Ads Top

Home forense seguranca Como analisar o Registro do Windows?

Como analisar o Registro do Windows?

12:33:00
Read

O sistema de Registro(Registry) do Windows é um dos principais componentes do sistema operacional e com certeza é o menos compreendido.




O fato é que não existem muitas informações sobre o assunto, tirando publicações americanas e alguns tutoriais, essa análise sempre ficou em segundo plano.


Não estamos falando apenas de abrir o Registro do Windows em aplicativos comerciais e visualizar o conteúdo.


Queremos extrair inteligência do Registro para fazer a análise Forense digital.


Claro que não é o componente mais vital da forense em um sistema operacional, mas ele pode fornecer uma enorme quantidade de informações valiosas para nossos relatórios.


Podemos encontrar:

  • Informações das configurações do sistema; 
  • Informações históricas sobre a atividade do usuário; 
  • Detalhes sobre aplicativos instalados e acessado; 
  • Posições e tamanhos de janelas e muito mais.

Valores(values)


Existem muitos valores de registro que podem ter um impacto significativo sobre como os vários componentes do sistema se comportam; por exemplo, existe um valor do Registro que informa ao sistema operacional para interromper a atualização dos últimos acessos ao arquivo, de modo que sempre que um arquivo for aberto para visualização ou pesquisa, o carimbo de data/hora não é atualizado corretamente.


Detalhe: esse valor é habilitado por padrão desde o Windows Vista, diante disso, como os peritos determinam quando o arquivo foi acessado?

Existem outros recursos, tanto dentro do Registro quanto em Listas de Atalhos que podem fornecer essas informações.

Alguns exemplos de valores de Registro


  • Alterar o comportamento do encapsulamento do sistema de arquivos;
  • Modificar o despejo de falha do sistema e restauração do sistema;
  • Limpar o arquivo de paginação quando o sistema for desligado;
  • Habilitar ou desabilitar a auditoria de log de eventos;
  • Ativar ou desativar o firewall do Windows;
  • Redirecionar o navegador para um página inicial ou proxy;
  • Iniciar aplicativos sem ação do usuário.

Todas essas configurações do Registro podem afetar significativamente a direção de uma investigação. 

Ao examinar um sistema Windows temos que ficar atentos se o usuário pode ter limpado a lixeira ou se o sistema foi configurado automaticamente para excluir arquivos e ignorar o envio para a lixeira.

Então ao analisarmos o sistema de Registro do Windows podemos obter informações valiosas para nossos relatórios.

Estes são apenas alguns exemplos; há uma série de outras chaves e valores de Registro que podem ter um impacto significativo sobre o que um analista vê durante a análise do sistema de disco e arquivo.

No mínimo, entender essas configurações e como eles afetam o sistema geral pode adicionar contexto ao que o perito observa em outras áreas da investigação.

Tags :

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários ( Atom )
Tecnologia do Blogger.