IT-forensische Informationen durch Dateiöffnungen gewinnen

Artikel von Robin Fuchs·12. April 2024

In der Welt der IT-Forensik ist das Aufdecken von Nutzerhandlungen auf Computern, insbesondere das Öffnen und Erstellen von Dateien, eine wichtige Aufgabe. Innerhalb der Architektur von Windows-Betriebssystemen existieren eine Reihe spezifischer Protokolle und Datensätze, die IT-Forensiker/innen wertvolle Informationen liefern, um Interaktionen mit Dateien lückenlos zu dokumentieren. In diesem Beitrag werden die einzelnen Artefakte und Quellen, in denen Dateiöffnungen und auch Erstellung von Dateien nachgewiesen werden können, näher beleuchtet.

Der Inhalt im Überblick

Geöffnete Dateien durch Windows Registry nachweisen
IT-forensische Relevanz von Dateiöffnungen
- Aufdeckung unerwünschter Software und forensische Analyse
- Untersuchung von Datendiebstahl und internen Bedrohungen
Schwierigkeiten bei der Auswertung von Dateiöffnungen

Geöffnete Dateien durch Windows Registry nachweisen

Die Windows Registry fungiert als eine zentrale Sammelstelle für Einstellungen und Informationen, die das Betriebssystem, Programme sowie Hardwarekomponenten betreffen. Diese Datenbank ist essenziell für die Steuerung und das Management des Systems, indem sie die nötigen Konfigurationsdaten für die optimale Funktionsweise von Windows bereitstellt. Strukturiert wie ein Verzeichnisbaum, organisiert sie sämtliche Daten in einer hierarchischen Ordnung aus Schlüsseln und Werten, was eine effiziente Navigation und Modifikation ermöglicht.

Die Windows-Registry speichert darüber hinaus Informationen über eine Vielzahl von Benutzeraktivitäten, einschließlich installierter Programme, Benutzereinstellungen und Systemkonfiguration. Verschiedene Registry-Schlüssel wie „UserAssist“, „LastVisitedMRU“ und „OpenSaveMRU“ enthalten Daten über geöffnete Anwendungen und Dateien. Eine detaillierte Analyse dieser Schlüssel kann zeigen, welche Dateien und Anwendungen von einem Benutzerkonto aus genutzt wurden.

Recent Docs (Recent Documents): Übersicht aller zuletzt geöffneten Dateien

Der Registry-Schlüssel RecentDocs erfasst aktiv die letzten 150 Dateien unterschiedlicher Formate, die ein Nutzer geöffnet hat. Dies ermöglicht eine präzise Rückverfolgung und Beweisführung für die Öffnung spezifischer Dateitypen. Von Word- und Excel-Dokumenten bis hin zu .zip-Dateien. Insbesondere .zip-Dateien, die oft zur Komprimierung und einfacheren Extraktion vieler Dateien verwendet werden, sind bei Fällen von Datendiebstahl von besonderem Interesse.

Dieser Registry-Schlüssel protokolliert zudem den genauen Zeitpunkt der letzten Öffnung einer ausgewählten Datei, was entscheidend sein kann, um den Zeitrahmen eines Datendiebstahls zu ermitteln.

Microsoft Office File MRU: Erstellte oder angesehene Office-Dokumente identifizieren

Durch die Microsoft Office File MRU können Dateien, die speziell mit Microsoft Office Produkten erstellt und geöffnet werden, auf dem System identifiziert und analysiert werden. Im genannten Key werden diese Dateien sortiert nach der Versionsnummer der verwendeten Microsoft Office Version. Folgende Office Versionen stehen zur Verfügung:

16.0 – Office 2016, 2019 und M365
15.0 – Office 2013
14.0 – Office 2010
12.0 – Office 2007
11.0 – Office 2003
10.0 – Office XP

Die in den einzelnen Subkeys abgespeicherten Informationen über geöffnete Dateien, enthaltenen ebenfalls den Zeitpunkt der letzten Öffnung und des Schließens der Datei. Der Pfad, in dem die Datei liegt, wird darüber hinaus auch angezeigt.

OpenSavePidlMRU und LastVisitedPidlMRU: Der Datenschatz

Programme unter Windows merken sich den zuletzt genutzten Speicherort einer Datei. Ebenfalls zeigt Windows ein Dropdown Menü an, das Namen und Pfade zuvor geöffneter oder gespeicherter Dateien bestimmter Dateitypen enthält. Diese Informationen müssen, wie alle anderen Informationen, in einem Betriebssystem an einem abrufbaren Ort abgespeichert werden. Dies ist für die zwei genannten Szenarien der Registry Key „ComDlg32“. Dieser Key speichert noch weitere Informationen, die sich beispielsweise auf das Drucken von Dateien beziehen. Die beiden Subkeys OpenSavePidlMRU und LastVisitedPidlMRU sind besonders nützlich, da sie nicht wie „Microsoft Office MRU“ auf eine bestimmte Anwendung beschränkt sind, sondern anwendungsübergreifend. Sie stellen somit eine gute Menge an Informationen für eine IT-forensische Analyse zur Verfügung.

Windows Registry Key OpenSavePidlMRU

Dieser Key beinhaltet eine detaillierte Übersicht über die vom Nutzer geöffneten oder gespeicherten Dateien. Geordnet werden die Dateien ebenfalls wie bei den RecentDocs nach Dateitypen. Je nach Menge der Dateitypen können in diesem Schlüssel eine größere Anzahl an Unterordnern entstehen. Die Wichtigkeit dieser Ordner wird jedoch klar, wenn man sich vorstellt, dass ein Endgerät von einem Virus befallen ist, der durch ein Powershell Skript installiert wurde. Hier würde Windows einen Unterordner mit der Dateiendung „.ps1“ erstellen. Die Suche nach einem auffälligen Skript an dieser Stelle würde dann einen Hinweis liefern.

Die letzten 20 geöffneten Dateien, zeitlich betrachtet, werden im Unterordner „*“ dargestellt. Hier ist die Ordnung nach Dateityp nicht mehr gegeben, es kann jedoch genau bestimmt werden, welche Dateien auf dem System zuletzt geöffnet wurden. Bei einem großem System mit einer Vielzahl an Dateiöffnungen wird dies jedoch zum Verhängnis, da eventuell wichtige Dateiöffnungen nicht mehr im genannten Unterordner vorhanden sind.

Windows Registry Key LastVisitedPidlMRU

Die Funktion dieses Keys ist im Gegensatz zu OpenSavePidlMRU einfacher gehalten, wird aber oft in seiner Wichtigkeit untergraben, da er „nur“ den vom jeweiligen Programm genutzten Ordner speichert. Diese Informationen kann jedoch in vielen Fällen Aufschluss darüber geben, welche Anwendung vom Nutzer ausgeführt wurde und den letzten Ort im Dateisystem mit dem die jeweilige Anwendung interagiert hat. Hier könnte man auf externe Medien stoßen, die sich als USB Sticks oder externe Festplatten herausstellen. Versteckte Ordner, die eventuell von einem Angreifer angelegt wurden, können hierdurch auch gut identifiziert werden.

Aktionen von Anwendungen, wie dem Google Chrome Browser, der mit einem Ordner auf dem System interagiert hat, können hierdurch auch nachgewiesen werden. Stichwort: Downloads.

IT-forensische Relevanz von Dateiöffnungen

Bei verschiedenen IT-Sicherheitsvorfällen kann die Analyse von Dateiöffnungen für die Aufklärung von Relevanz sein.

Aufdeckung unerwünschter Software und forensische Analyse

Die Untersuchung von Dateiöffnungen spielt eine zentrale Rolle bei der Identifizierung von Malware-Infektionen. Wenn ungewöhnliche oder unerwartete Dateizugriffe, besonders auf ausführbare Dateien, festgestellt werden, könnte dies auf eine Kompromittierung des Systems hinweisen. Teams aus IT-Forensiker/innen suchen nach Mustern und Anomalien, um schädliche Aktivitäten zu erkennen und zu analysieren. Diese können oft auch schon zu Beginn in der MFT (Master File Table) gesichtet werden und im späteren Verlauf der IT-Forensischen Analyse durch die oben genannten Artefakte verifiziert werden.

Untersuchung von Datendiebstahl und internen Bedrohungen

Bei Vorfällen, die den Diebstahl oder die unerlaubte Einsicht von Daten betreffen, bietet die Analyse von Dateiöffnungen entscheidende Beweismittel. IT-Forensiker/innen ermitteln proaktiv, ob und welche sensiblen Daten eingesehen oder gestohlen wurden, um den Sicherheitsvorfall genau zu bewerten. Sie untersuchen sorgfältig den Anschluss von USB-Geräten. Das Aufspüren von Dateien, die auf einem USB-Stick geöffnet wurden oder Bezüge dazu, deutet möglicherweise auf Datendiebstahl hin.

Schwierigkeiten bei der Auswertung von Dateiöffnungen

Trotz ihres hohen Werts bringen solche Untersuchungen Herausforderungen mit sich. IT-Forensiker/innen müssen viele Daten analysieren. Sie müssen legitime von bösartigen Handlungen unterscheiden. Dies erfordert fortschrittliche Werkzeuge und tiefes Verständnis. Die Arbeit von Zuhause und eine genehmigte Privatnutzung der Geräten erschweren dies, wodurch eine IT-forensische Analyse noch komplexer erscheint.

Die forensische Untersuchung von Dateizugriffen unter Windows ermöglicht es genaue Benutzerprofile zu erstellen, Sicherheitsbedrohungen zu identifizieren und beweiskräftige Daten zu sammeln, die zur Aufklärung digitaler Vorfälle beitragen können. Die stetige Weiterentwicklung von Analysemethoden ist unerlässlich, um mit den dynamischen Entwicklungen in der Technologie und Cyberkriminalität Schritt zu halten.

- Analysetools
  IT-Forensik: Definition, Aufgabenfeld & Nutzen für UnternehmenFachbeitrag·17. März 2023
- Website rechtssicher erstellen – so geht's!Fachbeitrag·18. Januar 2023
- Webinar: Google Analytics und der DatenschutzNews·16. August 2022
Mehr zum Thema
- Cybercrime
  ISS World Konferenz in Dubai: Die Zukunft der IT-ForensikNews·23. Februar 2024
- Ein Überblick über das DatenschutzstrafrechtFachbeitrag·18. Januar 2024
- Eindringlinge identifizieren: RDP Logs in der IT-ForensikFachbeitrag·20. Oktober 2023
Mehr zum Thema
- IT-Forensik
  Living Off The Land Binaries – Wie Angreifer unentdeckt bleibenFachbeitrag·5. April 2024
- Aufbruch in die Zukunft: Digitale Forensik im WandelFachbeitrag·22. März 2024
- ISS World Konferenz in Dubai: Die Zukunft der IT-ForensikNews·23. Februar 2024
Mehr zum Thema
- Malware
  Die unbekannte Gefahr durch BrowsererweiterungenFachbeitrag·8. Dezember 2023
- Man-in-the-Middle-Attacke: Die unsichtbare BedrohungFachbeitrag·27. Oktober 2023
- Microsoft Teams: Wie Angreifer es nutzen und Sie sich schützenNews·1. September 2023
Mehr zum Thema
- Windows
  IT-Forensik: Programmausführungen als digitale BeweismittelFachbeitrag·14. Juli 2023
- Linux Forensik – Unterschiede zu Windows und BesonderheitenFachbeitrag·5. August 2022
- Windows Eventlogs: Welche Ereignisse sie verratenFachbeitrag·1. Juli 2022
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.