PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS
ANÁLISE DE REGISTRO - WINDOWS Estrutura do Registro Organização Chaves Hives Valores e Tipos Chaves de Registros com valor Forense Exercício
ESTRUTURA DO REGISTRO O Microsoft Computer Dictionary define o Registro como: Um banco de dados hierárquico central no Windows usado para armazenar as informações necessárias à configuração do sistema para um ou mais usuários, aplicativos e dispositivos de hardware. O Registro contém informações às quais o Windows faz referência continuamente durante a operação, como os perfis de cada usuário, os aplicativos instalados no computador e os tipos de documentos que cada um pode criar, configurações da folha de propriedades para ícones de pastas e aplicativos, o hardware existente no sistema e as portas que são usadas. O Registro substitui a maioria dos arquivos.ini com base em texto usados nos arquivos de configuração do Windows 3.x e do MS-DOS, como o Autoexec.bat e o Config.sys. Embora o Registro seja comum para diversos sistemas operacionais do Windows, existem algumas diferenças entre eles. (https://support.microsoft.com/pt-br/kb/256986)
ESTRUTURA DO REGISTRO MS-DOS config.sys carregamento de drivers autoexec.bat programas de inicialização Windows 3.X system.ini informações de hardware win.ini configurações de aplicações e usuários.ini configurações de aplicações Windows 95 - Registry system.dat informações de software, hardware, segurança, configurações padrões e de execução do Windows user.dat configurações de aplicações de usuários (FARMER, 2014)
ESTRUTURA DO REGISTRO (ALGLAFI, 2014)
ESTRUTURA DO REGISTRO O que o Registro faz? Sua função é concentrar todas as configurações do sistema de modo a tornar sua administração mais fácil. Por exemplo, desde as configurações alteráveis no Painel de Controle até as associações das extensões de arquivos são armazenadas nesse banco de dados. (http://msdn.microsoft.com/en-us/library/ms970651.aspx) O Registro contém também informações sobre como o computador é executado. O Windows usa as informações do e as atualiza quando você faz alterações no computador, como instalar um novo programa, criar um perfil de usuário ou adicionar um novo hardware. (http://windows.microsoft.com/pt-br/windows/what-is-registry-editor#1tc=windows-7)
ESTRUTURA DO REGISTRO Regedit.exe (Editor de Registro / Registry Editor)
ESTRUTURA DO REGISTRO Cada pasta no painel da esquerda é uma chave de registro. O painel direito mostrar os valores da chave. Uma subchave é utilizado para mostrar a relação entre uma chave e as chaves aninhadas abaixo dela.
ESTRUTURA DO REGISTRO O Windows usa um link simbólico para vincular uma chave em caminhos diferentes, o que permite que a mesma chave e seus valores apareçam em dois ou mais caminhos diferentes (Russinovich, 1999).
ORGANIZAÇÃO CHAVES 5 Chaves Raíz: Nome HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG Abreviação HKCR HKCU HKLM HKU HKCC HKLM e HKU são as únicas chaves raiz que o Windows armazena em arquivos fisicamente. HKCU é um link simbólico para subchave no HKU. HKCR e HKCC são links simbólicos para subchaves em HKLM.
ORGANIZAÇÃO CHAVES HKEY_LOCAL_MACHINE (HKLM) Dados do hardware e do software instalados HKEY_USER (HKU) Dados dos usuários HKEY_CURRENT_USER (HKCU) Dados do usuário logado HKEY_CURRENT_CONFIG (HKCC) Dados da configuração em uso HKEY_CLASSES_ROOT (HKCR) Dados de associação entre arquivos e aplicativos
ORGANIZAÇÃO VALORES Cada chave tem um ou mais valores. Existem 3 partes em valor, que são o nome, o tipo e seus dados (conteúdo): Nome: Tipo: Todo valor tem um nome único na chave. Determina o tipo de dados que o contém. Os tipos de valores comum no registro são: tipo REG_BINARY contém dados binários; Tipo REG_DWORD contém binários de tamanho duplo (32 bits); Tipo REG_SZ contém dados de strings; entre outros. Dados: Contém a informação em si.
ORGANIZAÇÃO VALORES
ORGANIZAÇÃO HIVES Editor do Registro só mostra a estrutura lógica do registro. Fisicamente, o registro não é armazenado em um único arquivo no disco rígido. Eles são armazenados em alguns arquivos binários separados chamados hives. Para cada arquivo de hive, o Windows cria arquivos de suporte adicionais que contêm cópia de segurança dos respectivos hives para restaurá-las durante uma inicialização do sistema falha. Apenas HKLM e HKU tem hives (uma vez que as demais são links simbólicos). No entanto, nenhuma das 5 chaves de raiz estão diretamente associados a um arquivo de seção.
ORGANIZAÇÃO HIVES Camiho de Registro HKLM\SAM HKLM\SECURITY HKLM\SOFTWARE HKLM\SYSTEM HKLM\HARDWARE HKU\.DEFAULT HKU\SID HKU\SID_CLASSES No extension.alt extension.log extension.sav extension Arquivos de Suporte SAM, SAM.LOG SECURITY, SECURITY.LOG software, software.log, software.sav system, system.log, system.sav (Dynamic/Volatile Hive) default, default.log, default.sav NTUSER.DAT UsrClass.dat, UsrClass.dat.LOG Actual Hive File Backup copy of hive, used in Windows 2000, not XP Transaction log of changes to a hive Backup copy of hive created at the end of text-mode (console) phrase during Windows XP setup
ORGANIZAÇÃO CHAVES HKEY_LOCAL_MACHINE (HKLM) C:\Windows\System32\config BCD COMPONENTS - DEFAULT - SAM SECURITY SOFTWARE SYSTEM HKEY_USER (HKU) C:\Users\<user>\ntuser.dat C:\Users\<user>\AppData\Local\Microsoft\Windows\UsrClass.DAT HKEY_CURRENT_USER (HKCU) HKU\<SID> HKEY_CURRENT_CONFIG (HKCC) HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current HKEY_CLASSES_ROOT (HKCR) HKU\<SID>_Classes
ORGANIZAÇÃO
CHAVES DE REGISTROS COM VALOR FORENSE Informações sobre atividade do Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ Informações sobre atividade do Internet Explorer: HKCU\Software\Microsoft\Internet Explorer\ Informações sobre atividade de Hardware: HKLM\SYSTEM\CurrentControlSet\Enum\ Informações sobre serviços inicializados e seus parâmetros: HKLM\SYSTEM\CurrentControlSet\Services\ E muito outros...
EXERCÍCIO Abrir a Máquina Virtual do Windows 7 e realizar a seguinte atividades: Logar na Máquina. Realizar uma pesquisa no Windows Explorer; Abrir o Internet Explorer e acessar 5 sites; Acessar algum formulário de login/senha WEB e salvar no IE; Conectar um pendrive (USB); Ir no Menu executar algum software (Calculadora, Paint etc.); Ir no Explorer e extrair algum zip (com o gerenciador de zip nativo).
REFERÊNCIAS BIBLIOGRÁFICAS Deeper into the Windows Registry (http://www.techsupportalert.com/content/deeper-windows-registry.htm) Forensic Analysis of the Windows Registry (http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.85.3567&rep=rep1&typ e=pdf) Informações do Registro do Windows para usuários avançados (https://support.microsoft.com/pt-br/kb/256986) Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry 1st Edition by Harlan Carvey
PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL LABORATÓRIO DE PERÍCIA DIGITAL PROFESSOR: DIEGO AJUKAS