HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
En algunas claves, el nombre del software instalado nos aparecerá directamente como nombre de clave, y en otras, podremos acceder a ellos a través de la subclave "DisplayName":
Esta clave puede ser fácilmente accedida de manera automática desde la herramienta WRR, cargando el archivo "SOFTWARE" que encontraréis en la siguiente ruta de Windows:
C:\Windows\System32\config
Es importante destacar que si estáis haciendo un "forense en vivo" no os va a dejar acceder al archivo, porque se encontrará en uso, por lo que tenéis que recuperarlo desde otro sistema mapeando la unidad C (o la correspondiente) del disco duro (recordad que siempre en un forense es recomendable hacerlo en modo lectura para no contaminar las muestras).
Nos vemos en el próximo post.
Saludos!
Aunque no tan completo como la entrada del registro, son interesantes los siguientes comandos:wmic product list briefwmic product get name
ResponderEliminar