Ubicaciones clave en el Registro de Windows para la investigación forense

Clase 35 de 49 • Curso de Informática Forense

Contenido del curso

Bienvenida y presentación general.

Etapa I: Identificación

Etapa II: Preservación

Etapa III: Análisis de Evidencia Pt. 1

Etapa III: Análisis de Evidencia Pt. 2

Etapa III: Análisis de Evidencia Pt. 3

Etapa IV: Presentación.

Conclusiones Finales

49
Libros y Recursos Clave para la Investigación Digital
04:56 min

Tomar examen

En las últimas clases aprendiste a analizar algunas ubicaciones del Registro de Windows, y a obtener información a partir de llaves usando herramientas como FRED y RegRipper. Sin embargo, el Registro de Windows es una base de datos extensa que contiene muchas ubicaciones que pueden tener información útil, y con las que deberás estar familiarizado. A continuación, se detallan algunas de las ubicaciones comunes donde un investigador forense puede encontrar información relevante para una investigación dentro del Registro de Windows.

Archivo NTUSER.dat

Historial de búsqueda HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Search\Assistant\ACMru
Documentos recientes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Documentos recientes de Office HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Word\FileMRU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Excel \FileMRU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\PowerPoint \FileMRU
Comandos ejecutados por el usuario HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Programas ejecutados HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\UserAssist{GUID}\Count

Archivo SOFTWARE

Versión del S.O. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Archivo SYSTEM
CurrentControlSet HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x HKEY_LOCAL_MACHINE\SYSTEM\SelectCurrent

Nota: El Control Set es el conjunto de parámetros de una configuración del Sistema Operativo. La llave “SelectCurrent” es un apuntador a uno de los posibles ControlSet00x disponibles, y ese es el que se conoce como “CurrentControlSet”. Al hacer puntos de restauración del S.O. y guardar copias del registro, se crean nuevos Control Sets que son backups funcionales de configuraciones anteriores, pero la configuración actual del sistema siempre hace referencia al “CurrentControlSet”.

Nombre del computador en red HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName
Interfaces de red HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
Zona horaria del S.O. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

Comentarios

Jose Aaron Chavez Soto

student•

También encontré que existe una herramienta nativa del propio windows, la cual trabaja desde la línea de comandos para hacer consultas (Query / Queries) al registro de Windows, de tal forma que se puede manipular "en vivo", haciendo operaciones de lectura, escritura, eliminación y modificación de las Claves del Registro y sus valores.

Les comparto algunos QUERIES que el maestro nos señaló arriba de algunas ubicaciones comunes, dónde un investigador forense puede encontrar información relevante durante una investigación:

La herramienta se llama reg.exe y ya viene con windows:

Victor Noguera

student•

Los eventos de error y BSOD, en que rama del registro lo podemos encontrar, asi como sus codigos de error?.

Juan Pablo Caro

teacher•

Depende de la aplicación que haya generado el error, pero en general esto está almacenado en alguno de los logs de eventos en la ruta \System32\Winevt\Logs.

Rodrigo Melara

student•

Jean Nuñez

student•

Uff esta buena esta informacion para el examen

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Oscar Jaramillo

student•

Gracias por la lectura

Junior Aguilera

student•

Gracias

Ubicaciones clave en el Registro de Windows para la investigación forense

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software

Adquisición en Vivo de Memoria RAM para Análisis Forense

Creación de Imágenes Forenses en Linux con Paladín

Creación de Imágenes Forenses con DD y DC3DD en Linux

Adquisición de Imágenes Forenses en Linux con FTK Imager

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

Algoritmos de Funciones Hash y su Uso en Computación Forense

Adquisición de Imágenes Forenses: Herramientas y Técnicas

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

Análisis y Exportación de Imágenes Forenses con FTK Imager

Creación y Gestión de Imágenes Forenses Personalizadas

Análisis Forense de Archivos de Registro en Windows

Análisis Forense de Imágenes de Sistema Operativo Linux

Elaboración de Informes Preliminares en Incidentes Informáticos

Creación de Imágenes Forenses Personalizadas

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Archivos SAM con Regripper en Windows

Análisis de Archivos de Registro en Windows con Regripper

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags