本文由金恒源编译,陈裕铭、Roe校对,转载请注明。
Windows10操作系统发布于2015年7月29日。此后,该系统成为装机量最大的桌面操作系统。最近,Windows 11作为Windows 10的进化版于2021年10月向公众发布。
在本文发表时,尚未有同行对这两个操作系统所带来的变化进行深入的对比。本文旨在详尽地分析Windows 10和Windows 11之间的差异,以更好地了解电脑痕迹和安全特性的变化,为电子数据取证和应急响应人员提供具有可行性的结论。
简介
Windows是一个由微软创建的操作系统,自1985年首次发布以来,在个人和专业计算领域无处不在。截至2022年3月,Windows是安装最多的操作系统("OS"),占全球总体市场份额的75.7%,以绝对优势成为世界上使用最广泛的操作系统(数据来源于Statcounter于2022年发布的报告)。在新系统发布时,Statcounter(2022)指出,74.82%的Windows操作系统安装的是Windows 10,8.45%安装的是Windows 11。
微软(2022a)声称,有超过14亿台设备正在运行Windows 10或Windows11。拥有如此多的设备和用户,Windows已然在大多数人的个人和职业生活中成为必不可少的一部分。
微软(2022b)表示,他们将至少支持一个版本的 Windows 10,直到2025年10月14日。因此,可以合理地预测,随着Windows 10停止开发安全更新,Windows 11的使用量将会显著增加。随着时间的推移和Windows 11使用量的增加,了解 Windows 10 和Windows 11 之间的差异对于电子数据取证人员来讲至关重要。
微软的Windows操作系统渗入到世界民众的日常生活,这意味着电子数据取证人员有必要了解每个版本的Windows之间的细微差别。
本文旨在从两个角度详细说明Windows 10和Windows 11的异同:证据痕迹和安全特性。
背景介绍
本文假设读者对电子数据取证有一定了解。因此,本文针对相关每个痕迹本身在电子数据取证中的意义的讨论会很少。
背景
微软(2021d)于2021年6月24日正式发布Windows 11,并于2021年10月4日发布Windows 11的第一个版本(Microsoft,2021c)。本文的研究基于Windows 11在2021年10月4日发布时最新的Windows 10和Windows11(见附录A)版本。
请注意,在本文的剩余部分中,上述版本将分别称为“Windows10”和“Windows11”。此外,需要注意的是,本文只能提供Windows 10和11之间的"时间快照"分析。在本文发表之时,新的功能已经出现,并将出现在本文所涵盖的特定版本Windows11的范围之外。最后,所有独立研究都是基于Windows 10和11的纯净安装。
研究中使用的工具
在研究过程中会使用各种工具。VMware Workstation Pro用于虚拟化Windows 10和Windows11及生成痕迹(VMware,2022)。Kroll Artifact Parser and Extractor (KAPE)被用于在Windows 10和11虚拟机上获取目标痕迹(Kroll, 2022)。使用Eric Zimmerman工具箱的KAPE模块(译者注:Eric Zimmerman工具箱是位于GitHub上的一个取证工具,工具中分为很多模块,既可以一次性获取全部功能模块,也可以按需求只获取针对某一特定功能的模块),对从KAPE中获得的痕迹进行解析,并输出结果(Zimmerman,2022)。Beyond Compare被用于比较原始痕迹、Eric Zimmerman工具箱输出的痕迹和特定工具输出的痕迹。
当比较Windows 10和Windows 11的原始痕迹时,使用010 Editor在十六进制层面上观察差异,通常使用二进制模板( SweetScape软件公司, 2021)。在比较注册表hive文件时,使用NirSoft的RegistryChangesView工具对Windows 10和Windows 11的注册表hive文件 (Sofer, 2021)中的添加、移除的键和值之间的差异进行比较。
相关的GitHub仓库和原始痕迹载体
我们创建了一个GitHub资源库用以存放本文相关的支撑数据,以方便读者、研究人员和电子数据取证人员(Rathbun,2022c)。该资源库包含了本文中所涉及的痕迹的原始样本,也是作者用来得出本文结论的相同痕迹载体。此外,这个资源库包含了各种痕迹的支持性证据,这些证据太过重要,无法在各自的小节或附录中进行总结。因此,本文的附录将具有广泛性,既包含了对该知识库的诸多引用,也提供了独立验证本文结论所需的证据材料。
本文将对从GitHub存储库中的原始痕迹数据中得出的结论进行广泛总结,但更多的发现可以亲自从原始痕迹载体中获得。GitHub存储库的链接在这里:https://github.com/AndrewRathbun/SANSGoldPaperResearch_FOR500_Rathbun。
取证痕迹
研究现状
本节旨在介绍Windows 11中是否依然存在Windows 10的痕迹。此外,在Windows 10和11的痕迹之间进行了对比分析,以观察和报告每一组痕迹之间的异同点。有些比较可能过于冗长,在本文中无法加以合理地说明。在此情况下,读者可以查看相关GitHub存储库中提供的辅助数据集。
·LNK文件/跳转列表
Shell Link(.lnk)文件格式于2021年6月修订(Microsoft,2021e)。然而,在最新的版本中,Shell Link(.lnk)文件并没有明显的变化。据研究发现(见附录B)Windows 10和Windows 11中的Shell Link (.lnk)文件没有任何差异。考虑到跳转列表由一组.LNK文件组成,且与应用程序相关。因此在研究中(见附录C)没有发现跳转列表(Rathbun, 2022c)的任何差异也就不足为奇了。
·$Recycle_Bin元数据文件
据研究(见附录D)表明,Windows 10中的回收站元数据文件($I30)与Windows11中的相同。使用010 Editor比较Windows 10和Windows 11的$I文件时,在十六进制层面上没有发现两个痕迹之间存在差异。当以十六进制的形式(Rathbun, 2022a)检查时,每个$I文件在文件开头均显示相同的版本(0x02)。
·Amcache
据研究(见附录E)表明,Windows 10与Windows 11中的Amcache.hve文件相同(Rathbun, 2022c)。在对纯净安装的Windows 10和Windows 11中Amcache.hve的最顶端(根)键的递归转储比较时,没有观察到这两个痕迹之间的差异。
·注册表Hives
使用KAPE将Windows 10和11的注册表Hive文件(见附录F)从最顶层(根)键转储为JSON。使用NirSoft的RegistryChangesView对Windows 10和11的这些注册表hive文件进行比较时,发现许多注册表项和值从Windows 11中被添加或删除。
据研究(见附录G)显示,在Windows 10和11之间涉及超过35,000处键和值的变化(Rathbun,2022c)。目前,在Windows 11注册表中还未发现任何具有重大取证意义的变化,但考虑到变化的数量,还需要进行更加细致的研究。
·Windows时间线
在2018年4月(1804)的更新中,Windows时间线功能被添加到Windows 10中(Microsoft,2021a)。使用组合键Windows键+Tab,终端用户可以在时间线中查看在30天内打开的应用程序。自2021年7月起,终端用户不能再通过微软账户同步时间线活动。随后,微软(2021a)从Windows11中删除了Windows时间线功能。然而,据研究(见附录H)证实,Windows时间线数据库ActivitiesCache.db仍然存在(Rathbun,2022c)。
·预读取文件
Prefetch文件需要解压,以便于对Windows 10和Windows 11版本的痕迹进行比较分析。据研究(见附录I)没有发现Windows 10和Windows 11中的Prefetch(.pf)痕迹有任何区别(Rathbun,2022c)。
·事件日志
GitHub存储库EVTX - ETW Resources(Bencherchali,N and Rathbun,A,2022)为超过140个原始版本的Windows操作系统提供了XML文件,可追溯到Windows 7。该存储库还为每个版本的Windows提供了一个CSV,列出了纯净安装情况下对应版本中的所有消息和事件ID。据研究显示(见附录J),多个服务从Windows 10中被删除或被添加到Windows 11中,多个事件id从Windows 11中被添加或删除。在Windows 11中,大量事件消息被更新、添加或删除(Bencherchali, N和Rathbun, A, 2022)。
·Shellbags
据研究(见附录K)显示,Shellbags在Windows 10和11中的运作是类似的。在一个新的文件夹中创建多个新的子文件夹,并指向到每个新文件夹,这种简单场景在Windows 10和11中记录的痕迹是相同的(Rathbun, 2022c)。
·Windows搜索索引(.ESE)数据库
Windows搜索索引(Windows Search Index,Windows.ebd)痕迹在Windows 10和11中均存在。据研究发现(见附录L),在Windows.edb的System Index_PropertyStore表中也存在相同的列。但是,SystemIndex_PropertyStore的表号从Windows 10的“表# 17”变为Windows 11的表# 15。此外,在System Index_PropertyStore表中,Windows 11相比Windows 10多记录了“System_Setting_SettingsEnvironmentID”一列,而其余598列在Windows 10和Windows11 (Rathbun, 2022c)中均相同。
最后,Windows 10中ESE引擎的版本是9180,而Windows 11中的版本是9400。ESE数据库的版本对取证人员来说是很重要的,因为源自Windows 10(9180)的ESE数据库在Windows 11中可以修复,但Windows 11的ESE数据库在Windows 10中不能修复。
在使用esentutl.exe修复在Windows低版本的上的ESE数据库时,取证人员要注意到这一点。
·浏览器
据研究(见附录M)证实,无论计算机上安装的是哪个版本的Windows 10或11,网络浏览器的相关痕迹将取决于网络浏览器的版本。在Windows 10和Windows 11中均安装Edge Chromium 101.0.1210.53。在进行多网页浏览和下载文件的测试时,记录的痕迹数据产生了相同的数据集。值得注意的是,网络浏览器的痕迹变化的监测应该从网络浏览器本身的版本来出发,而不是基于浏览器所安装的操作系统的版本(Rathbun, 2022c)。
·ShimCache (AppCompatCache)
Davis(2021年)将ShimCache称为“误解最大的痕迹”,取证人员通常将其作为日常调查的一部分进行分析。据研究(见附录K)显示,ShimCache痕迹在Windows 10和11中的运行方式类似(Rathbun,2022)。鉴于ShimCache的取证价值在Windows 10中发生多次变化(Zimmerman,2017),如果ShimCache随着Windows 11的更新而继续发展,这也就显的不足为奇了。
其他有趣的现象
在常规痕迹之外,研究中还发现了有关Windows 10和11之间差异的其他有趣现象。
·SQLite数据库
Windows附带了很多不同类型的文件,其中很多是SQLite数据库。例如前文中所提到的浏览器的痕迹和许多其他痕迹,都是SQLite数据库。据研究显示(见附录O),在Windows 10和11 (Rathbun, 2022c)之间存在类似的SQLite数据库。
·目录列表对比
GitHub存储库VanillaWindowsReference提供了CSV格式的目录列表(见附录P)。这些CSV文件包括多个数据点,这些文件和文件夹存在于多个版本的纯净安装状态下的Windows中,包括但不限于Windows 10和11。目录中列出的CSV可供公众研究使用。通过对Windows 10和Windows 11的CSV文件进行比对后发现,许多文件和文件夹是(Rathbun, 2022b)不同的。
本篇我们详细了解了Windows 10和Windows 11关于证据痕迹的内容,下一篇我们将探讨两者安全特性的差异。
声明:本文来自数据安全与取证,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
