Notícias de dispositivos móveis, gadgets, aplicativos Android

Windows An√°lise de registro ‚Äď rastreando todas as atividades que voc√™ realiza no Windows Sistema

O objetivo deste artigo √© fornecer a voc√™ uma compreens√£o profunda do Windows Registro e a riqueza de informa√ß√Ķes que ele cont√©m.

Hoje, para a maioria dos administradores e analistas forenses, o registro provavelmente parece a entrada para a escurid√£o.

Al√©m das informa√ß√Ķes de configura√ß√£o, o Windows O registro cont√©m informa√ß√Ķes sobre arquivos acessados ‚Äč‚Äčrecentemente e informa√ß√Ķes consider√°veis ‚Äč‚Äčsobre as atividades do usu√°rio.

A verdade √© que o Registro √© uma verdadeira mina de informa√ß√Ķes tanto para o administrador quanto para o investigador forense.

O que é o Registro?

Se voc√™ se lembrar de volta para DOS e primeiras vers√Ķes de Windows(3.1,3.11 e assim por diante), informa√ß√Ķes de configura√ß√£o (drivers, configura√ß√Ķes) do sistema era amplamente gerenciado por v√°rios arquivos – especificamente, autoexec.bat, config.sys, win.ini (sobre Windows), e sistema.ini.

V√°rias configura√ß√Ķes nesses arquivos determinavam quais programas eram carregados e como o sistema parecia e respondia √† entrada do usu√°rio. Vers√Ķes posteriores do Windows substituiu esses arquivos pelo Registro, um banco de dados hier√°rquico central que mant√©m as configura√ß√Ķes do aplicativo, dispositivos de hardware e usu√°rios.

Como Windows Aparência da estrutura do registro!

Quando o administrador ou A per√≠cia espera abrir Regedit.exeele v√™ uma estrutura semelhante a uma √°rvore com cinco pastas raiz, ou ‚Äúcolmeias‚ÄĚ.

  • HKEY_CLASSES_ROOT hive cont√©m informa√ß√Ķes de configura√ß√£o relacionadas a qual aplicativo √© usado para abrir v√°rios arquivos no sistema.
  • HKEY_CURRENT_USER colmeia √© o ativo, perfil de usu√°rio carregado para o usu√°rio atualmente conectado.
  • HKEY_LOCAL_MACHINE colmeia cont√©m vasta informa√ß√£o de configura√ß√£o para o sistema, incluindo configura√ß√Ķes de hardware e configura√ß√Ķes de software.
  • HKEY_USERS colmeia cont√©m todos os ativos perfis de usu√°rio carregados para esse sistema.
  • HKEY_CURRENT_CONFIG colmeia cont√©m o perfil de hardware o sistema usa na inicializa√ß√£o.

Exame de registro

Listas MRU:

MRU, lista completa ou ‚Äúusada mais recentemente‚ÄĚ, cont√©m entradas feitas devido a a√ß√Ķes espec√≠ficas executadas pelo usu√°rio. Existem v√°rios LISs MRU em v√°rias chaves de registro.

N√≥s recomendamos:  Google Stadia traz Compartilhamento Familiar, Mensagens e v√°rios outros recursos

O Registro mant√©m essas listas de itens caso o usu√°rio retorne a elas no futuro. √Č semelhante a como o hist√≥ria e biscoitos agir em um navegador da web.

A localização desta chave é HKEY_CURRENT_USER\software\microsoft\windows\versão atual\Explorer\RunMRU e contém

Com as informa√ß√Ķes fornecidas pelo Chave RunMRU, um examinador pode compreender melhor o usu√°rio que est√° investigando e o aplicativo que est√° sendo usado. Na figura acima, voc√™ pode ver que o usu√°rio tem abriu cmd, bloco de notas, MSPaintetc.

Dispositivos USB:

Sempre que um dispositivo √© conectado ao Universal Serial Bus (USB), os drivers s√£o consultados e as informa√ß√Ķes do dispositivo s√£o armazenadas no Registro (pen drives).

Esta chave armazena o conte√ļdo do produto e ID de dispositivo valores de quaisquer dispositivos USB que j√° foram conectados ao sistema.

Portanto, os especialistas forenses ir√£o detalhar o caminho HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\USBSTOR.

Internet Explorer:

Internet Explorer é o navegador da Web nativo no Windows sistema operacional. Ele utiliza o Registro extensivamente no armazenamento de dados, como muitos aplicativos.

O Internet Explorer armazena seus dados em HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs.

Hardware anexado:

Navegando at√© a seguinte chave HKEY_LOCAL_MACHINE\SYSTEM|MountedDevices.Esta informa√ß√£o pode ser √ļtil para um examinador forense pois mostra que qualquer dispositivo de armazenamento conectado foi reconhecido pelo sistema operacional.

Se o examinador notar uma discrep√Ęncia entre o dispositivos conectados fisicamente e os aqui relatados, pode ser um ind√≠cio de que algum dispositivo foi retirado antes da apreens√£o das provas.

Software malicioso:

Navegando para esta seguinte chave HKEY_CURRENT_USER\Software\ esta informa√ß√£o ser√° interessante para o Forensics Examiner, pois poder√° ver o hacker usado VPN CyberGhost que √© usado para ser an√īnimo.

Aplica√ß√Ķes recentes:

Navegar at√© esta tecla a seguir fornecer√° informa√ß√Ķes sobre o √ļltimo aplicativos acessados lista HKEY_CURRENT_USER\SOFTWARE\Microsoft\Currentversion\Search\RecentApps.

N√≥s recomendamos:  Agora voc√™ pode comprar o Wiko Highway Pure, o celular mais fino do mercado na Espanha

Este usu√°rio possui uma vasta lista de aplicativos, um dos quais foi encontrado o Vmworkstation.

Informa√ß√Ķes cruciais pode ser obtido atrav√©s da realiza√ß√£o de um trabalho eficiente e eficaz exame forense.

Assim, você pode investigar para encontrar atividades maliciosas em andamento em seu ambiente. Boa investigação !!!!!

Voc√™ pode nos seguir em Linkedin, Twittere Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica, voc√™ tamb√©m pode aproveitar o Melhor curso online de seguran√ßa cibern√©tica para se manter atualizado.

Além disso, leia