Laboratorio: Informática Forense - Análisis del Registro de Windows
A partir de este momento comienza la parte un poco más "operativa" y que exige un alto grado de concentración, dedicación y sobre todo mucha paciencia :D.
Es el momento de comenzar a interactuar más con el sistema a analizar para recolectar toda la información necesaria y que muestre los resultados a los objetivos propuestos.
Para esta finalidad nada mejor que la información contenida en el registro de Windows, pero para poder entender de que va todo esto se hace necesario definir y tener muy claro este concepto.
Veamos:
El Registro de Windows
El Registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows.
Contiene información y configuraciones de todo el hardware, software, usuarios, y preferencias del PC. Si un usuario hace cambios en las configuraciones del "Panel de control", en las asociaciones de ficheros, en las políticas del sistema o en el software instalado, los cambios son reflejados y almacenados en el registro.
El Registro se almacena en varios ficheros que, dependiendo de la versión de Windows, se ubican en diferentes lugares dentro del sistema local, excepto NTuser (o archivo de usuario), que puede ser ubicado en otra máquina para permitir perfiles móviles.
Windows NT, 2000, XP, Server 2003 y Vista
Los siguientes archivos del Registro se encuentran en %SystemRoot%System32Config:
- Sam - HKEY_LOCAL_MACHINESAM
- Security - HKEY_LOCAL_MACHINESECURITY
- Software - HKEY_LOCAL_MACHINESOFTWARE
- System - HKEY_LOCAL_MACHINESYSTEM
- Default - HKEY_USERSDEFAULT
- Userdiff
En la carpeta %SystemRoot%repair se encuentra una copia de seguridad.
El siguiente archivo se encuentra en cada carpeta de usuario:
- NTUSER.dat
Una vez definido y teniendo clara la importancia de la información que puede almacenar el registro de windows, vamos a analizarlo para obtener la información que necesitamos para determinar los sucesos que afectaron al sistema objetivo.
Como ya tenemos montada nuestra nueva unidad con el sistema objetivo (Mount Image Pro) nos dirigimos al directorio WINDOWS/system32/config, extraemos el contenido y lo pasamos a la maquina desde la que estemos haciendo el análisis (para este caso Windows XP).
Para visualizar el registro extraído del sistema objetivo podemos hacerlo con varias soluciones software, entre las cuales se destacan las siguientes:
AccessData Registry Viewer
Alien Registry Viewer
Regedit
Estos son unos procesos sencillos (extracción y visualización del registro) para los cuales no se hace necesario un video demostrativo. Para las próximas sesiones en donde trataremos de identificar los usuarios, software instalado, nombre del equipo, dispositivos, zona horaria, Firewall, eventos del sistema, etc, si se hará necesario la publicación de video tutoriales para su fácil comprensión.
Referencias y enlaces de interés: