Análisis Forense en Windows: Uso de RegReaper y Volatility

## `Revisando claves de registro:` **SAM (Security Accounts Manager):** * Almacena información sobre los usuarios locales del sistema operativo. * Contiene hashes de las contraseñas de los usuarios. * Es una de las claves más importantes del registro de Windows para la investigación forense. **System:** * Contiene información sobre la configuración de arranque del sistema operativo. * Almacena información sobre los dispositivos externos que se han conectado al equipo. * Puede proporcionar información útil sobre la actividad del usuario y la configuración del sistema. **Syslogs de sistema:** * Registran eventos importantes del sistema operativo. * Se pueden utilizar para identificar actividades sospechosas o intrusiones en el sistema. * Los dos tipos principales son: * **Security:** Registra eventos relacionados con la seguridad del sistema, como inicios de sesión, fallos de inicio de sesión, cambios en los permisos de archivos, etc. * **System:** Registra eventos relacionados con el funcionamiento del sistema, como errores del sistema, inicios y paradas del sistema, etc. `Herramientas de análisis:` * **Regripper:** Herramienta de código abierto para analizar claves de registro específicas en busca de información relevante para la investigación forense. * **Volatility:** Herramienta forense avanzada para analizar la memoria volátil de un equipo, incluyendo información sobre procesos activos, conexiones de red, DLLs/bibliotecas cargadas en memoria, etc.

*Rutas* Encontrar la información de System en windows `C:\Windows\System32\config ` *Syslogs de sistema* `C:\Windows\System32\winevt\Logs`  *Comandos Volatility* `volatility -f [ruta-del-archivo] [comando]` `volatility -f [ruta-del-archivo] [perfil] [comando]` `pslist` `pstree`

donde están el apartado de recursos que habla la profesora

Que excelente curso, es muy claro y poderoso