docs/traces.txt

   1 ###
   2 ### Notes on traces left by Tor Browser Bundle
   3 ###
   4 ### Steven J. Murdoch <http://www.cl.cam.ac.uk/users/sjm217/>
   5 ###
   6
   7 Filesystem modifications
   8 ========================
   9
  10 To study what changes Firefox portable makes I started two instances
  11 of Windows in VMWare, from the same base. In one I ran Tor Browser
  12 Bundle and in the other I ran nothing. By comparing the filesystem
  13 states I was able to find out which files changed.
  14
  15 33 files changed in each instance, 32 of which are common to both
  16 runs.
  17
  18 When the Tor Browser Bundle was run this file was modified:
  19
  20  WINDOWS/system32/wbem/Repository/FS/INDEX.BTR
  21
  22 When Tor Browser was not run this file was modified.
  23
  24  WINDOWS/Prefetch/WUAUCLT.EXE ... .pf
  25
  26 The former is part of the Windows logging infrastructure, so needs to
  27 be investigated as to whether there is any sensitive information
  28 stored.
  29
  30 The latter file indicates that Windows update ran, which is probably
  31 just a coincidence. Some more investigation to confirm this would be
  32 advisable.
  33
  34 Also, the application was run from a USB drive. The situation could
  35 also be different if the application was run from the hard drive.
  36
  37 Firefox 3 will create a Mozilla directory in the current user's Application
  38 Data directory, which contains
  39 "Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}" and "Firefox\Crash Reports"
  40
  41 Prefetch
  42 --------
  43
  44 If there are less than 128 entries in WINDOWS/Prefetch on reboot, and
  45 sufficient time has passed since booting, the starting of any
  46 executable will create a new file in that location. File names are of
  47 the form <COMMAND>-<HASH>.pf.
  48
  49 There appears to be no difference when the bundle is run from
  50 removable storage as opposed to the hard disk.
  51
  52 Registry modifications
  53 ======================
  54
  55 The dumpreg.py in FindTraces will take a ProcessMonitor trace and dump the
  56 contents of all registry keys opened or modified by Tor Browser Bundle. For each
  57 of these keys, the state before and after Tor Browser Bundle is started can be
  58 saved. Then, by comparing the two files it is possible to find registry keys
  59 modified by Tor Browser Bundle.
  60
  61 On a Windows XP installation, with Firefox installed, only one registry key is
  62 modified: HKLM\Software\Microsoft\Cryptography\RNG\Seed (by vidalia.exe,
  63 tor.exe, FirefoxPortable.exe, firefox.exe)
  64
  65 Without Firefox installed, there appears to be no difference, although
  66 it is difficult to be certain since Windows makes changes to a large
  67 number of binary objects stored in the registry on each boot.
  68
  69 This key is also modifed by a large number of other applications (including
  70 calc.exe, mspaint.exe, notpad.exe, etc...) Therefore the modification of this
  71 does not indicate that Tor Browser Bundle was run.
  72
  73 Windows explorer also logs the ROT-13 encoded names of executables run in:
  74  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
  75 Further information can be found in this article:
  76  http://personal-computer-tutor.com/abc3/v29/vic29.htm
  77
  78 Firefox 3 changes the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings. This is a binary field and its purpose is unclear.
  79
  80 Other traces
  81 ============
  82
  83 If the Tor Browser Bundle is initially saved to the hard disk, then
  84 deleted, the contents will likely be obtainable with a forensic disk
  85 analysis tool or undeletion program. A safer option is to download and
  86 install the bundle on a USB drive, and then take this away after using
  87 the computer.
  88
  89 Future steps
  90 ============
  91
  92 These tests were run on a computer which already had Firefox
  93 installed. It is possible that without Firefox the situation will be
  94 different.