El registro de windows es una base de datos que almacena configuraciones y datos que pueden ser muy interesantes para un análisis forense, es una mina de oro de valiosa información:
- Búsquedas
- Documentos recientes
- Comandos y Programas ejecutados
- La zona horaria configurada
- Los archivos más recientes abiertos
Es muy importante el análisis de esta información ya que esto nos puede brindar un perfil del usuario ya que podemos saber que documentos y programas abrió recientemente, esto nos da una idea de que fue lo último que realizo en la computadora, si falta alguno de estos archivos pudo haberlo eliminado ya que tenía información comprometedora, también dependiendo de que programas ha utilizado saber si es un usuario básico o experto, mediante las búsquedas saber sus intenciones ya que muchas veces dependiendo de lo que uno busque en internet, esta expresando intenciones por ejemplo si alguien busca "venta de armas", "como eliminar evidencia", etc. nos esta expresando la intención del usuario.
Toda esta información cuando se relaciona y se analiza nos puede brindar un perfil completo del usuario, esto es el punto más valioso de obtener datos e interpretarlos.
Otro punto a destacar es la zona horaria, obtenerla es fundamental ya que nos permite correlacionar la hora de los metadatos de los archivos, ya que muchas veces dependiendo de la configuración de la computadora evidencia, la información los archivos se guarda en zona horaria UTC (por ejemplo en NTFS) algunas otras en hora local (por ejemplo en FAT), en caso de que este en UTC hay que hacer la conversión a la hora local.
Les compartimos uno de nuestros archivos que usamos para compilar las ubicaciones interesantes dentro del registro de windows, no es extensiva pero creemos que les puede ser útil, para ver que valioso es el registro de windows.
Lo pueden descargar en maxima calidad desde slideshare: https://www.slideshare.net/linuxtro/mindmap-forensics-windows-registry-cheat-sheet
Gracias y hasta el siguiente post.
MindMap - Forensics Windows Registry Cheat Sheet from Juan F. Padilla
Si te gustan los
diseños de esta publicación puedes adquirirlos en alta resolución click aquí.
No hay comentarios.:
Publicar un comentario