése után (Fájl menü > Export) célszerű az átvizsgálni kívánt hive-ról egy újabb exportot készíteni és azt megnyitni notepadben vagy bármely más formázás nélküli szöveget kezelő szerkesztőben. Az registry mentések egy átlagos szövegfájlhoz képest hatalmasak lehetnek, de a szerkesztőknek el kell bírniuk a 30-40 megabájtos fájlokkal is.

A számítógép-takarítást, vagy éppen az ügynökösdit a végtelenségig lehet folytatni. A Windows Forensics keresőszóra számos segédeszközt, hosszú cikkeket és jónevű számítástechnikai kiadók szakkönyveit is kidobja a Google. Ezek egy része kevéssé veszélyes, ám legalább annyira szórakoztató, mint a rendszerleíró-adatbázisban való turkálás. Aki mégis a registryvel folytatná, annak a Forensic Focus részletes cikkét ajánljuk a Windows buherálásáról. A fent felsorolt adatok miatt aggódók pedig a Download Squad takarítószoftverekről írott körképét végigfutva választhatják ki a legjobb programot a nyomok eltüntetésére.