PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL
LABORATÓRIO DE PERÍCIA DIGITAL
PROFESSOR: DIEGO AJUKAS
ANÁLISE DE REGISTRO - WINDOWS
• Estrutura do Registro
• Organização
• Chaves
• Hives
• Valores e Tipos
• Chaves de Registros com valor Forense
• Exercício
ESTRUTURA DO REGISTRO
O Microsoft Computer Dictionary define o Registro como:
• Um banco de dados hierárquico central no Windows usado para armazenar as informações necessárias à configuração do sistema para um ou mais usuários, aplicativos e dispositivos de hardware.
• O Registro contém informações às quais o Windows faz referência continuamente durante a operação, como os perfis de cada usuário, os aplicativos instalados no computador e os tipos de documentos que cada um pode criar, configurações da folha de propriedades para ícones de pastas e aplicativos, o hardware existente no sistema e as portas que são usadas.
• O Registro substitui a maioria dos arquivos .ini com base em texto usados nos arquivos de configuração do Windows 3.x e do MS-DOS, como o Autoexec.bat e o Config.sys. Embora o Registro seja comum para diversos sistemas operacionais do Windows, existem algumas diferenças entre eles.
(https://support.microsoft.com/pt-br/kb/256986)
ESTRUTURA DO REGISTRO
MS-DOS
config.sys carregamento de drivers autoexec.bat programas de inicialização Windows 3.X
system.ini informações de hardware
win.ini configurações de aplicações e usuários .ini configurações de aplicações
Windows 95 - Registry
system.dat informações de software, hardware, segurança, configurações padrões e de execução do Windows user.dat configurações de aplicações de usuários
(FARMER, 2014)
ESTRUTURA DO REGISTRO
(ALGLAFI, 2014)
ESTRUTURA DO REGISTRO
O que o Registro faz?
• Sua função é concentrar todas as configurações do sistema de modo a tornar sua administração mais fácil. Por exemplo, desde as configurações alteráveis no Painel de Controle até as associações das extensões de arquivos são armazenadas nesse banco de dados.
(http://msdn.microsoft.com/en-us/library/ms970651.aspx)
• O Registro contém também informações sobre como o computador é executado. O Windows usa as informações do e as atualiza quando você faz alterações no computador, como instalar um novo programa, criar um perfil de usuário ou adicionar um novo hardware.
(http://windows.microsoft.com/pt-br/windows/what-is-registry-editor#1TC=windows-7)
ESTRUTURA DO REGISTRO
Regedit.exe (Editor de Registro / Registry Editor)
ESTRUTURA DO REGISTRO
• Cada pasta no painel da esquerda é uma chave de registro.
• O painel direito mostrar os valores da chave.
• Uma subchave é utilizado para mostrar a relação entre uma
chave e as chaves aninhadas abaixo dela.
ESTRUTURA DO REGISTRO
• O Windows usa um link simbólico para vincular uma chave
em caminhos diferentes, o que permite que a mesma chave
e seus valores apareçam em dois ou mais caminhos
diferentes (Russinovich, 1999).
ORGANIZAÇÃO – CHAVES
5 Chaves Raíz:
• HKLM e HKU são as únicas chaves raiz que o Windows armazena em arquivos fisicamente.
• HKCU é um link simbólico para subchave no HKU.
• HKCR e HKCC são links simbólicos para subchaves em HKLM.
Nome Abreviação
HKEY_CLASSES_ROOT HKCR HKEY_CURRENT_USER HKCU HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_CURRENT_CONFIG HKCC
ORGANIZAÇÃO – CHAVES
HKEY_LOCAL_MACHINE (HKLM)
Dados do hardware e do software instalados HKEY_USER (HKU)
Dados dos usuários
HKEY_CURRENT_USER (HKCU) Dados do usuário logado HKEY_CURRENT_CONFIG (HKCC)
Dados da configuração em uso HKEY_CLASSES_ROOT (HKCR)
Dados de associação entre arquivos e aplicativos
ORGANIZAÇÃO – VALORES
• Cada chave tem um ou mais valores. Existem 3 partes em valor, que são o nome, o tipo e seus dados (conteúdo):
• Nome:
Todo valor tem um nome único na chave.
• Tipo:
Determina o tipo de dados que o contém. Os tipos de valores comum no registro são: tipo REG_BINARY contém dados binários; Tipo REG_DWORD contém binários de tamanho duplo (32 bits); Tipo REG_SZ contém dados de strings; entre outros.
• Dados:
Contém a informação em si.
ORGANIZAÇÃO – VALORES
ORGANIZAÇÃO – HIVES
• Editor do Registro só mostra a estrutura lógica do registro.
Fisicamente, o registro não é armazenado em um único arquivo no disco rígido. Eles são armazenados em alguns arquivos binários separados chamados hives.
• Para cada arquivo de hive, o Windows cria arquivos de suporte adicionais que contêm cópia de segurança dos respectivos hives para restaurá-las durante uma inicialização do sistema falha.
• Apenas HKLM e HKU tem hives (uma vez que as demais são
links simbólicos). No entanto, nenhuma das 5 chaves de raiz
estão diretamente associados a um arquivo de seção.
ORGANIZAÇÃO – HIVES
Camiho de Registro Arquivos de Suporte
HKLM\SAM SAM, SAM.LOG
HKLM\SECURITY SECURITY, SECURITY.LOG
HKLM\SOFTWARE software, software.LOG, software.sav HKLM\SYSTEM system, system.LOG, system.sav
HKLM\HARDWARE (Dynamic/Volatile Hive)
HKU\.DEFAULT default, default.LOG, default.sav
HKU\SID NTUSER.DAT
HKU\SID_CLASSES UsrClass.dat, UsrClass.dat.LOG No extension Actual Hive File
.alt extension Backup copy of hive, used in Windows 2000, not XP .log extension Transaction log of changes to a hive
.sav extension Backup copy of hive created at the end of text-mode (console) phrase during Windows XP setup
ORGANIZAÇÃO – CHAVES
HKEY_LOCAL_MACHINE (HKLM) C:\Windows\System32\config
BCD – COMPONENTS - DEFAULT - SAM – SECURITY – SOFTWARE – SYSTEM HKEY_USER (HKU)
C:\Users\<user>\ntuser.dat
C:\Users\<user>\AppData\Local\Microsoft\Windows\UsrClass.DAT HKEY_CURRENT_USER (HKCU)
HKU\<SID>
HKEY_CURRENT_CONFIG (HKCC)
HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current HKEY_CLASSES_ROOT (HKCR)
HKU\<SID>_Classes
ORGANIZAÇÃO
CHAVES DE REGISTROS COM VALOR FORENSE
Informações sobre atividade do Windows:
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Informações sobre atividade do Internet Explorer:
• HKCU\Software\Microsoft\Internet Explorer\
Informações sobre atividade de Hardware:
• HKLM\SYSTEM\CurrentControlSet\Enum\
Informações sobre serviços inicializados e seus parâmetros:
• HKLM\SYSTEM\CurrentControlSet\Services\
E muito outros...
EXERCÍCIO
Abrir a Máquina Virtual do Windows 7 e realizar a seguinte atividades:
• Logar na Máquina.
• Realizar uma pesquisa no Windows Explorer;
• Abrir o Internet Explorer e acessar 5 sites;
• Acessar algum formulário de login/senha WEB e salvar no IE;
• Conectar um pendrive (USB);
• Ir no Menu executar algum software (Calculadora, Paint etc.);
• Ir no Explorer e extrair algum zip (com o gerenciador de zip nativo).
REFERÊNCIAS BIBLIOGRÁFICAS
• Deeper into the Windows Registry
(http://www.techsupportalert.com/content/deeper-windows-registry.htm)
• Forensic Analysis of the Windows Registry
(http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.85.3567&rep=rep1&typ e=pdf)
• Informações do Registro do Windows para usuários avançados (https://support.microsoft.com/pt-br/kb/256986)
• Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry
1st Edition by Harlan Carvey
PÓS-GRADUAÇÃO LATO SENSU EM PERÍCIA DIGITAL
LABORATÓRIO DE PERÍCIA DIGITAL
PROFESSOR: DIEGO AJUKAS
