Queira o Sr. Perito explicar como identificar modificações relevantes em entradas de registros do Windows

O registro do Windows é um complexo banco de dados onde são armazenadas informações de configurações do sistema operacional, informações de programas instalados, estruturas de diretórios, dados de perfil de usuários, de drivers, etc. Em função de seu multifuncional objetivo dentro do sistema operacional, o registro costuma ser uma importante fonte de informação em análises forenses.

No artigo de hoje falaremos sobre um tipo muito específico de análise de registros. Trata-se da comparação de dois estados diferentes do registro de um determinado computador. Esse procedimento é bastante comum quando da análise de artefatos de internet, como vírus e trojans.

Quando o objetivo dos exames é descobrir o que um artefato faz após ser executado no computador, comumente utilizamos um conceito denominado sandbox. Sanboxes são ambientes absolutamente conhecidos e controlados, geralmente máquinas virtuais, onde o examinador executa o artefato malicioso. Dessa forma, quando uma alteração ocorre, o examinador é capaz de rastreá-la e examiná-la detalhadamente.

Descobrir manualmente as alterações ocorridas em registros de sistema é muitíssimo custoso, algumas vezes impossível, principalmente por causa do enorme volume de dados presente no registro. Uma forma simples e bastante eficaz de resolver esse problema é com a ferramenta RegShot. Para baixar esse programa, acesse; http://sourceforge.net/projects/regshot/. Esse programa é capaz de gerar um snapshot do registro, como uma fotografia do estado do registro, e, em seguida, comparar com um novo e mais atualizado snapshot mostrando quais são as modificações entre o primeiro e o segundo.

Então, vamos ao procedimento! Baixe e salve o programa RegShot na máquina virtual que será utilizada para a análise. Antes de executar o artefato que você deseja analisar (vírus ou trojan, por exemplo), execute o RegShot. Na tela que surgirá, defina um local de destino para o arquivo snapshot, selecione a opção “Pesquisar diretório” para incluir na varredura as propriedades dos arquivos do diretório “C:\Windows” (você pode definir qual diretório deseja monitorar) e, em seguida, clique em “1ª foto”, como mostra a imagem abaixo.

Ao clicar em “1ª foto” aparecerão 03 opções: Fotografar, Fotografar e Salvar, Carregar. Selecione a segunda opção. A leitura do registro e das propriedades de arquivos e diretórios pode demorar alguns minutos.

Após a conclusão da varredura, surgirá uma janela para que você indique um nome para o primeiro snapshot. No nosso exemplo escolheremos “shot1”.

O arquivo será salvo causando a liberação da função “2ª foto”. Como nosso objetivo é descobrir o que um determinado artefato faz quando é executado no computador, execute esse artefato neste momento. Certifique-se de testar vírus e trojans apenas em uma máquina virtual completamente segmentada da sua máquina física, ou seja, sem ponte de rede ou outra forma de comunicação que permita ao artefato trafegar da máquina virtual para a máquina física, contaminando-a.

Após executar o artefato, clique em “2ª foto” e, em seguida, Fotografar e Salvar.

Ao final o programa pedirá um nome para o segundo arquivo, no nosso caso “shot2”.

Por fim, basta clicar em “Comparar”. Esse comando irá verificar quais foram as alterações registradas entre o primeiro e o segundo snapshot. Ao final da comparação será aberto um arquivo TXT.

Neste arquivo será possível identificar todas as chaves adicionadas, modificadas ou excluídas, bem como o valor dessas chaves. Será possível também identificar modificação em propriedades de arquivos.

Com base nesta informação, fica fácil definir um ponto de partida para a análise de artefatos de internet, por exemplo. Uma excelente sugestão é identificar para quê servem cada uma das chaves criadas, modificadas ou excluídas e analisar cuidadosamente todos os arquivos modificados.

Boa análise e até o próximo artigo!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s