• Nenhum resultado encontrado

Coleta de informações em registros do Windows

No documento Análise Forense (páginas 162-166)

Os arquivos de registro em um sistema Windows XP estão localizados em C:\windows\system32\config. Estes arquivos não podem ser copiados normal- mente. Para isso devemos utilizar uma ferramenta. A utilização da ferramenta regedit.exe faz com que os dados presentes nos arquivos SAM e SECURITY não fiquem visíveis.

Existe um arquivo adicional de registro chamado NTUSER.DAT, localizado no diretório do usuário, em C:\

Documents and Settings\, que possui todas as configu-

rações pessoais do usuário.

Registros e respectivas funções:

DEFAULT – Armazena todas as informações

\ \

originais do usuário.

SAM – Armazena informações do serviço

\

\ Security

Accounts Manager.

SECURITY – Armazena informações de

\ \

segurança.

SOFTWARE – Armazena informações sobre os

\ \

aplicativos e operação.

SYSTEM – Armazenas informações sobre o

\ \

hardware da máquina.

Conforme mencionamos, o registro do Windows é uma base de dados hierárquica composta de chaves (keys) e valores (values).

No campo de valores está representada a informação armazenada no registro. O campo de valores pode pos- suir os seguintes formatos: string, binary e DWORD.

HKEY_CURRENT_USER

Contém as informações de configuração do usuário.

HKEY_USERS

Contém o perfil dos usuários do computador.

HKEY_LOCAL_MACHINE

Contém as informações específicas do computador relacionadas com hardware e software.

Coleta de informações em registros do

Windows

Registro do Windows

Uma das características que diferenciam a coleta de evidências em Linux e Windows

Base hierárquica e centralizada de dados utilizada pelo Windows para armazenar informações necessárias para a configuração do sistema (para um ou mais usuários), aplicações e dispositivos de hardware

O registro é um arquivo binário de dados

Para poder acessar os dados neste arquivo, devemos exportar o registro em formato de texto ou utilizar ferramentas que permitam realizar consultas no registro

A ferramenta mais utilizada é o regedit.exe da própria Microsoft

Coleta de informações em registros do

Windows

Registro Função

DEFAULT Armazena todas as informações originais do usuário.

SAM Armazena informações do serviço Security Accounts Manager.

SECURITY Armazena informações de segurança. SOFTWARE Armazena informações sobre os aplicativos e

operação.

SYSTEM Armazenas informações sobre o hardware da máquina.

Registro do Windows

Localizado em C:\windows\system32\config

Coleta de informações em registros do

Windows

Chaves de registro HKEY_CURRENT_USER HKEY_USERS HKEY_LOCAL_MACHINE HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG

HKEY_CLASSES_ROOT

Contém informações sobre as associações de arquivos.

HKEY_CURRENT_CONFIG

Contém as informações do perfil do hardware do computador.

As chaves do registro podem ter seu nome abreviado, o que facilita a execução de uma busca pelo comando de linha:

HKEY_LOCAL_MACHINE: HKLM HKEY_CLASSES_ROOT: HKCR HKEY_CURRENT_USER: HKCU HKEY_USERS: HKU HKEY_CURRENT_CONFIG: HKCC \

\ REG_BINARY – Dados binários não-processados.

Grande parte das informações do componente de hardware é armazenada como dado binário e exibida em formato hexadecimal no Editor do Registro. REG_DWORD – Dados representados por um

\ \

número de 4 bytes. Muitos parâmetros para drivers e serviços de dispositivos apresentam esse tipo e são exibidos no Editor do Registro em formato binário, hexadecimal ou decimal.

REG_EXPAND_SZ – Seqüência de dados com

\ \

extensão variável. Esses tipos de dados incluem variáveis que são resolvidas quando um programa ou serviço usa os dados.

REG_MULTI_SZ – Seqüência múltipla. Valores que contêm listas ou valores

\ \

múltiplos em um formato que as pessoas conseguem ler são geralmente deste tipo. As entradas são separadas por espaços, vírgulas ou outras pontuações. REG_SZ – Seqüência de texto com extensão fixa.

\ \

REG_RESOURCE_LIST – Série de matrizes para armazenar lista de recursos

\ \

usada por driver de dispositivo de hardware ou pelos dispositivos físicos controlados por ele. Esses dados são detectados e gravados pelo sistema na árvore \ResourceMap e exibidos no Editor do Registro em formato hexadecimal como valores binários.

REG_RESOURCE_REQUIREMENTS_LIST – Série de matrizes criadas para

\ \

armazenar uma lista de drivers de dispositivos de possíveis recursos de hardware que o driver ou um dos dispositivos físicos que ele controla possam usar. O sistema grava um subconjunto desta lista na árvore \ResourceMap. Estes dados são detectados pelo sistema e exibidos no Editor do Registro em formato hexadecimal como valores binários.

Coleta de informações em registros do

Windows

REG_BINARY Dados binários não-processados. REG_DWORD Dados representados por um número de 4 bytes. REG_EXPAND_SZ Seqüência de dados com extensão variável. REG_MULTI_SZ Uma seqüência múltipla. REG_SZ Seqüência de texto com extensão fixa.

REG_RESOURCE_LIST Série de matrizes para armazenar lista de recursos usada por driver de dispositivo de hardware ou pelos dispositivos físicos controlados por ele.

REG_RESOURCE_REQUIREMENTS_LIST Série de matrizes para armazenar lista de drivers de dispositivo de hardware.

REG_FULL_RESOURCE_DESCRIPTOR Série de matrizes para armazenar lista de drivers de dispositivo de hardware.

REG_NONE Dados sem um tipo específico.

REG_LINK Uma seqüência Unicode que nomeia um link simbólico. REG_QWORD Dados representados por um número que seja um inteiro de 64

REG_FULL_RESOURCE_DESCRIPTOR – Série de matrizes para armazenar

\ \

lista de drivers de dispositivo de hardware. Também projetadas para armazenar uma lista de recursos usada por um dispositivo físico de hardware. Esses dados são detectados e gravados pelo sistema na árvore \

HardwareDescription e exibidos no Editor do Registro em formato hexadecimal

como valores binários.

REG_NONE – Dados sem um tipo específico, gravados pelo sistema ou

\ \

pelos aplicativos no registro e exibidos no Editor do Registro em formato hexadecimal como valores binários.

REG_QWORD – Dados representados por um número que seja um inteiro

\ \

de 64 bits, exibidos no Editor do Registro como valores binários. Foram introduzidos pela primeira vez no Windows 2000.

Cópia do registro:

D:\IR\xp> regdmp > d:\tmp\registry.txt8

D:\IR\xp> reg query HKCU\Software /s > d:\tmp\regis try_HKCU.txt8

Principais buscas nos registros:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Internet Explo rer\TypedURLs HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\RunMRU HKCU\Software\Microsoft\Windows\CurrentVersion\Expl orer\ComDlg32\OpenSaveMRU\*

Para realizar uma cópia em formato de texto do registro do Windows podemos utilizar a ferramenta regdmp.exe. É necessário direcionar a saída do comando para um arquivo. O arquivo gerado nos permite realizar uma série de buscas em chaves conside- radas importantes para o processo de coleta de informações. Podemos realizar consultas a chaves específicas ou a um diretório inteiro dentro do registro. Cópia do registro:

D:\IR\xp> regdmp > d:\tmp\registry.txt

D:\IR\xp> reg query HKCU\Software /s > d:\tmp\registry_HKCU.txt

Principais buscas nos registros:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

Coleta de informações em registros do

Windows

Podemos ver que a ferramenta permite realizar pesquisas por texto ou por uma faixa de datas de modificação de alguma das chaves. É interessante para achar modifica- ções recentes no registro, causadas por algum vírus ou ferramenta de rootkit.

Uma forma adicional de realizar a cópia do registro é utilizando o aplicativo dum-

preg.exe. Esta ferramenta permite realizar a cópia das seguintes chaves de registro:

HKEY_LOCAL_MACHINE \ \ HKEY_USERS \ \ HKEY_CURRENT_USER \ \

Uma funcionalidade permite navegar nos dados ordenados por tempo, o que possibilita verificar mais facilmente em um determinado momento as chaves que foram modificadas.

No documento Análise Forense (páginas 162-166)
Descarregar agora "Análise Forense"

Outline

Documentos relacionados