Análisis de Archivos de Registro en Windows con Regripper

Clase 32 de 49 • Curso de Informática Forense

Resumen

¿Cómo analizar el registro de Windows con Raydiant per?

El análisis del registro de Windows es una habilidad esencial para cualquier profesional en ciberseguridad o administración del sistema. En esta guía, exploraremos cómo utilizar la herramienta Raydiant per para analizar en profundidad los archivos de registro y obtener información crucial sobre las aplicaciones y el sistema operativo instalado en una máquina.

¿Qué es Raydiant per?

Raydiant per es una herramienta poderosa que permite procesar y analizar archivos del Registro de Windows. Esta utilidad es especialmente útil para extraer información valiosa de los sistemas sin necesidad de intervención manual, automatizando el procesamiento y la interpretación de datos complejos.

¿Cómo se selecciona el archivo de registro?

Para comenzar a utilizar Raydiant per, primero debes seleccionar el archivo de registro que deseas analizar. En un análisis típico, podrías haber exportado múltiples archivos de registro, tales como:

Archivos SAM.
Archivos Security.
Archivos System.
Archivos Software.

El archivo Software es particularmente interesante debido a que contiene la mayoría de la información sobre las aplicaciones y programas instalados en el sistema. Aquí es donde encontrarás detalles sobre versiones de software, fechas de instalación y modificaciones.

¿Qué información proporciona el análisis del archivo Software?

Una vez que el archivo Software es seleccionado y procesado, Raydiant per utiliza una variedad de plugins y librerías para analizar cada sección del archivo. Algunos de los aspectos que puedes descubrir son:

Internet Explorer Version: Este plugin específico muestra la información de la versión de Internet Explorer instalada, incluidas las fechas de modificación y la disposición de las llaves.
```
Internet Explorer Version: Número de versión exacta
Última modificación: Fecha de última modificación
```
Versión de Windows: Otro plugin útil es Vim Ver, que proporciona detalles sobre la versión del sistema operativo Windows, su Service Pack y la fecha de instalación.
```
Windows 7 Ultimate, Service Pack 1
Fecha de instalación: 22 de marzo de 2015
```
Rutas de instalación: El análisis también puede revelar rutas importantes en el sistema, como la ubicación de los archivos de programa, diferenciando entre arquitecturas de 32 y 64 bits.
```
Ruta X86: C:\Program Files (x86)
Ruta X64: C:\Program Files
```

¿Qué advertencias se deben considerar?

Es crucial entender que la fecha de modificación en las llaves de registro no siempre coincide con la fecha de instalación original. Podría reflejar actualizaciones, cambios en la ruta del ejecutable, o modificaciones de las configuraciones. Por tanto, la interpretación de estas fechas debe realizarse cuidadosamente para evitar conclusiones erróneas.

¿Qué sigue después del análisis?

Si bien Raydiant per proporciona una panorámica detallada del software instalado, no todas las aplicaciones se ejecutan continuamente, ni todos los procesos en ejecución tienen una aplicación asociada necesariamente. En futuras clases, se abordarán los sistemas de logs y cómo interpretar eventos del sistema para completar el entendimiento del comportamiento de un sistema Windows.

Invitamos a los estudiantes a seguir aprendiendo y a profundizar en los análisis de sistemas para obtener mejores habilidades en el manejo de información crítica. ¡Nos vemos en la próxima clase!

Javier Ramos

student•

Mi resumen La llave de registro SOFTWARE contiene información de las aplicaciones y software instalado en el equipo

Cada sección corresponde a un pluggin que muestra características de las aplicaciones instadas con datos como

fecha de modificación
Ubicación de los ejecutables
Versión de la aplicación
fecha de instalación

El pluggin unistall contiene la información de las aplicaciones disponibles para des instalar en el panel de control

Juan Pablo Perez

student•

Gracias por el resumen.

Wilmer Oro

student•

hola donde puedo descar RegRipper2.8 para hacer mi practica

Valeria Calcina Cisneros

student•

++Análisis de Registro de Windows: Software++ . ++Llave de registro:++ contiene información de los programas instalados en el equipo. . ++Archivo Software:++ es el que contiene más información de nuestro equipo. . ++Plugin de Software:++ muestra todas las características y datos de aplicaciones instaladas; fecha de modificación, versión, etc.

ulises gabriel pignatelli

student•

gracias

Jose Aaron Chavez Soto

student•

En la carpeta de RegRipper existe una herramienta de línea de comandos (CLI) llamada rip.exe, si la ejecutan con el parámetro -l muestra una lista de todos los plugins disponibles, cada uno con una breve descripción.

Yo la ejecuté y me desplegó un total de 379 plugins y más interesante aún resulta si lo ejecutan con los parámetros -l y -c, te muestra el plugin, su versión, archivo hive y una descripción corta.

Oscar Jaramillo

student•

Interesante herramienta

Herbert Castaneda

student•

si supuestamente el s,o w7 se instalo en el 2022 , como es posible que los programas disponibles para desistalar figuren con menor año 2015

Dany Gómez López

student•

donde se puede descargar la herramienta para practicar

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Oscar Jaramillo

student•

El archivo SOFTWARE es el que más información contiene del registro.

ALVARO RODRIGUEZ TAMEZ

student•

Interesantes conclusiones.

Jose Gisbert Castillo

student•

este reporte es más extenso que el de la llave SAM