El registro de Windows contiene jerarquicamente valores de configuracion almacenados en archivos con extension propia. Dentro de los archivos hay un conjunto organizado de hives(colmenas) que conforman bloques en si mismos del registro. En cada hive existe una lista keys(llaves), todas estas llaves tienen un nombre/valor y subkeys. Todas estas se encutran ubicadas en una de las 5 hives del registro.
El registro contiene informacion valiosa para el investigador que apoya en el aspecto del analisis forense.Aqui se almacenan configuraciones y opciones que contiene el Sistema Operativo Windows tanto como a bajo nivel como tambien las ejecuciones en la plataforma:Kernel, Drivers, services, SAM, interfaze de usuario, aplicaciones de tercero, todos estos utilizan el registro de Windows.
En ejecutar >Regedit o que es lo mismo win + r >Regedit
En el Regitro tenemos las 5 llaves Matriz que son:
HKEY_CLASSES_ROOT (HKCR): Almacena asociación de archivos, e información
de Microsoft Component Object Model (DCOM).
HKEY_CURRENT_USER (HKCU): Almacena información específica del usuario,
perfiles de usuarios, uso de aplicaciones, actividad individual de internet.
HKEY_LOCAL_MACHINE (HKLM): Almacena configuración del hardware y software
como también la configuración de seguridad del sistema.
HKEY_USERS (HKU): Almacena toda la información de configuración de todos los
usuarios del sistema.
HKEY_CURRENT_CONFIG (HKCC): Almacena cualquier información de la
configuración del hardware existente. No es muy utilizado en una investigación.
HKEY_DYN_DATA (HKDD) (Win 9X) Almacena datos dinámicos.
El editor de registro nos muestra la estrucuta logica.Fisicamente es almacenado en varios archivos.Windows almacena el registro en archivos binarios separados llamados hives, para cada hive, windows crea copia de respaldo de cada respectivo hive que restaura el hive durante una falla en el boot del sistema
HKLM\SAM > SAM, SAM.LOG
HKLM\SECURITY > SECURITY, SECURITY.LOG
HKLM\SOFTWARE > software, software.LOG, software.sav
HKLM\SYSTEM > system, system.LOG, system.sav
HKLM\HARDWARE > (Dynamic/Volatile Hive)
HKU\.DEFAULT > default, default.LOG, default.sav
HKU\SID > NTUSER.DAT // HKU\SID_CLASSES > UsrClass.dat, UsrClass.dat.LOG
Ubicaciones del registro de archivo Windows: (Windows NT/2000/XP/2003 )
* HKEY_CURRENT_USER: Ubicado bajo el directorio del perfil del usuario
(Documents and Settings\Profilename\NTUser.dat en 2000/XP/2003 o
%SYSTEMROOT%\profiles\Profilename\NTUser.dat en NT)
* HKEY_CURRENT_CONFIG: Tomado del archivo HKEY_LOCAL_MACHINE\SYSTEM
* HKEY_CLASSES_ROOT: Tomado de los archivos HKEY_CURRENT_USER y
HKEY_LOCAL_MACHINE\SOFTWARE.
* HKEY_LOCAL_MACHINE\
HARDWARE: Una llave dinámica construida por Windows al inicio.
SAM: %SYSTEMROOT%\System32\Config\SAM
SECURITY: %SYSTEMROOT%\System32\Config\SECURITY
SOFTWARE: %SYSTEMROOT%\System32\Config\SOFTWARE
SYSTEM: %SYSTEMROOT%\System32\Config\SYSTEM
HKEY_USERS: Construida de los archivos de perfil de usuario NTUser.dat.
Para visualizar los archivos del registro estan en C:\Windows\System32\config , para verlos tienen que hacer la imagen bit a bit que esta en una de las entradas de mayo en este blog, y luego usar el registry que esta aqui mismo.Espero que les sirva.
0 comentarios:
Publicar un comentario