Queira o Sr. Perito tratar sobre arquivos de registro do Windows – Parte 02

No post anterior (clique aqui) mostramos a localização das hives e a estrutura do Registro assim como citamos o software Windows Registry Recovery da Mitec [1]. Nesse post de hoje vamos retomar algumas características importantes e algumas buscas que podemos realizar.

Microsoft Windows não armazena o registro em um único arquivo. Na verdade, o editor de registro (Regedit) mostra a estrutura lógica do registro, mas o Windows armazena o registro em alguns arquivos binários denominados de Hives, assim como cópias de backup destes.

As hives são distribuídas em vários arquivos. A lista de arquivos que compõem os hives pode ser encontrada no próprio registro, na chave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlhivelist (Windows 7).Nesta chave você encontrará valores que identificam a chave a que pertence e o caminho onde o arquivo pode ser encontrado.

  • REGISTRYMACHINESAM WindowsSystem32configSAM
  • REGISTRYMACHINESECURITY WindowsSystem32configSECURITY
  • REGISTRYMACHINESOFTWARE WindowsSystem32configSOFTWARE
  • REGISTRYMACHINESYSTEM WindowsSystem32configSYSTEM
  • DEFAULT WindowsSystem32configDEFAULT
  • REGISTRYUSERSS-1-5-19 WindowsServiceProfilesLocalServiceNTUSER.DAT
  • REGISTRYUSERSS-1-5-20 WindowsServiceProfilesNetworkServiceNTUSER.DAT
  • RegistryUserS-1-5-21-2429021499-1985914490-1018946051-1000 UsersAdminntuser.dat
  • RegistryUserS-1-5-21-2429021499-1985914490-1018946051-1000_Classes UsersAdminAppDataLocalMicrosoftWindowsUsrClass.dat

Somente as chaves HKLM e HKU são arquivos do sistema operacional, possuindo, portanto, Hives correspondentes. HKCR e HKCC são links simbólicos para subchaves em HKLM, assim como HKCU é um link simbólico para HKU. A estrutura do registro é composta da seguinte forma:

A chave HKLMSAM é composta por SAM e SAM.LOG; a chave HKLMSECURITY é composta por SECURITY e SECURITY.LOG; a HKLMSOFTWARE é composta por SOFTWARE, SOFTWARE.LOG e SOFTWARE.SAV; a chave HKLMSYSTEM é composta por SYSTEM, SYSTEM.LOG, SYSTEM.SAV; a chaveHKLMHARDWARE é composta por um hive dinâmico; a chave HKU.DEFAULT é composta por DEFAULT, DEFAULT.LOG, DEFAULT.SAV; a chave HKUSID é composta por NTUSER.DAT e HKUSID_CLASSES é composta por UsrClass.dat, UsrClass.dat.log.

Os arquivos sem extensão são as hives; os arquivos de extensão “.LOG” são registros de alterações na hive; os arquivos de extensão “.SAV” são cópias de backup das hives criadas no Windows XP na fase texto da instalação. No Windows 2000 o backup da hive possui extensão “.alt”.

BUSCA POR EVIDÊNCIAS

O Registro do Windows além de ser um banco de dados de configurações, também é um log das atividades realizadas no sistema. No Registro podemos encontrar os últimos arquivos acessados, os processos carregados na carga inicial do sistema, últimos arquivos executados, configurações de rede, entre tantas outras coisas mais.

De forma análoga ao que acontece com os arquivos, as chaves de Registro também mantém um valor associado, armazenado no formato FILETIME do Windows, onde é registrada a última alteração (modificação, acesso e exclusão) sofrida, denominada de LASTWRITE. Esta característica só é associada para as chaves de Registro, para os valores não.

Visão do regedit do windows

Onde então estariam evidências importantes no Registro? Tomaremos como exemplo o Microsoft Windows 7.

Carga automática de Programas ou scripts

Na inicialização do sistema operacional alguns programas, scripts e arquivos são executados/carregados automaticamente. Algumas chaves contêm valores que carregam programas e/ou aplicativos na inicialização do sistema. Para quem avalia um Registro com fins forenses é especialmente útil a busca por programas de inicialização persistente, como malwares, que podem estar nas seguintes chaves:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • C:\Users\username\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programas\Inicializar ou
  • C:\Users\username\AppData\Roaming\Microsoft\Windows\Start Menu

Configurações de rede (inclusive wireless)

As configurações de rede do sistema ficam armazenadas na chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters que abriga as chaves DNSRegisteredAdapters e Interfaces onde se encontram respectivamente valores com as informações relativas às configurações de DNS e as configurações de endereço IP, máscara de rede, gateway, servidor DHCP, entre outras, atribuídas a cada interface de rede na última conexão realizada. Já o SSID das redes sem fio configuradas na chave HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles, entretanto armazena essas mesmas informações na pasta C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces, em arquivos XML.

SSID das conexões Wi-Fi

MRU – Most Recently Used

Arquivos e programas mais recentes utilizados também são guardados no Registro do Windows. São estas chaves que fornecem informação aos recursos do “menu iniciar” como o “Itens Recentes” ou preenchem a linha do “Executar” (Run). Também armazenam as listas de arquivos recentes mostrados pelos aplicativos instaladas.

A análise destas chaves de Registro é especialmente útil quando queremos saber quais foram os últimos arquivos abertos ou últimos programas carregados pelo usuário do computador suspeito. As chaves listadas a seguir possuem sub-chaves organizadas por extensão de arquivos:

Documentos Recentemente Utilizados

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Executar (Run)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Chaves RunMRU

Observa-se que os valores são nomeados por letras seguindo ordem alfabética, sendo a letra a indica o valor mais antigo. Os dados armazenados nestes valores também estão assim ordenados.

Pastas de sistema do usuário

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Caminhos digitados pelo usuário em janelas de seleção de arquivos

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

User Assist

A chave UserAssist (HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserAssist) é formada por duas ou mais sub-chaves cujos valores possuem dados codificados em ROT13 que representam GUIDs (Globally Unique Identifiers ou Identificadores Globais Únicos). Cada valor está associados a um determinado objeto acessado pelo usuário, como um programa, um atalho, um comando, etc. A codificação ROT13 utiliza um algoritmo que rotaciona cada caractere em 13 posições, para cima ou para baixo, a depender de sua posição. De A a M soma-se 13 e de N a Z diminui-se 13, assim a letra A passa a ser N e O passa a ser B. Veja um conversor ROT13 on line em http://edoceo.com/utilitas/rot13.

Chave UserAssist

O nome do valor destacado na imagem é “{0139Q44R-6NSR-49S2-8690- 3QNSPNR6SSO8}\7-Mvc\7-Mvc Svyr Znantre.yax” que ao ser descodificado passa a ser “{0139D44E-6AFE-49F2-8690-3DAFCAE6FFB8} \7-Zip\7-Zip File Manager.lnk”

Até a próxima.


[1] Existem outras ferramentas para fins forenses como o Registry Report e o Registry Viewer, ambos da Gaijin ou ainda o Registry Ripper do Harlan Carvey, desenvolvidas para extração e visualização do conteúdo do Registro.

6 comentários sobre “Queira o Sr. Perito tratar sobre arquivos de registro do Windows – Parte 02

  1. Muito bom, Marcelo.
    Os artigos do blog continuam interessantes.
    Recomendo um curso gratuito de forense, em inglês, bom tanto para iniciantes quanto para peritos experientes. Podem encontrá-lo, entre outros, no site: http://www.cybrary.it/
    Até a próxima!

  2. Afinal como ver esse log do windows e saber tudo aquilo que já fizemos no mesmo,não ficou claro pra mim,queria poder visualizar esse log como eu faço,posso abrir o arquivo ,isso não poderia causar algum problema ao sistema?Se essa pergunta uma vez já foi respondida,peço que por favor que me oriente.

    • Prezado.

      Para visualizar os registros diretamente no computador, sugiro utilizar o REGEDIT. Trata-se de um aplicativo simples do Windows para manipulação de registros. Mas tenha cuidado, qualquer alteração que for salva pode causar problemas no sistema. Por isso, o ideal é analisar um cópia dos arquivos de registros. Para isso, sugiro utilizar o software FTK Imager, pois ele possui uma função que consegue copiar esses arquivos ainda que eles estejam protegidos pelo sistema. Após a cópia você pode utilizar o próprio REGEDIT para abrir essas cópias, ou ainda, utilizar um software para geração de relatório como o Reg Ripper.

      Espero ter ajudado.

      Everson

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s