Ubicaciones clave en el Registro de Windows para la investigación forense

Clase 35 de 49 • Curso de Informática Forense

En las últimas clases aprendiste a analizar algunas ubicaciones del Registro de Windows, y a obtener información a partir de llaves usando herramientas como FRED y RegRipper. Sin embargo, el Registro de Windows es una base de datos extensa que contiene muchas ubicaciones que pueden tener información útil, y con las que deberás estar familiarizado. A continuación, se detallan algunas de las ubicaciones comunes donde un investigador forense puede encontrar información relevante para una investigación dentro del Registro de Windows.

Archivo NTUSER.dat

Historial de búsqueda HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Search\Assistant\ACMru
Documentos recientes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Documentos recientes de Office HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Word\FileMRU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\Excel \FileMRU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\10\PowerPoint \FileMRU
Comandos ejecutados por el usuario HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Programas ejecutados HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\UserAssist{GUID}\Count

Archivo SOFTWARE

Versión del S.O. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Archivo SYSTEM
CurrentControlSet HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x HKEY_LOCAL_MACHINE\SYSTEM\SelectCurrent

Nota: El Control Set es el conjunto de parámetros de una configuración del Sistema Operativo. La llave “SelectCurrent” es un apuntador a uno de los posibles ControlSet00x disponibles, y ese es el que se conoce como “CurrentControlSet”. Al hacer puntos de restauración del S.O. y guardar copias del registro, se crean nuevos Control Sets que son backups funcionales de configuraciones anteriores, pero la configuración actual del sistema siempre hace referencia al “CurrentControlSet”.

Nombre del computador en red HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName
Interfaces de red HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
Zona horaria del S.O. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation

Jose Aaron Chavez Soto

student•

También encontré que existe una herramienta nativa del propio windows, la cual trabaja desde la línea de comandos para hacer consultas (Query / Queries) al registro de Windows, de tal forma que se puede manipular "en vivo", haciendo operaciones de lectura, escritura, eliminación y modificación de las Claves del Registro y sus valores.

Les comparto algunos QUERIES que el maestro nos señaló arriba de algunas ubicaciones comunes, dónde un investigador forense puede encontrar información relevante durante una investigación:

La herramienta se llama reg.exe y ya viene con windows:

Victor Noguera

student•

Los eventos de error y BSOD, en que rama del registro lo podemos encontrar, asi como sus codigos de error?.

Juan Pablo Caro

teacher•

Depende de la aplicación que haya generado el error, pero en general esto está almacenado en alguno de los logs de eventos en la ruta \System32\Winevt\Logs.