Queira o Sr. Perito tratar sobre arquivos de registro do Windows – Parte 01

O Registro é um banco de dados que contém todas as configurações de hardware, software, drivers de forma hierárquica, necessárias ao funcionamento do sistema operacional e dos aplicativos instalados, presente nos sistemas operacionais Microsoft Windows posteriores à versão 3.11. Nesta versão os arquivos de configuração eram arquivos de extensão INI situados em diversos diretórios do sistema, tornando a administração complexa.

O registro ainda guarda informações acerca de ações realizadas, arquivos recentemente abertos, dispositivos de hardware removível,etc. O registro pode ainda conter dados ocultos, propositalmente escondidos, úteis para uma investigação ou perícia. A estrutura do registro é dividida em cinco ou seis chaves, dependendo da versão do sistema operacional. As chaves são as unidades básicas de informação e se distribuem de forma hierárquica na árvore do registro. Assim temos que as chaves de primeiro nível são indicativas das classes de informação e as chaves abaixo destas apontam para itens mais específicos. As chaves são identificadas inicialmente pelas letras HKEY (H de handle e KEY de chave) seguidas da classe de identificação, conforme vemos a seguir:

Nome das chaves (Abreviatura):

HKEY_CLASSES_ROOT (HKCR) – Contém informações relativas à associação de arquivos aos respectivos softwares criadores, editores ou visualizadores.

HKEY_CURRENT_USER (HKCU) – Contém informações relativas ao perfil do usuário ativo.

HKEY_LOCAL_MACHINE (HKLM) – Contém informações relativas ao hardware e software instalados no equipamento, assim como das configurações do Windows.

HKEY_USERS (HKU) – Contém informações relativas a todos os usuários do equipamento e suas configurações pessoais. A Chave HKEY_CURRENT_USER possui um apontador para o usuário corrente listado na HKEY_USERS. O usuário é identificado na chave pelo SID (Security Indentifier).

HKEY_CURRENT_CONFIG (HKCC) – Contém informações relativas ao perfil de hardware do equipamento, se estiver sendo utilizado esse recurso, caso contrário, a chave conterá as informações-padrão do Windows.

HKEY_DYN_DATA (HKDD) – Contém informações dinâmicas da sessão, como driver de dispositivo virtual (VxD), configurações de plug and play, etc., encontrada apenas nos Windows 9X.

Apesar de aparentar ser constituído por um único arquivo, o Windows armazena as informações do registro em arquivos binários denominados de Hives. HKLM e HKU possuem hives em arquivos individuais, HKCR e HKCC são links simbólicos para subchaves em HKLM e HKCU é um link simbólico para a chave primária correspondente em HKU.

CARACTERIZANDO A EVIDÊNCIA
Quando tratamos sobre os registros do Windows, é importante falarmos sobre a caracterização da evidência de acordo com o conteúdo de algumas chaves do registro. Esta caracterização consiste em identificar e documentar as informações relativas à identidade do computador que está sendo examinando.
Primeiramente as informações relativas ao sistema operacional, que pessoalmente considero o mínimo obrigatório a constar em um relatório pericial, entretanto são seus procedimentos que determinarão o que será utilizado na caracterização da evidência. As informações a que me refiro podem ser encontradas na chave HKLMSoftwareMicrosoftWindowsNTCurrentVersion nos seguintes valores:

  • ProductName – Nome do produto instalado
  • CurrentVersion – Versão instalada
  • EditionID – Versão nominal instalada
  • ProductId – Identificação do Produto
  • RegisteredOwner – Nome do usuário registrado
  • RegisteredOrganization – Nome da organização registrada
  • InstallDate – Data da instalação do sistema no formato Unix 32 bits Hex Value – Big Endian ou Unix Numeric Value, ambos (UTC)
  • CSDVersion – Service Pack instalado

Para identificar o nome de um computador busque no valor ComputerName situado na chave HKLMCurrentControlSetControlComputerNameComputerName ou ActiveComputerName. Caso o computador faça parte de uma rede com domínio, consulte os valores Domain e Hostname, localizados na chave HKLMCurrentControlSetServicesTcpipParameters.
Mas como fazer para acessar estas chaves, se estou examinando o conteúdo de outro computador e não o meu? Primeiro identificamos as hives que contém as informações requeridas. As hives são arquivos binários estáticos ou dinâmicos onde o sistema operacional Microsoft Windows armazena as chaves e valores do registro. A hive HKLM ou HKEY_LOCAL_MACHINE corresponde a um conjunto de arquivos situados na pasta C:WindowsSystem32Config, dentre eles dois de nomes SYSTEM e SOFTWARE. Para examinar tais arquivos utilizo o software Windows Registry Recovery da Mitec [1] que nos oferece uma série de opções úteis. Dos exemplos citados neste post, o arquivo SOFTWARE armazena as informações acerca do sistema operacional e o arquivo SYSTEM armazena a informação relativa ao nome do computador. Tais arquivos não armazenam somente estas informações, mas um grande número de outras, as quais abordaremos as mais úteis em posts futuros.


[1] Mais em: http://www.mitec.cz/

5 comentários sobre “Queira o Sr. Perito tratar sobre arquivos de registro do Windows – Parte 01

  1. Muito bom, Marcelo.
    Estamos aguardando a continuação deste artigo.
    Sugiro que também coloques algumas técnicas antiforense ( palavra sem hífen?) no próprio registro, que os peritos podem se deparar durante a investigação; como, por exemplo, a desabilitação de itens que registram dispositivos externos, possível desabilitação via registro da pagefile.sys, etc.
    Bom trabalho.

  2. Tchê Marcelo Sampaio!
    Achei uma palestra da Defcon 20, que acredito ser muito interessante para a comunidade forense. Há técnicas de antiforense no Registro do Windows. Bem como um guia para os peritos mitigarem tais técnicas.

    Boa sorte.

  3. Se não for possível visualizar pelo link que postei, basta pesquisar no YouTube por DEFCON 20: Anti-Forensics and Anti-Anti-Forensics Attacks

  4. Olá Marcos,
    Obrigado pelos comentários e por compartilhar as informações conosco. Iremos avisar o Marcelo sobre seus comentários e continue nos acompanhando, pois teremos em breve um post sobre antiforense.

    Abs

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s