31 oct 2012

Herramientas forense para ser un buen CSI. Parte XII: Windows Registry Recover

Buenas a todos, hoy continuaremos la cadena sobre análisis forense hablando sobre los procesos de extración de información del registro de Windows.

El registro de Windows se almacena en una serie de archivos protegidos (SAM, DEFAULT, SECURITY, SYSTEM, software, etc.) alojados en la carpeta Config, dentro de System32 .

Durante la extración de información de un disco clonado en un forense, necesitaremos en numerosas ocasiones extraer de estos archivos el registro de Windows para visualizar información que puede llegar a ser crucial en un proceso investigatorio. Para estos casos contamos con el potencial de la herramienta Windows Registry Recover (WRR, de MiTeC). Es gratuita y puede ser utilizada tanto para uso personal como comercial. Funciona en los siguientes sistemas:

  • Windows 2000
  • Windows XP
  • Windows 2003
  • Windows Vista
  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2

Para cargar un archivo en la herramienta, como por ejemplo el archivo SAM, basta con acceder desde el menú File/Open. Una vez cargado podremos navegar desde el menú para extraer toda la información que la herramienta a parseado y clasificado para nosotros:

Por ejemplo, si cargamos el archivo "software", podremos visualizar la versión de Windows instalada, el propietario de la máquina, el product key, la fecha de instalación, etc:

Así como el software instalado en la máquina si accedemos al submenú "Installed software":

Es una herramienta de uso básico que nos puede ser muy útil en un proceso forense, únicamente hace falta "saber dónde localizar las evidencias" (que no es poco... :) )

Saludos!

2 comentarios:

  1. [...] Buenas a todos, hoy continuaremos la cadena sobre análisis forense hablando sobre los procesos de extración de información del registro de Windows.  [...]

    ResponderEliminar
  2. [...] clave puede ser fácilmente accedida de manera automática desde la herramienta WRR, cargando el archivo “SOFTWARE” que encontraréis en la siguiente ruta de [...]

    ResponderEliminar